Självstudie: Konfigurera SAP Cloud Identity Services för automatisk användaretablering

Den här självstudien visar stegen för att konfigurera etablering från Microsoft Entra-ID till SAP Cloud Identity Services. Målet är att konfigurera Microsoft Entra-ID för att automatiskt etablera och avetablera användare till SAP Cloud Identity Services, så att dessa användare kan autentisera till SAP Cloud Identity Services och ha åtkomst till andra SAP-arbetsbelastningar. SAP Cloud Identity Services stöder etablering från den lokala identitetskatalogen till andra SAP-program som målsystem.

Kommentar

I den här självstudien beskrivs en anslutningsapp som är inbyggd i Microsoft Entra-användaretableringstjänsten. Viktig information om vad den här tjänsten gör, hur den fungerar och vanliga frågor finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID. SAP Cloud Identity Services har också en egen separat anslutningsapp för att läsa användare och grupper från Microsoft Entra-ID. Mer information finns i SAP Cloud Identity Services – Identity Provisioning – Microsoft Entra ID som källsystem.

Förutsättningar

Scenariot som beskrivs i den här självstudien förutsätter att du redan har följande förutsättningar:

• En Microsoft Entra-klientorganisation
• En SAP Cloud Identity Services-klientorganisation
• Ett användarkonto i SAP Cloud Identity Services med administratörsbehörighet.

Kommentar

Den här integreringen är också tillgänglig för användning från Microsoft Entra US Government Cloud-miljön. Du hittar det här programmet i Microsoft Entra US Government Cloud Application Gallery och konfigurerar det på samma sätt som från den offentliga molnmiljön.

Om du ännu inte har användare i Microsoft Entra-ID börjar du med självstudieplanen för distribution av Microsoft Entra för användaretablering med SAP-käll- och målappar. Den här självstudien visar hur du ansluter Microsoft Entra till auktoritativa källor för listan över arbetare i en organisation, till exempel SAP SuccessFactors. Den visar också hur du använder Microsoft Entra för att konfigurera identiteter för dessa arbetare, så att de kan logga in på ett eller flera SAP-program, till exempel SAP ECC eller SAP S/4HANA.

Om du konfigurerar etablering i SAP Cloud Identity Services i en produktionsmiljö, där du kommer att styra åtkomsten till SAP-arbetsbelastningar med hjälp av Microsoft Entra ID Governance, granskar du förhandskraven innan du konfigurerar Microsoft Entra-ID för identitetsstyrning innan du fortsätter.

Konfigurera SAP Cloud Identity Services för etablering

1. Logga in på administratörskonsolen https://<tenantID>.accounts.ondemand.com/admin för SAP Cloud Identity Services eller https://<tenantID>.trial-accounts.ondemand.com/admin om en utvärderingsversion. Gå till Användare och auktoriseringsadministratörer>.

   

2. Tryck på knappen +Lägg till på den vänstra panelen för att lägga till en ny administratör i listan. Välj Lägg till system och ange namnet på systemet.

   Kommentar

   Administratörsidentiteten i SAP Cloud Identity Services måste vara av typen System. En administratörsanvändare kommer inte att kunna autentisera till SAP SCIM-API:et vid etablering. SAP Cloud Identity Services tillåter inte att namnet på ett system ändras när det har skapats.

3. Under Konfigurera auktoriseringar aktiverar du växlingsknappen mot Hantera användare. Klicka sedan på Spara för att skapa systemet.

   

4. När administratörssystemet har skapats lägger du till en ny hemlighet i systemet.

5. Kopiera klient-ID och klienthemlighet som genereras av SAP. Dessa värden anges i fälten Administratörsanvändarnamn respektive Administratörslösenord. Detta görs på fliken Etablering i ditt SAP Cloud Identity Services-program, som du konfigurerar i nästa avsnitt.

