Freigeben über

Konfigurieren von Microsoft Entra ID zum Bereitstellen von Benutzer*innen in SAP ECC mit NetWeaver AS ABAP 7.0 oder höher

  • Artikel

Die folgende Dokumentation enthält Konfigurations- und Tutorialinformationen, die zeigen, wie Benutzer innen aus Microsoft Entra ID in SAP ERP Central Component (SAP ECC, früher SAP R/3) mit NetWeaver 7.0 oder höher bereitgestellt werden. Wenn Sie andere Versionen von SAP R/3 verwenden, können Sie noch die unter Connectors für Microsoft Identity Manager 2016 bereitgestellten Anleitungen als Referenz verwenden, um Ihre eigene Vorlage für die Bereitstellung zu erstellen. Wenn Sie SAP S/4HANA oder andere SAP-SaaS-Anwendungen verwenden, führen Sie stattdessen die Schritte im Tutorial zum Konfigurieren von SAP Cloud Identity Services für die automatische Benutzerbereitstellung aus. Weitere Informationen zu den SAP-Integrationen finden Sie unter Verwalten des Zugriffs auf Ihre SAP-Anwendungen.

Das folgende Video enthält eine Übersicht über die lokale Benutzerbereitstellung.

Unterstützte Funktionen

  • Erstellen von Benutzern in SAP ECC.
  • Entfernen von Benutzern aus SAP ECC, wenn diese keinen Zugriff mehr benötigen.
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und SAP ECC.

Nicht betreffende Organisationen

  • Andere Objekttypen, einschließlich lokaler Aktivitätsgruppen, Rollen und Profile, werden nicht unterstützt. Verwenden Sie Microsoft Identity Manager, wenn diese Objekte erforderlich sind.
  • Kennwortvorgänge werden nicht unterstützt. Verwenden Sie Microsoft Identity Manager, wenn eine Kennwortverwaltung erforderlich ist.

Voraussetzungen für die Bereitstellung in SAP ECC mit NetWeaver AS ABAP 7.51

Lokale Voraussetzungen

Der Computer, auf dem der Bereitstellungs-Agent ausgeführt wird, sollte über Folgendes verfügen:

  • Mindestens 3 GB RAM.
  • Windows Server 2016 oder eine höhere Version von Windows Server
  • Verbindung mit einem System mit SAP ECC NetWeaver AS ABAP 7.51
  • Ausgehende Verbindung mit „login.microsoftonline.com“, anderen Microsoft Online Services und Azure-Domänen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
  • .NET Framework 4.7.2

Cloudanforderungen

  • Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5).

    Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

  • Die Rolle „Hybrididentitätsadministrator“ zum Konfigurieren des Bereitstellungs-Agents und die Rollen „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zum Konfigurieren der Bereitstellung im Microsoft Entra Admin Center

  • Die Microsoft Entra-Benutzer, die in SAP ECC bereitgestellt werden sollen, müssen bereits mit allen für SAP ECC erforderlichen Attributen aufgefüllt sein.

1. Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

Wenn Sie den Bereitstellungs-Agent bereits heruntergeladen und für eine andere lokale Anwendung konfiguriert haben, lesen Sie im nächsten Abschnitt weiter.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Unternehmensanwendungen, und wählen Sie Neue Anwendung aus.
  3. Suchen Sie nach der lokalen Ecma International-App, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
  4. Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.
  5. Wählen Sie Erste Schritte aus.
  6. Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.

Screenshot: Auswahl von „Automatisch“

  1. Wählen Sie unter Lokale Konnektivität die Option Herunterladen und Installieren und dann Bedingungen akzeptieren und herunterladen aus.

  2. Verlassen Sie das Portal und führen Sie das Installationsprogramm für den Bereitstellungsagenten aus, stimmen Sie den Nutzungsbedingungen zu und wählen Sie Installieren aus.

  3. Warten Sie auf den Konfigurationsassistenten für den Microsoft Entra-Bereitstellungsagenten und wählen Sie dann Weiter aus.

  4. Wählen Sie im Schritt Erweiterung auswählen die Option Lokale Anwendungsbereitstellung und dann Weiter aus.

  5. Der Bereitstellungs-Agent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und ggf. auch beim Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser unter Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites der Liste der vertrauenswürdigen Websites Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.

