Dela via

Konfigurera Microsoft Entra-ID för att etablera användare i SAP ECC med NetWeaver AS ABAP 7.0 eller senare

  • Artikel

Följande dokumentation innehåller information om konfiguration och självstudier som visar hur du etablerar användare från Microsoft Entra ID till SAP ERP Central Component (SAP ECC, tidigare SAP R/3) med NetWeaver 7.0 eller senare. Om du använder andra versioner av SAP R/3 kan du fortfarande använda guiderna i Connectors för Microsoft Identity Manager 2016 nedladdning som referens för att skapa en egen mall för provisionering. Om du använder SAP S/4HANA eller andra SAP SaaS-program följer du självstudien för att konfigurera SAP Cloud Identity Services för automatisk användaretablering i stället. Mer information om SAP-integreringar finns i Hantera åtkomst till dina SAP-program.

Följande video ger en översikt över lokal etablering.

Funktioner som stöds

  • Skapa användare i SAP ECC.
  • Ta bort användare i SAP ECC när de inte behöver åtkomst längre.
  • Behåll användarattribut synkroniserade mellan Microsoft Entra ID och SAP ECC.

Omfattas ej

  • Andra objekttyper som lokala aktivitetsgrupper, roller och profiler stöds inte. Använd Microsoft Identity Manager om dessa objekt krävs.
  • Lösenordsåtgärder stöds inte. Använd Microsoft Identity Manager om lösenordshantering krävs.

Förutsättningar för etablering till SAP ECC med NetWeaver AS ABAP 7.51

Krav för det lokala systemet

Datorn som kör etableringsagenten ska ha:

  • Minst 3 GB RAM-minne.
  • Windows Server 2016 eller en senare version av Windows Server.
  • Anslutning till ett system med SAP ECC NetWeaver AS ABAP 7.51
  • Utgående anslutning till login.microsoftonline.com, andra Microsoft Online Services- och Azure-domäner . Ett exempel är en virtuell Windows Server 2016-dator som finns i Azure IaaS eller bakom en proxy.
  • .NET Framework 4.7.2

Molnkrav

  • En Microsoft Entra-klientorganisation med Microsoft Entra ID P1 eller Premium P2 (eller EMS E3 eller E5).

    För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

  • Rollen Hybrididentitetsadministratör för att konfigurera etableringsagenten och rollerna Programadministratör eller Molnprogramadministratör för att konfigurera etablering i administrationscentret för Microsoft Entra.

  • Microsoft Entra-användare som ska etableras till SAP ECC måste redan vara ifyllda med attribut som krävs av SAP ECC.

1. Installera och konfigurera Microsoft Entra Connect-etableringsagenten

Om du redan har laddat ned etableringsagenten och konfigurerat den för ett annat lokalt program fortsätter du att läsa i nästa avsnitt.

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Gå till Företagsprogram och välj Nytt program.
  3. Sök efter det lokala ECMA-appprogrammet , ge appen ett namn och välj Skapa för att lägga till den i din klientorganisation.
  4. Gå till sidan Etablering i ditt program från menyn.
  5. Välj Komma igång.
  6. På sidan Etablering ändrar du läget till Automatisk.

Skärmbild av att välja Automatisk.

  1. Under Lokal anslutning väljer du Ladda ned och installera och väljer Acceptera villkor och ladda ned.

  2. Lämna portalen och kör installationsprogrammet för etableringsagenten, godkänn villkoren för tjänsten och välj Installera.

  3. Vänta till konfigurationsguiden för Microsoft Entra-etableringsagenten och välj sedan Nästa.

  4. I steget Välj tillägg väljer du Lokal programetablering och sedan Nästa.

  5. Etableringsagenten använder operativsystemets webbläsare för att visa ett popup-fönster där du kan autentisera till Microsoft Entra-ID och eventuellt även din organisations identitetsprovider. Om du använder Internet Explorer som webbläsare på Windows Server kan du behöva lägga till Microsoft-webbplatser i webbläsarens lista över betrodda webbplatser så att JavaScript kan köras korrekt.

  6. Ange autentiseringsuppgifter för en Microsoft Entra-administratör när du uppmanas att auktorisera. Användaren måste ha minst rollen Hybrididentitetsadministratör .