6. SAP Cloud Identity Services kan ha mappningar till ett eller flera SAP-program som målsystem. Kontrollera om det finns några attribut för de användare som dessa SAP-program behöver etableras via SAP Cloud Identity Services. Den här självstudien förutsätter att SAP Cloud Identity Services och underordnade målsystem kräver två attribut och userNameemails[type eq "work"].value. Om dina SAP-målsystem kräver andra attribut och de inte ingår i användarschemat för Microsoft Entra-ID kan du behöva konfigurera attribut för synkroniseringstillägg.

Lägga till SAP Cloud Identity Services från galleriet

Innan du konfigurerar Microsoft Entra-ID för automatisk användaretablering i SAP Cloud Identity Services måste du lägga till SAP Cloud Identity Services från Microsoft Entra-programgalleriet i klientorganisationens lista över företagsprogram. Du kan göra det här steget i administrationscentret för Microsoft Entra eller via Graph API.

Om SAP Cloud Identity Services redan har konfigurerats för enkel inloggning från Microsoft Entra och ett program redan finns i Microsoft Entra-listan över företagsprogram fortsätter du i nästa avsnitt.

Utför följande steg för att lägga till SAP Cloud Identity Services från Microsoft Entra-programgalleriet med hjälp av administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>>>Nytt program.
3. Om du vill lägga till appen från galleriet skriver du SAP Cloud Identity Services i sökrutan.
4. Välj SAP Cloud Identity Services i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera automatisk användaretablering till SAP Cloud Identity Services

Det här avsnittet vägleder dig genom stegen för att konfigurera Microsoft Entra-etableringstjänsten för att skapa, uppdatera och inaktivera användare i SAP Cloud Identity Services baserat på användartilldelningar till ett program i Microsoft Entra-ID.

Så här konfigurerar du automatisk användaretablering för SAP Cloud Identity Services i Microsoft Entra-ID:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>

   

3. I programlistan väljer du programmet SAP Cloud Identity Services.

   

4. Välj fliken Egenskaper.

5. Kontrollera att alternativet Tilldelning krävs är inställt på Ja. Om den är inställd på Nej kan alla användare i din katalog, inklusive externa identiteter, komma åt programmet och du kan inte granska åtkomsten till programmet.

6. Välj fliken Etablering.

   

7. Ange Etableringsläge som Automatiskt.

   

8. Under avsnittet Administratörsautentiseringsuppgifter anger du https://<tenantID>.accounts.ondemand.com/service/scim, eller https://<tenantid>.trial-accounts.ondemand.com/service/scim om en utvärderingsversion, med klientorganisations-ID:t för dina SAP Cloud Identity Services i klient-URL:en. Ange värdena för klient-ID och klienthemlighet som hämtades tidigare i Administratörsanvändarnamnrespektive Administratörslösenord. Klicka på Testa anslutning för att se till att Microsoft Entra ID kan ansluta till SAP Cloud Identity Services. Om anslutningen misslyckas kontrollerar du att ditt SAP Cloud Identity Services-systemkonto har administratörsbehörighet, att hemligheten fortfarande är giltig och försök igen.

   

9. I fältet E-postavisering anger du e-postadressen till en person eller grupp som ska få meddelanden om etableringsfel och markerar kryssrutan – Skicka ett e-postmeddelande när ett fel inträffar.

   

10. Klicka på Spara.

11. Under avsnittet Mappningar väljer du Etablera Microsoft Entra-ID-användare.

    

12. Granska de användarattribut som synkroniseras från Microsoft Entra-ID till SAP Cloud Identity Services i avsnittet Attributmappning . Om du inte ser attributen i dina SAP Cloud Identity Services som är tillgängliga som mål för mappning väljer du Visa avancerade alternativ och väljer Redigera attributlista för SAP Cloud Platform Identity Authentication Service för att redigera listan över attribut som stöds. Lägg till attributen för din SAP Cloud Identity Services-klientorganisation.