  6. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Das Benutzerkonto muss mindestens über die Rolle Hybrididentitätsadministrator verfügen.

  7. Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.

2. Verfügbarmachen der erforderlichen SAP-APIs

Machen Sie die erforderlichen APIs in SAP ECC NetWeaver 7.51 verfügbar, um Benutzer zu erstellen, zu aktualisieren und zu löschen. In der Datei von Connectors für Microsoft Identity Manager 2016 mit dem Namen Deploying SAP NetWeaver AS ABAP 7.pdf wird erläutert, wie Sie die erforderlichen APIs verfügbar machen können.

3. Erstellen einer Vorlage für den Webdienstconnector

Wenn Sie nicht von einem vorhandenen Webdienstconnector in MIM migrieren, müssen Sie eine Webdienstconnector-Vorlage für den Ecma International-Host erstellen. Wenn Sie bereits über eine Webdienstconnector-Vorlage von MIM verfügen, fahren Sie mit dem nächsten Abschnitt fort.

Sie können den Leitfaden Authoring SAP ECC 7 Template for ECMA2Host.pdf unter Connectors für Microsoft Identity Manager 2016 als Referenz zum Erstellen Ihrer Vorlage verwenden. Connectors für Microsoft Identity Manager 2016 stellt auch eine Vorlagendatei (sapecc.wsconfig) als Referenz bereit. Vor der Bereitstellung in der Produktion müssen Sie die Vorlage an die Anforderungen Ihrer jeweiligen Umgebung anpassen. Stellen Sie sicher, dass ServiceName, EndpointName und OperationName korrekt sind.

4. Konfigurieren der lokalen ECMA-App

  1. Wählen Sie im Portal im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus.

    Screenshot: Auswahl und Zuweisung eines Agents.

  2. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

5. Konfigurieren des Zertifikats für den Microsoft Entra-ECMA-Connectorhost

  1. Klicken Sie auf dem Windows-Server, auf dem der Bereitstellungs-Agent installiert ist, im Startmenü mit der rechten Maustaste auf den Microsoft ECMA2Host-Konfigurations-Assistenten und führen Sie ihn als Administrator aus. Die Ausführung als Windows-Administrator ist erforderlich, damit der Assistent die erforderlichen Windows-Ereignisprotokolle erstellen kann.

  2. Wenn dies das erste Mal ist, dass Sie den Assistenten ausführen, werden Sie nach dem Starten der Konfiguration des ECMA-Connectorhosts aufgefordert, ein Zertifikat zu erstellen. Übernehmen Sie den Standardport 8585, und wählen Sie Zertifikat generieren aus, um ein Zertifikat zu generieren. Bei dem automatisch generierten Zertifikat handelt es sich um ein selbstsigniertes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle. Das Zertifikat-SAN stimmt mit dem Hostnamen überein.

    Screenshot: Konfigurieren der Einstellungen

  3. Wählen Sie Speichern.

6. Konfigurieren des generischen Webdienstconnectors

In diesem Abschnitt erstellen Sie die Connectorkonfiguration für SAP ECC.

Die Konfiguration der Verbindung mit SAP ECC erfolgt mithilfe eines Assistenten. Je nachdem, welche Optionen Sie auswählen, sind einige Bildschirme des Assistenten möglicherweise nicht verfügbar, und die Informationen können sich geringfügig unterscheiden. Die folgenden Informationen können Ihnen bei der Konfiguration nützlich sein.

6.1 Verbinden des Bereitstellungs-Agents mit SAP ECC

Führen Sie die folgenden Schritte aus, um den Microsoft Entra-Bereitstellungs-Agent mit SAP ECC zu verbinden:

  1. Kopieren Sie die Vorlagendatei für den Webdienstconnector sapecc.wsconfig in den Ordner C:\Program Files\Microsoft ECMA2Host\Service\ECMA.

  2. Generieren Sie ein geheimes Token für die Authentifizierung von Microsoft Entra ID beim Connector. Es sollte mindestens 12 Zeichen umfassen und für jede Anwendung eindeutig sein.

  3. Wenn Sie dies noch nicht getan haben, starten Sie im Windows-Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten.