  7. Välj Bekräfta för att bekräfta inställningen. När installationen har slutförts kan du välja Avsluta och även stänga installationsprogrammet för etableringsagentpaketet.

2. Exponera nödvändiga SAP-API:er

Exponera nödvändiga API:er i SAP ECC NetWeaver 7.51 för att skapa, uppdatera och ta bort användare. Dokumentet Deploy SAP NetWeaver AS ABAP 7.51 går igenom hur du kan exponera nödvändiga API:er.

3. Skapa en mall för anslutningsappar för webbtjänster

Om du inte migrerar från en befintlig webbtjänstanslutning i MIM måste du skapa en anslutningsmall för webbtjänster för ECMA-värden. Om du redan har en anslutningsmall för webbtjänster från MIM fortsätter du i nästa avsnitt.

Du kan använda mallen Authoring the SAP ECC 7.51 Web Service Connector för ECMA2Host-dokumentet som referens för att skapa mallen. Anslutningsappar för Microsoft Identity Manager 2016 innehåller också en mall sapecc.wsconfig som referens. Innan du distribuerar i produktion måste du anpassa mallen för att uppfylla behoven i din specifika miljö. Kontrollera att ServiceName, EndpointName och OperationName är korrekta.

4. Konfigurera den lokala ECMA-appen

  1. I portalen går du till avsnittet Lokal anslutning och väljer den agent som du distribuerade och väljer Tilldela agenter.

    Skärmbild som visar hur du väljer och tilldelar en agent.

  2. Håll det här webbläsarfönstret öppet när du slutför nästa konfigurationssteg med hjälp av konfigurationsguiden.

5. Konfigurera värdcertifikatet för Microsoft Entra ECMA Connector

  1. På Den Windows Server där etableringsagenten är installerad högerklickar du på konfigurationsguiden för Microsoft ECMA2Host från Start-menyn och kör som administratör. Det är nödvändigt att köra som Windows-administratör för att guiden ska kunna skapa nödvändiga Windows-händelseloggar.

  2. När ecma connector-värdkonfigurationen har startats, om det är första gången du kör guiden, uppmanas du att skapa ett certifikat. Lämna standardporten 8585 och välj Generera certifikat för att generera ett certifikat. Det automatiskt genererade certifikatet är självsignerat som en del av den betrodda roten. Certifikatet SAN matchar värdnamnet.

    Skärmbild som visar hur du konfigurerar inställningarna.

  3. Välj Spara.

6. Konfigurera den allmänna anslutningsappen för webbtjänster

I det här avsnittet skapar du anslutningskonfigurationen för SAP ECC.

Konfigurationen av anslutningen till SAP ECC görs med hjälp av en guide. Beroende på vilka alternativ du väljer kanske vissa av guideskärmarna inte är tillgängliga och informationen kan vara något annorlunda. Använd följande information för att vägleda dig i konfigurationen.

6.1 Anslut etableringsagenten till SAP ECC

Följ dessa steg för att ansluta Microsoft Entra-etableringsagenten till SAP ECC:

  1. Kopiera mallfilen sapecc.wsconfig för webbtjänstens anslutningsapp till C:\Program Files\Microsoft ECMA2Host\Service\ECMA mappen.

  2. Generera en hemlig token som ska användas för att autentisera Microsoft Entra-ID till anslutningsappen. Det ska vara minst 12 tecken och unikt för varje program.

  3. Om du inte redan har gjort det startar du konfigurationsguiden för Microsoft ECMA2Host från Windows Start-menyn.

  4. Välj Ny anslutningsapp.

    Skärmbild som visar hur du väljer Ny anslutningsapp.

  5. På sidan Egenskaper fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.

    Skärmbild som visar hur du anger egenskaper.

    Property Värde
    Name Namnet du valde för anslutningsappen, som ska vara unikt för alla anslutningsappar i din miljö. Om du till exempel bara har en SAP-instans, SAPECC7.
    Autosynkronisering av timer (minuter) 120
    Hemlig token Ange den hemliga token som du genererade för den här anslutningsappen. Nyckeln ska vara minst 12 tecken.
    Tilläggs-DLL För anslutningsappen för webbtjänster väljer du Microsoft.IdentityManagement.MA.WebServices.dll.