13. Granska och registrera de käll- och målattribut som valts som Matchande egenskaper, mappningar som har matchande prioritet, eftersom dessa attribut används för att matcha användarkontona i SAP Cloud Identity Services för Microsoft Entra-etableringstjänsten för att avgöra om en ny användare ska skapas eller uppdateras. Mer information om matchning finns i matchande användare i käll- och målsystemen. I ett efterföljande steg ser du till att alla användare som redan finns i SAP Cloud Identity Services har de attribut som valts som matchande egenskaper ifyllda för att förhindra att dubbletter av användare skapas.

14. Bekräfta att det finns en attributmappning för IsSoftDeleted, eller en funktion som innehåller IsSoftDeleted, mappad till ett attribut för programmet. När en användare inte har tilldelats från programmet, mjuk tas bort i Microsoft Entra-ID eller blockeras från inloggning, uppdaterar Microsoft Entra-etableringstjänsten attributet som mappats till isSoftDeleted. Om inget attribut mappas kommer användare som senare inte har tilldelats från programrollen att fortsätta att finnas i programmets datalager.

15. Lägg till eventuella ytterligare mappningar som SAP Cloud Identity Services eller underordnade SAP-målsystem kräver.

16. Välj knappen Spara för att checka in eventuella ändringar.

    Attribut	Typ	Stöds för filtrering	Krävs av SAP Cloud Identity Services
    userName	String	✓	✓
    emails[type eq "work"].value	String		✓
    active	Booleskt
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Referens
    addresses[type eq "work"].country	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].streetAddress	String
    name.givenName	String
    name.familyName	String
    name.honorificPrefix	String
    phoneNumbers[type eq "fax"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "work"].value	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    locale	String
    timezone	String
    userType	String
    company	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10	String
    sendMail	String
    mailVerified	String

17. Information om hur du konfigurerar omfångsfilter finns i följande instruktioner i självstudien för omfångsfilter.

18. Om du vill aktivera Microsoft Entra-etableringstjänsten för SAP Cloud Identity Services ändrar du etableringsstatusen till På i avsnittet Inställningar.

    

19. För värdet för Omfång i avsnittet Inställningar väljer du Synkronisera endast tilldelade användare och grupper.

    

20. När du är redo att etablera klickar du på Spara.

    

Den här åtgärden startar den första synkroniseringen av alla användare som definierats i omfångeti avsnittet Inställningar . Om omfånget har angetts till Synkronisera endast tilldelade användare och grupper och inga användare eller grupper har tilldelats till programmet sker ingen synkronisering förrän användarna har tilldelats till programmet.

Etablera en ny testanvändare från Microsoft Entra ID till SAP Cloud Identity Services

Vi rekommenderar att en ny Microsoft Entra-testanvändare tilldelas SAP Cloud Identity Services för att testa konfigurationen för automatisk användaretablering.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör och användaradministratör.
2. Gå till Identitet>Användare>Alla användare.
3. Välj Ny användare>Skapa ny användare.
4. Skriv in användarens huvudnamn och visningsnamn för den nya testanvändaren. Användarens huvudnamn måste vara unikt och inte detsamma som för en aktuell eller tidigare Microsoft Entra-användare eller SAP Cloud Identity Services-användare. Välj Granska + skapa och sedan Skapa.
5. När testanvändaren har skapats bläddrar du till Identity>>Enterprise-program.
6. Välj SAP Cloud Identity Services-programmet.
7. Välj Användare och grupper och välj sedan Lägg till användare/grupp.
8. I användare och grupper väljer du Ingen markerad och i textrutan skriver du användarens huvudnamn för testanvändaren.
9. Välj Välj och sedan Tilldela.
10. Välj Etablering och sedan Etablera på begäran.
11. I textrutan Välj en användare eller grupp skriver du användarens huvudnamn för testanvändaren.
12. Klicka på Etablera.
13. Vänta tills etableringen har slutförts. Om det lyckas visas meddelandet Modified attributes (successful).