  4. Wählen Sie Neuer Connector aus.

    Screenshot: Auswählen von „Neuer Connector“

  5. Füllen Sie auf der Seite Eigenschaften die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus.

    Screenshot: Eingeben von Eigenschaften

    Eigenschaft Wert
    Name Der Name für den Connector. Muss für alle Connectors in Ihrer Umgebung eindeutig sein. Wenn Sie beispielsweise nur über eine SAP-Instanz verfügen, ist dies SAPECC7.
    Zeitgeber für automatische Synchronisierung (Minuten) 120
    Geheimes Token Geben Sie das geheime Token ein, das Sie für diesen Connector generiert haben. Der Schlüssel sollte mindestens 12 Zeichen lang sein.
    Erweiterungs-DLL Wählen Sie für den Webdienstconnector Microsoft.IdentityManagement.MA.WebServices.dll aus.

  6. Füllen Sie auf der Seite Konnektivität die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus.

    Screenshot der Seite „Konnektivität“.

    Eigenschaft BESCHREIBUNG
    Webdienstprojekt Ihr SAP ECC-Vorlagenname: sapecc
    Host Hostname für den SAP ECC-SOAP-Endpunkt (z. B. vhcalnplci.dummy.nodomain)
    Port Port für den SAP ECC-SOAP-Endpunkt (z. B. 8000)

  7. Füllen Sie auf der Seite Funktionen die Felder mit den Werten aus, die in der folgenden Tabelle angegeben sind, und wählen Sie Weiter aus.

    Eigenschaft Wert
    Distinguished Name Style Allgemein
    Exporttyp ObjectReplace
    Datennormalisierung Keine
    Objektbestätigung Normal
    Import aktivieren Überprüft
    Deltaimport aktiviert Deaktiviert
    Export aktivieren Überprüft
    Vollständigen Export aktivieren Deaktiviert
    Kennwortexport im ersten Durchlauf aktivieren Überprüft
    Keine Referenzwerte im ersten Exportdurchlauf Deaktiviert
    Objektumbenennung aktivieren Deaktiviert
    Löschen/Hinzufügen als Ersetzung Deaktiviert

Hinweis

Wenn Ihre Vorlage für den Webdienstconnector sapecc.wsconfig zur Bearbeitung im Webdienstkonfigurationstool geöffnet ist, erhalten Sie eine Fehlermeldung.

  1. Füllen Sie auf der Seite Global die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus.

    Eigenschaft Wert
    ClientCredentialType Basic
    Benutzername Der Benutzername eines Kontos mit Rechten zum Aufrufen von BAPIs, die in der SAP ECC-Vorlage verwendet werden.
    Kennwort Das Kennwort des angegebenen Benutzernamens.
    Testen der Verbindung Deaktiviert, wenn Sie keinen Workflow zum Testen der Verbindung in Ihrer Vorlage implementiert haben.

  2. Wählen Sie auf der Seite Partitionen die Schaltfläche Weiter aus.

  3. Behalten Sie auf der Seite Ausführungsprofile die Aktivierung des Kontrollkästchens Export bei. Aktivieren Sie das Kontrollkästchen Vollständiger Import, und wählen Sie Weiter aus. Das Ausführungsprofil Export wird verwendet, wenn der Ecma International-Connectorhost Änderungen von Microsoft Entra ID an SAP ECC senden muss, um Datensätze einzufügen, zu aktualisieren und zu löschen. Das Ausführungsprofil Vollständiger Import wird verwendet, wenn der ECMA-Connectorhostdienst gestartet wird, um den aktuellen Inhalt von SAP ECC einzulesen.

    Eigenschaft Wert
    Exportieren Ausführungsprofil zum Exportieren von Daten in die SAP ECC-Instanz. Dieses Ausführungsprofil ist erforderlich.
    Vollständiger Import Ausführungsprofil zum Importieren aller Daten aus der zuvor angegebenen SAP ECC-Instanz.
    Deltaimport Ausführungsprofil, das nur Änderungen aus der SAP ECC-Instanz seit dem letzten vollständigen oder Deltaimport importiert.

  4. Füllen Sie die Felder auf der Seite Objekttypen aus, und wählen Sie Weiter aus. In der Tabelle unter der Abbildung finden Sie Anweisungen für die einzelnen Felder.