  6. På sidan Anslutning fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.

    Skärmbild som visar sidan Anslutning.

    Property beskrivning
    Webbtjänstprojekt Ditt SAP ECC-mallnamn, sapecc.
    Host SAP ECC SOAP-slutpunktsvärdnamn, t.ex. vhcalnplci.dummy.nodomain
    Port SAP ECC SOAP-slutpunktsport, t.ex. 8000

  7. På sidan Funktioner fyller du i rutorna med de värden som anges i tabellen nedan och väljer Nästa.

    Property Värde
    Formatmall för unikt namn Allmän
    Exporttyp ObjectReplace
    Datanormalisering Ingen
    Objektbekräftelse Normal
    Aktivera import Kontrollerad
    Aktiverad deltaimport Avmarkerat
    Aktivera export Kontrollerad
    Aktivera fullständig export Avmarkerat
    Aktivera exportlösenord i första passet Kontrollerad
    Inga referensvärden i första exportpasset Avmarkerat
    Aktivera objektbyte Avmarkerat
    Ta bort som ersätt Avmarkerat

Kommentar

Om anslutningsmallen sapecc.wsconfig för webbtjänster öppnas för redigering i webbtjänstkonfigurationsverktyget får du ett fel.

  1. På sidan Global fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.

    Property Värde
    ClientCredentialType Grundläggande
    Användarnamn Användarnamnet för ett konto med behörighet att göra anrop till de BAPI:er som används i SAP ECC-mallen.
    Lösenord Lösenordet för det angivna användarnamnet.
    Testa anslutning Avmarkerat om du inte har något testanslutningsarbetsflöde implementerat i mallen

  2. På sidan Partitioner väljer du Nästa.

  3. På sidan Kör profiler håller du kryssrutan Exportera markerad. Markera kryssrutan Fullständig import och välj Nästa. Profilen Exportera körning används när ECMA Connector-värden behöver skicka ändringar från Microsoft Entra-ID till SAP ECC för att infoga, uppdatera och ta bort poster. Den fullständiga importkörningsprofilen används när ECMA Connector-värdtjänsten startar för att läsa in det aktuella innehållet i SAP ECC.

    Property Värde
    Export Kör profil som exporterar data till SAP ECC-instansen. Den här körningsprofilen krävs.
    Fullständig import Kör profil som importerar alla data från SAP ECC-instansen som angavs tidigare.
    Deltaimport Kör profil som endast importerar ändringar från SAP ECC-instansen sedan den senaste fullständiga importen eller deltaimporten.

  4. På sidan Objekttyper fyller du i rutorna och väljer Nästa. Använd tabellen som följer bilden för vägledning om de enskilda rutorna.

    • Fästpunkt : Värdena för det här attributet ska vara unika för varje objekt i målsystemet. Microsoft Entra-etableringstjänsten frågar ECMA-anslutningsvärden med hjälp av det här attributet efter den inledande cykeln. Det här värdet definieras i mallen för anslutningsappen för webbtjänster.

    • DN : Det automatiskt genererade alternativet bör väljas i de flesta fall. Om det inte är markerat kontrollerar du att DN-attributet är mappat till ett attribut i Microsoft Entra-ID som lagrar DN i det här formatet: CN = anchorValue, Object = objectType. Mer information om fästpunkter och DN finns i Om fästpunktsattribut och unika namn.

      Property Värde
      Målobjekt User
      Fästpunkt userName
      DN userName
      Genereras automatiskt Kontrollerad

  5. ECMA-anslutningsvärden identifierar de attribut som stöds av SAP ECC. Du kan sedan välja vilka av de identifierade attribut som du vill exponera för Microsoft Entra-ID. Dessa attribut kan sedan konfigureras i administrationscentret för Microsoft Entra för etablering. På sidan Välj attribut lägger du till alla attribut i listrutan en i taget. Listrutan Attribut visar alla attribut som identifierades i SAP ECC och som inte valdes på den föregående sidan Välj attribut. När alla relevanta attribut har lagts till väljer du Nästa.

    Skärmbild som visar sidan Välj attribut.

  6. På sidan Avetablering går du till Inaktivera flöde och väljer Ta bort. De attribut som valts på föregående sida är inte tillgängliga att välja på sidan Avetablering. Välj Slutför.