Du kan också kontrollera vad Microsoft Entra-etableringstjänsten etablerar när en användare hamnar utanför programmets omfång.

1. Välj Användare och grupper.
2. Välj testanvändaren och välj sedan Ta bort.
3. När testanvändaren har tagits bort väljer du Etablering och sedan Etablera på begäran.
4. I textrutan Välj en användare eller grupp skriver du användarens huvudnamn för testanvändaren som just har avtilldelats.
5. Klicka på Etablera.
6. Vänta tills etableringen har slutförts.

Slutligen kan du ta bort testanvändaren från Microsoft Entra-ID.

1. Gå till Identitet>Användare>Alla användare.
2. Välj testanvändaren, välj Ta bort och välj OK. Den här åtgärden tar bort testanvändaren från Microsoft Entra-ID.

Du kan också ta bort testanvändaren från SAP Cloud Identity Services.

Se till att befintliga SAP Cloud Identity Services-användare har nödvändiga matchande attribut

Innan du tilldelar icke-testanvändare till SAP Cloud Identity Services-programmet i Microsoft Entra-ID bör du se till att alla användare som redan finns i SAP Cloud Identity Services som representerar samma personer som användarna i Microsoft Entra-ID:t har mappningsattributen i SAP Cloud Identity Services.

I etableringsmappningen används attributen som valts som Matchande egenskaper för att matcha användarkontona i Microsoft Entra-ID:t med användarkontona i SAP Cloud Identity Services. Om det finns en användare i Microsoft Entra-ID utan matchning i SAP Cloud Identity Services försöker Microsoft Entra-etableringstjänsten skapa en ny användare. Om det finns en användare i Microsoft Entra-ID och en matchning i SAP Cloud Identity Services uppdaterar Microsoft Entra-etableringstjänsten den SAP Cloud Identity Services-användaren. Därför bör du se till att alla användare som redan finns i SAP Cloud Identity Services har de attribut som valts som Matchande egenskaper ifyllda, annars kan dubbletter av användare skapas. Om du behöver ändra det matchande attributet i din Microsoft Entra-programattributmappning kan du läsa matchande användare i käll- och målsystemen.

1. Logga in på administratörskonsolen https://<tenantID>.accounts.ondemand.com/admin för SAP Cloud Identity Services eller https://<tenantID>.trial-accounts.ondemand.com/admin om en utvärderingsversion.

2. Gå till Användare och auktoriseringar > Exportera användare.

3. Välj alla attribut som krävs för att matcha Microsoft Entra-användare med dem i SAP. Dessa attribut inkluderar de SCIM ID, userName, emailsoch andra attribut som du kanske använder i dina SAP-system som identifierare.

4. Välj Exportera och vänta tills webbläsaren har laddat ned CSV-filen.

5. Öppna ett PowerShell-fönster.

6. Skriv följande skript i en redigerare. I rad ett, om du har valt ett annat matchande attribut än userName, ändrar du värdet för variabeln sapScimUserNameField till namnet på SAP Cloud Identity Services-attributet. På rad två ändrar du argumentet till filnamnet för den exporterade CSV-filen från Users-exported-from-sap.csv till namnet på den nedladdade filen.

   $sapScimUserNameField = "userName"
   $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
   $count = 0
   $warn = 0
   foreach ($u in $existingSapUsers) {
    $id = $u.id
    if (($null -eq $id) -or ($id.length -eq 0)) {
        write-error "Exported CSV file does not contain the id attribute of SAP Cloud Identity Services users."
        throw "id attribute not available, re-export"
        return
    }
    $count++
    $userName = $u.$sapScimUserNameField
    if (($null -eq $userName) -or ($userName.length -eq 0)) {
        write-warning "SAP Cloud Identity Services user $id does not have a $sapScimUserNameField attribute populated"
        $warn++
    }
   }
   write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
   

7. Kör skriptet. När skriptet är klart, om det fanns en eller flera användare som saknade det matchande attribut som krävs, letar du upp användarna i den exporterade CSV-filen eller i SAP Cloud Identity Services Admin Console. Om dessa användare också finns i Microsoft Entra måste du först uppdatera SAP Cloud Identity Services-representationen av dessa användare så att de har det matchande attributet fyllt.