    • Anker: Die Werte dieses Attributs sollten für jedes Objekt im Zielsystem eindeutig sein. Der Microsoft Entra-Bereitstellungsdienst fragt den ECMA-Connectorhost nach dem ersten Zyklus mit diesem Attribut ab. Dieser Wert wird in der Vorlage für den Webdienstconnector definiert.

    • DN: In den meisten Fällen sollte die Option „Automatisch generiert“ aktiviert werden. Wenn es nicht ausgewählt ist, stellen Sie sicher, dass das DN-Attribut einem Attribut in Microsoft Entra ID zugeordnet ist, das den DN in diesem Format speichert: CN = anchorValue, Object = objectType. Weitere Informationen zu Ankern und dem DN finden Sie unter Grundlegendes zu Ankerattributen und DNs (Distinguished Names).

      Eigenschaft Wert
      Zielobjekt User
      Anchor userName
      DN userName
      Automatisch generiert Überprüft

  5. Der ECMA-Connectorhost erkennt die von SAP ECC unterstützten Attribute. Sie können dann wählen, welches der erkannten Attribute Sie für Microsoft Entra ID verfügbar machen möchten. Diese Attribute können dann im Microsoft Entra Admin Center zur Bereitstellung konfiguriert werden. Fügen Sie auf der Seite Attribute auswählen alle Attribute aus der Dropdownliste jeweils einzeln hinzu. In der Dropdownliste Attribut werden alle Attribute angezeigt, die in SAP ECC erkannt wurden und nicht auf der vorherigen Seite Attribute auswählen ausgewählt wurden. Nachdem alle relevanten Attribute hinzugefügt wurden, wählen Sie Weiter aus.

    Screenshot der Seite „Attribute auswählen“.

  6. Wählen Sie auf der Seite Bereitstellung aufheben unter Flow deaktivieren die Option Löschen aus. Die auf der vorherigen Seite ausgewählten Attribute können auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden. Wählen Sie Fertig stellen aus.

Hinweis

Wenn Sie Attributwert festlegen verwenden, sollten Sie beachten, dass nur boolesche Werte zulässig sind.

Wählen Sie auf der Seite Bereitstellung aufheben unter „Flow deaktivieren“ die Option „Keine“ aus. Sie steuern den Status des Benutzerkontos mit der Eigenschaft expirationTime. Wählen Sie unter „Flow löschen“ die Option „Keine“ aus, wenn Sie keine SAP-Benutzer löschen möchten, oder wählen Sie „Löschen“ aus, wenn Sie Benutzer löschen möchten. Wählen Sie Fertig stellenaus.

7. Sicherstellen, dass der ECMA2Host-Dienst ausgeführt wird

  1. Wählen Sie auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird, Starten aus.

  2. Geben Sie run (Ausführen) und services.msc in das Feld ein.

  3. Stellen Sie sicher, dass Microsoft ECMA2Host in der in der Liste Dienste enthalten ist und ausgeführt wird. Wählen Sie andernfalls Starten aus.

    Screenshot: Ausgeführter Dienst

  4. Wenn Sie den Dienst kürzlich gestartet haben und über viele Benutzerobjekte in SAP ECC verfügen, warten Sie einige Minuten, bis der Connector eine Verbindung mit SAP ECC herstellt.

8. Konfigurieren der Anwendungsverbindung im Microsoft Entra Admin Center

  1. Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung konfiguriert haben.

    Hinweis

    Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.

    1. Melden Sie sich beim Microsoft Entra Admin Center an.
    2. Wechseln Sie zu Unternehmensanwendungen und der Anwendung Lokale ECMA-App.
    3. Wählen Sie Bereitstellung aus.
    4. Wählen Sie Erste Schritte aus, und ändern Sie dann den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.

  2. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil {connectorName} durch den Namen des Connectors auf dem ECMA-Connectorhost, z. B. SAPECC7. Beim Connectornamen muss die Groß-/Kleinschreibung beachtet werden, und sie sollte mit der im Assistenten konfigurierten identisch sein. Sie können localhost auch durch den Hostnamen Ihres Computers ersetzen.