Kommentar

Om du använder värdet Ange attribut bör du vara medveten om att endast booleska värden tillåts.

På sidan Avetablering går du till Inaktivera flöde och väljer Ingen. Du kommer att styra användarkontostatus med egenskapen expirationTime . Under Ta bort flöde väljer du Ingen om du inte vill ta bort SAP-användare eller Ta bort om du gör det. Välj Slutför.

7. Kontrollera att TJÄNSTEN ECMA2Host körs

  1. På servern som kör Microsoft Entra ECMA Connector Host väljer du Starta.

  2. Ange kör och ange services.msc i rutan.

  3. I listan Tjänster kontrollerar du att Microsoft ECMA2Host finns och körs. Om inte väljer du Start.

    Skärmbild som visar att tjänsten körs.

  4. Om du nyligen har startat tjänsten och har många användarobjekt i SAP ECC väntar du flera minuter på att anslutningsappen ska upprätta en anslutning till SAP ECC.

8. Konfigurera programanslutningen i administrationscentret för Microsoft Entra

  1. Gå tillbaka till webbläsarfönstret där du konfigurerade programetablering.

    Kommentar

    Om tidsgränsen för fönstret hade överskrids måste du välja agenten igen.

    1. Logga in på administrationscentret för Microsoft Entra.
    2. Gå till Företagsprogram och det lokala ECMA-appprogrammet .
    3. Välj Etablering.
    4. Välj Kom igång och ändra sedan läget till Automatisk. I avsnittet Lokal anslutning väljer du den agent som du distribuerade och väljer Tilldela agenter. Annars går du till Redigera etablering.

  2. Under avsnittet Administratörsautentiseringsuppgifter anger du följande URL. {connectorName} Ersätt delen med namnet på anslutningsappen på ECMA-anslutningsvärden, till exempel SAPECC7. Anslutningsappens namn är skiftlägeskänsligt och bör vara samma skiftläge som konfigurerades i guiden. Du kan också ersätta localhost med datorns värdnamn.

    Property Värde
    Klientorganisations-URL https://localhost:8585/ecma2host_SAPECC7/scim

  3. Ange värdet för den hemliga token som du definierade när du skapade anslutningsappen.

    Kommentar

    Om du precis har tilldelat agenten till programmet väntar du 10 minuter tills registreringen har slutförts. Anslutningstestet fungerar inte förrän registreringen har slutförts. Att tvinga agentregistreringen att slutföras genom att starta om etableringsagenten på servern kan påskynda registreringsprocessen. Gå till servern, sök efter tjänster i Sökfältet i Windows, identifiera Microsoft Entra Connect Provisioning Agent Service, högerklicka på tjänsten och starta om.

  4. Välj Testa anslutning och vänta en minut.

  5. När anslutningstestet har slutförts och anger att de angivna autentiseringsuppgifterna har behörighet att aktivera etablering väljer du Spara.

    Skärmbild som visar testning av en agent.

9. Konfigurera attributmappningar

Nu ska du mappa attribut mellan representationen av användaren i Microsoft Entra-ID och representationen av användaren i SAP ECC.

Du använder administrationscentret för Microsoft Entra för att konfigurera mappningen mellan Microsoft Entra-användarens attribut och de attribut som du tidigare valde i konfigurationsguiden för ECMA-värden.

  1. Kontrollera att Microsoft Entra-schemat innehåller de attribut som krävs av SAP ECC. Om det kräver att användarna har ett attribut, och det attributet inte redan ingår i ditt Microsoft Entra-schema för en användare, måste du använda funktionen för katalogtillägg för att lägga till attributet som ett tillägg.

  2. I administrationscentret för Microsoft Entra går du till Företagsprogram och väljer det lokala ECMA-appprogrammet och sedan sidan Etablering.

  3. Välj Redigera etablering och vänta 10 sekunder.

  4. Expandera Mappningar och välj Etablera Microsoft Entra-användare. Om det här är första gången du har konfigurerat attributmappningarna för det här programmet finns det bara en mappning för en platshållare.

    Skärmbild som visar etablering av en användare.