8. När du har uppdaterat attributen för dessa användare i SAP Cloud Identity Services exporterar du sedan användarna från SAP Cloud Identity Services på nytt enligt beskrivningen i steg 2–5 och PowerShell-stegen i det här avsnittet för att bekräfta att inga användare i SAP Cloud Identity Services saknar matchande attribut som skulle förhindra etablering till dessa användare.

Nu när du har en lista över alla användare som hämtats från SAP Cloud Identity Services matchar du dessa användare från programmets datalager, med användare som redan finns i Microsoft Entra-ID, för att avgöra vilka användare som ska vara i omfånget för etablering.

Hämta ID:t för användarna i Microsoft Entra-ID

Det här avsnittet visar hur du interagerar med Microsoft Entra-ID med hjälp av Microsoft Graph PowerShell-cmdletar .

Första gången din organisation använder dessa cmdletar för det här scenariot måste du ha en global administratörsroll så att Microsoft Graph PowerShell kan användas i din klientorganisation. Efterföljande interaktioner kan använda en lägre privilegierad roll, till exempel:

• Användaradministratör, om du förväntar dig att skapa nya användare.
• Programadministratör eller identitetsstyrningsadministratör om du bara hanterar programrolltilldelningar.

1. Öppna PowerShell.

2. Om du inte redan har installerat Microsoft Graph PowerShell-modulerna installerar du modulen Microsoft.Graph.Users och andra med hjälp av det här kommandot:

   Install-Module Microsoft.Graph
   

   Om du redan har installerat modulerna kontrollerar du att du använder en ny version:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Anslut till Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Om det är första gången du använder det här kommandot kan du behöva godkänna att Microsoft Graph-kommandoradsverktygen har dessa behörigheter.

5. Läs listan över användare som hämtats från programmets datalager i PowerShell-sessionen. Om listan över användare fanns i en CSV-fil kan du använda PowerShell-cmdleten Import-Csv och ange namnet på filen från föregående avsnitt som ett argument.

   Om filen som hämtas från SAP Cloud Identity Services till exempel heter Users-exported-from-sap.csv och finns i den aktuella katalogen anger du det här kommandot.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Om du till exempel använder en databas eller katalog, om filen heter users.csv och finns i den aktuella katalogen, anger du följande kommando:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Välj kolumnen i den users.csv fil som ska matcha med ett attribut för en användare i Microsoft Entra-ID.

   Om du använder SAP Cloud Identity Services är standardmappningen SAP SCIM-attributet userName med Microsoft Entra ID-attributet userPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Om du till exempel använder en databas eller katalog kan du ha användare i en databas där värdet i kolumnen med namnet EMail är samma värde som i Microsoft Entra-attributet userPrincipalName:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Hämta ID:t för dessa användare i Microsoft Entra-ID.

   Följande PowerShell-skript använder värdena $dbusers, $db_match_column_nameoch som $azuread_match_attr_name angavs tidigare. Den frågar Microsoft Entra-ID för att hitta en användare som har ett attribut med ett matchande värde för varje post i källfilen. Om det finns många användare i filen som hämtas från SAP Cloud Identity Services, databasen eller katalogen för källan kan det ta flera minuter att slutföra det här skriptet. Om du inte har ett attribut i Microsoft Entra-ID som har värdet och behöver använda ett contains eller annat filteruttryck måste du anpassa skriptet och det i steg 11 nedan för att använda ett annat filteruttryck.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Visa resultatet av tidigare frågor. Se om någon av användarna i SAP Cloud Identity Services, databasen eller katalogen inte kunde finnas i Microsoft Entra-ID på grund av fel eller saknade matchningar.

   Följande PowerShell-skript visar antalet poster som inte fanns:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. När skriptet är klart anger det ett fel om några poster från datakällan inte fanns i Microsoft Entra-ID. Om inte alla poster för användare från programmets datalager kunde finnas som användare i Microsoft Entra-ID måste du undersöka vilka poster som inte matchade och varför.

   Till exempel kan någons e-postadress och userPrincipalName ha ändrats i Microsoft Entra-ID utan att deras motsvarande mail egenskap uppdaterades i programmets datakälla. Eller så kanske användaren redan har lämnat organisationen men fortfarande finns i programmets datakälla. Eller så kan det finnas ett leverantörs- eller superadministratörskonto i programmets datakälla som inte motsvarar någon specifik person i Microsoft Entra-ID.

10. Om det fanns användare som inte kunde hittas i Microsoft Entra-ID eller inte var aktiva och kunde logga in, men du vill att deras åtkomst ska granskas eller deras attribut uppdateras i SAP Cloud Identity Services, databasen eller katalogen, måste du uppdatera programmet, matchningsregeln eller uppdatera eller skapa Microsoft Entra-användare åt dem. Mer information om vilka ändringar som ska utföras finns i Hantera mappningar och användarkonton i program som inte matchade användare i Microsoft Entra-ID.

    Om du väljer alternativet att skapa användare i Microsoft Entra-ID kan du skapa användare i grupp med hjälp av antingen:

    • En CSV-fil, enligt beskrivningen i Massskapa användare i administrationscentret för Microsoft Entra
    • Cmdleten New-MgUser

    Se till att dessa nya användare är ifyllda med de attribut som krävs för att Microsoft Entra-ID ska matcha dem senare med de befintliga användarna i programmet och de attribut som krävs av Microsoft Entra-ID, inklusive userPrincipalName, mailNickname och displayName. userPrincipalName Måste vara unikt bland alla användare i katalogen.

    Du kan till exempel ha användare i en databas där värdet i kolumnen med namnet EMail är det värde som du vill använda som Microsoft Entra-användarens huvudnamn, värdet i kolumnen Alias innehåller e-postnamnet Microsoft Entra och värdet i kolumnen Full name innehåller användarens visningsnamn:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Sedan kan du använda det här skriptet för att skapa Microsoft Entra-användare för användare i SAP Cloud Identity Services, databasen eller katalogen som inte matchade med användare i Microsoft Entra-ID. Observera att du kan behöva ändra det här skriptet för att lägga till ytterligare Microsoft Entra-attribut som behövs i din organisation, eller om $azuread_match_attr_name varken är mailNickname eller userPrincipalName, för att kunna ange det Microsoft Entra-attributet.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. När du har lagt till användare som saknas i Microsoft Entra-ID kör du skriptet från steg 7 igen. Kör sedan skriptet från steg 8. Kontrollera att inga fel rapporteras.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Se till att befintliga Microsoft Entra-användare har nödvändiga attribut

Innan du aktiverar automatisk användaretablering måste du bestämma vilka användare i Microsoft Entra-ID som behöver åtkomst till SAP Cloud Identity Services, och sedan måste du kontrollera att användarna har de attribut som krävs i Microsoft Entra-ID och att dessa attribut mappas till det förväntade schemat för SAP Cloud Identity Services.