  5. Bekräfta att schemat för SAP ECC är tillgängligt i Microsoft Entra-ID genom att markera kryssrutan Visa avancerade alternativ och välja Redigera attributlista för ScimOnPremises. Kontrollera att alla attribut som valts i konfigurationsguiden visas. Annars väntar du flera minuter på att schemat ska uppdateras och läser sedan in sidan igen. När du ser attributen i listan, avbryt sedan från den här sidan för att återgå till mappningslistan.

  6. Klicka nu på mappningen userPrincipalName PLACEHOLDER. Den här mappningen läggs till som standard när du först konfigurerar lokal etablering.

Skärmbild av platshållaren.

Ändra värdet så att det matchar följande:

Mappningstyp Källattribut Målattribut
Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Välj Lägg till ny mappning och upprepa nästa steg för varje mappning.

  2. Ange käll- och målattributen för var och en av mappningarna i följande tabell.

    Microsoft Entra-attribut ScimOnPremises-attribut Matchande prioritet Tillämpa den här mappningen
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Endast när objektet skapas
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Endast när objektet skapas
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Alltid
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Alltid
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Alltid
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Alltid
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Alltid
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Alltid
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Alltid
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Alltid
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Alltid

  3. När alla mappningar har lagts till väljer du Spara.

10. Tilldela användare till programmet

Nu när du har Microsoft Entra ECMA Connector Host som pratar med Microsoft Entra-ID och attributmappningen konfigurerad kan du gå vidare till att konfigurera vem som är i omfånget för etablering.

Viktigt!

Om du har loggat in med rollen Hybrididentitetsadministratör måste du logga ut och logga in med ett konto som har minst rollen Programadministratör för det här avsnittet. Rollen Hybrididentitetsadministratör har inte behörighet att tilldela användare till program.

Om det finns befintliga användare i SAP ECC bör du skapa programrolltilldelningar för dessa befintliga användare. Mer information om hur du skapar programrolltilldelningar i grupp finns i styra ett programs befintliga användare i Microsoft Entra-ID.

Om det inte finns några aktuella användare av programmet väljer du annars en testanvändare från Microsoft Entra som ska etableras till programmet.

  1. Se till att användaren du väljer har alla egenskaper som ska mappas till de attribut som krävs för SAP ECC.

  2. I administrationscentret för Microsoft Entra väljer du Företagsprogram.

  3. Välj det lokala ECMA-appprogrammet .

  4. Till vänster under Hantera väljer du Användare och grupper.

  5. Välj Lägg till användare/grupp.

    Skärmbild som visar hur du lägger till en användare.

  6. Under Användare väljer du Ingen markerad.

    Skärmbild som visar Ingen vald.

  7. Välj användare till höger och välj knappen Välj .

    Skärmbild som visar Välj användare.

  8. Välj nu Tilldela.

    Skärmbild som visar Tilldela användare.

11. Testetablering

Nu när dina attribut har mappats och användarna har tilldelats kan du testa etablering på begäran med en av dina användare.

  1. I administrationscentret för Microsoft Entra väljer du Företagsprogram.

  2. Välj det lokala ECMA-appprogrammet .

  3. Till vänster väljer du Etablering.

  4. Välj Etablera på begäran.

  5. Sök efter en av testanvändarna och välj Etablera.

    Skärmbild som visar testetablering.

  6. Efter flera sekunder visas meddelandet Skapad användare i målsystemet med en lista över användarattributen.

12. Börja etablera användare

  1. När etableringen på begäran har slutförts återgår du till konfigurationssidan för etablering. Kontrollera att omfånget endast är inställt på tilldelade användare och grupper, aktivera etablering och välj Spara.

    Skärmbild som visar Starttablering.

  2. Vänta i upp till 40 minuter innan etableringstjänsten startas. När etableringsjobbet har slutförts, enligt beskrivningen i nästa avsnitt, kan du ändra etableringsstatusen till Av om du är klar med testningen och välja Spara. Den här åtgärden hindrar etableringstjänsten från att köras i framtiden.

Felsöka etableringsfel

Om ett fel visas väljer du Visa etableringsloggar. Leta i loggen efter en rad där Status är Fel och välj på den raden.

Mer information finns på fliken Felsökning och rekommendationer .

Nästa steg