• Som standard mappas värdet för Microsoft Entra-användarattributet userPrincipalName till både attributen userName och emails[type eq "work"].value för SAP Cloud Identity Services. Om användarens e-postadresser skiljer sig från användarens huvudnamn kan du behöva ändra den här mappningen.
• SAP Cloud Identity Services kan ignorera värden för attributet postalCode om formatet för Postnummer för företag inte matchar företagets land eller region.
• Som standard mappas Microsoft Entra-attributet department till attributet SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department . Om Microsoft Entra-användare har värden för department attributet måste dessa värden matcha de avdelningar som redan har konfigurerats i SAP Cloud Identity Services, annars misslyckas skapande eller uppdatering av användaren. department Om värdena i dina Microsoft Entra-användare inte är konsekventa med värdena i DIN SAP-miljö tar du bort mappningen innan du tilldelar användare.
• SAP Cloud Identity Services SCIM-slutpunkt kräver att vissa attribut har ett visst format. Du kan veta mer om dessa attribut och deras specifika format här.

Tilldela användare till SAP Cloud Identity Services-programmet i Microsoft Entra-ID

Microsoft Entra-ID använder ett begrepp som kallas tilldelningar för att avgöra vilka användare som ska få åtkomst till valda appar. I samband med automatisk användaretablering synkroniseras endast de användare och grupper som har tilldelats till en programroll i programmet i Microsoft Entra-ID med SAP Cloud Identity Services om värdet för Omfångär Synkroniserade endast tilldelade användare och grupper. När du tilldelar en användare till SAP Cloud Identity Services måste du välja en giltig programspecifik roll (om tillgänglig) i tilldelningsdialogrutan. Användare med standardåtkomstrollen undantas från etablering. För närvarande är den enda tillgängliga rollen för SAP Cloud Identity Services användare.

Om etablering redan har aktiverats för programmet kontrollerar du att programetablering inte är i karantän innan du tilldelar fler användare till programmet. Lös eventuella problem som orsakar karantänen innan du fortsätter.

Sök efter användare som finns i SAP Cloud Identity Services och som inte redan har tilldelats programmet i Microsoft Entra-ID

Föregående steg har utvärderat om användarna i SAP Cloud Identity Services också finns som användare i Microsoft Entra-ID. De kanske dock inte alla för närvarande tilldelas till programmets roller i Microsoft Entra-ID. Nästa steg är därför att se vilka användare som inte har tilldelningar till programroller.

1. Med PowerShell letar du upp tjänstens huvudnamns-ID för programmets tjänsthuvudnamn.

   Om företagsprogrammet till exempel heter SAP Cloud Identity Servicesanger du följande kommandon:

   $azuread_app_name = "SAP Cloud Identity Services"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Hämta de användare som för närvarande har tilldelningar till programmet i Microsoft Entra-ID.

   Detta bygger på variabeluppsättningen $azuread_sp i föregående kommando.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Jämför listan över användar-ID:n för de användare som redan finns i både SAP Cloud Identity Services och Microsoft Entra ID med de användare som för närvarande har tilldelats programmet i Microsoft Entra-ID. Det här skriptet bygger på variabeluppsättningen $azuread_match_id_list i föregående avsnitt:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Om noll användare inte har tilldelats till programroller, vilket anger att alla användare har tilldelats till programroller, betyder det att det inte fanns några vanliga användare i Microsoft Entra ID och SAP Cloud Identity Services, så inga ändringar behövs. Men om en eller flera användare som redan finns i SAP Cloud Identity Services för närvarande inte har tilldelats programrollerna måste du fortsätta proceduren och lägga till dem i en av programmets roller.

4. Välj rollen som User programtjänstens huvudnamn.

   $azuread_app_role_name = "User"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

5. Skapa programrolltilldelningar för användare som redan finns i SAP Cloud Identity Services och Microsoft Entra och som för närvarande inte har rolltilldelningar till programmet:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
   }
   

6. Vänta en minut på att ändringarna ska spridas inom Microsoft Entra-ID.

7. I nästa Microsoft Entra-etableringscykel jämför Microsoft Entra-etableringstjänsten representationen av de användare som tilldelats programmet, med representationen i SAP Cloud Identity Services och uppdaterar SAP Cloud Identity Services-användare så att de har attributen från Microsoft Entra ID.

Tilldela återstående användare och övervaka inledande synkronisering

När testningen är klar, en användare har etablerats till SAP Cloud Identity Services och alla befintliga SAP Cloud Identity Services-användare har tilldelats till programrollen, kan du tilldela ytterligare behöriga användare till SAP Cloud Identity Services-programmet genom att följa någon av anvisningarna här:

• Du kan tilldela varje enskild användare till programmet i administrationscentret för Microsoft Entra.
• Du kan tilldela enskilda användare till programmet via PowerShell-cmdleten New-MgServicePrincipalAppRoleAssignedTo enligt föregående avsnitt, eller
• Om din organisation har en licens för Microsoft Entra ID-styrning kan du även distribuera principer för berättigandehantering för att automatisera åtkomsttilldelningen.

När användarna har tilldelats programrollen och är i omfånget för etablering etablerar Microsoft Entra-etableringstjänsten dem till SAP Cloud Identity Services. Observera att den inledande synkroniseringen tar längre tid att utföra än efterföljande synkroniseringar, som sker ungefär var 40:e minut så länge Microsoft Entra-etableringstjänsten körs.

Om du inte ser användare som etableras läser du stegen i felsökningsguiden för att inga användare etableras. Kontrollera sedan etableringsloggen via administrationscentret för Microsoft Entra eller Graph-API:er. Filtrera loggen till statusfelet. Om det uppstår fel med en ErrorCode av DuplicateTargetEntries indikerar detta en tvetydighet i dina matchningsregler för etablering, och du måste uppdatera Microsoft Entra-användarna eller mappningarna som används för matchning för att säkerställa att varje Microsoft Entra-användare matchar en programanvändare. Filtrera sedan loggen till åtgärden Skapa och status hoppas över. Om användarna hoppades över med SkipReason-koden NotEffectivelyEntitled kan detta tyda på att användarkontona i Microsoft Entra-ID:t inte matchades eftersom användarkontostatusen var Inaktiverad.

Konfigurera enkel inloggning

Du kan också välja att aktivera SAML-baserad enkel inloggning för SAP Cloud Identity Services, enligt anvisningarna i självstudiekursen för enkel inloggning med SAP Cloud Identity Services. Enkel inloggning kan konfigureras oberoende av automatisk användaretablering, även om dessa två funktioner kompletterar varandra.

Övervaka etablering

Du kan använda avsnittet Synkroniseringsinformation för att övervaka förloppet och följa länkar till etableringsaktivitetsrapporten, som beskriver alla åtgärder som utförs av Microsoft Entra-etableringstjänsten i SAP Cloud Identity Services. Du kan också övervaka etableringsprojektet via Microsoft Graph-API:erna.

Mer information om hur du läser Microsoft Entra-etableringsloggarna finns i Rapportering om automatisk etablering av användarkonton.

Underhålla programrolltilldelningar

När användare som är tilldelade till programmet uppdateras i Microsoft Entra-ID etableras dessa ändringar automatiskt till SAP Cloud Identity Services.

Om du har Microsoft Entra ID-styrning kan du automatisera ändringar i programrolltilldelningarna för SAP Cloud Identity Services i Microsoft Entra-ID, lägga till eller ta bort tilldelningar när personer ansluter till organisationen eller lämna eller ändra roller.

• Du kan utföra en engångs- eller återkommande åtkomstgranskning av programrolltilldelningarna.
• Du kan skapa ett åtkomstpaket för berättigandehantering för det här programmet. Du kan ha principer för användare som ska tilldelas åtkomst, antingen när de begär det, av en administratör, automatiskt baserat på regler eller via livscykelarbetsflöden.

Fler resurser

• Hantera användarkontoetablering för Enterprise-appar
• Vad är programåtkomst och enkel inloggning med Microsoft Entra-ID?
• Hantera åtkomst till dina SAP-program
• Styra åtkomsten för program i din miljö

Nästa steg

• Lär dig att granska loggar och hämta rapporter om etableringsaktivitet