    Eigenschaft Wert
    Mandanten-URL https://localhost:8585/ecma2host_SAPECC7/scim

  3. Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.

    Hinweis

    Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie über die Windows-Suchleiste nach Dienste, identifizieren Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.

  4. Wählen Sie Verbindung testen aus, und warten Sie eine Minute.

  5. Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.

    Screenshot des Tests eines Agents.

9. Konfigurieren von Attributzuordnungen

Nun ordnen Sie Attribute der Darstellung des Benutzers in Microsoft Entra ID der Darstellung des Benutzers in SAP ECC zu.

Sie verwenden das Microsoft Entra Admin Center, um die Zuordnung zwischen den Attributen von Microsoft Entra-Benutzern und den Attributen zu konfigurieren, die Sie zuvor im Assistenten für die Ecma International-Hostkonfiguration ausgewählt haben.

  1. Stellen Sie sicher, dass das Microsoft Entra-Schema die Attribute enthält, die für SAP ECC erforderlich sind. Wenn Benutzer über ein Attribut verfügen müssen und dieses Attribut nicht bereits Teil Ihres Microsoft Entra-Schemas für Benutzer ist, müssen Sie die Verzeichniserweiterungsfunktion verwenden, um dieses Attribut als Erweiterung hinzuzufügen.

  2. Wählen Sie im Microsoft Entra-Admin Center unter Unternehmensanwendungen die Anwendung Lokale ECMA-App aus und wählen Sie dann die Seite Bereitstellung aus.

  3. Wählen Sie Bereitstellung bearbeiten aus, und warten Sie 10 Sekunden.

  4. Erweitern Sie Zuordnungen, und wählen Sie Microsoft Entra-Benutzer bereitstellen aus. Wenn Sie die Attributzuordnungen für diese Anwendung zum ersten Mal konfiguriert haben, ist nur eine Zuordnung für einen Platzhalter vorhanden.

    Screenshot: Bereitstellung eines Benutzers

  5. Um sicherzustellen, dass das Schema von SAP ECC in Microsoft Entra ID verfügbar ist, aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen, und wählen Sie Attributliste für ScimOnPremises bearbeiten aus. Stellen Sie sicher, dass alle im Konfigurations-Assistenten ausgewählten Attribute aufgelistet sind. Falls nicht, warten Sie einige Minuten, bis das Schema aktualisiert wurde, und laden Sie die Seite dann neu. Wenn die Attribute aufgelistet werden, wählen Sie „Abbrechen“ aus, um zur Zuordnungsliste zurückzukehren.

  6. Klicken Sie nun auf die Zuordnung userPrincipalName PLATZHALTER. Diese Zuordnung wird standardmäßig hinzugefügt, wenn Sie die lokale Bereitstellung zum ersten Mal konfigurieren.

Screenshot: Platzhalter

Ändern Sie den Wert folgendermaßen:

Zuordnungstyp Quellattribut Zielattribut
Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Wählen Sie nun Neue Zuordnung hinzufügen aus, und wiederholen Sie den nächsten Schritt für jede Zuordnung.

  2. Geben Sie die Quell- und Zielattribute für jede der Mappings in der folgenden Tabelle an.

    Microsoft Entra-Attribute ScimOnPremises-Attribut Rangfolge für Abgleich Diese Zuordnung anwenden
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Nur beim Erstellen von Objekten
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Nur beim Erstellen von Objekten
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Always
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Always
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Always
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Always
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Always
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Always
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Always
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Always
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Immer

  3. Nachdem Sie alle Zuordnungen hinzugefügt haben, wählen Sie Speichern aus.

10. Zuweisen von Benutzern zur Anwendung

Da der Microsoft Entra-ECMA-Connectorhost und Microsoft Entra ID nun miteinander kommunizieren und die Attributzuordnungen konfiguriert sind, können Sie mit der Konfiguration der Benutzer für den Bereitstellungsbereich fortfahren.

Wichtig

Wenn Sie mit der Rolle „Hybrididentitätsadmin“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das mindestens über die Rolle „Anwendungsadmin“ verfügt. Die Rolle „Hybrididentitätsadministrator“ verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.

Wenn Benutzer in SAP ECC vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum Erstellen von großen Mengen von Anwendungsrollenzuweisungen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.

Andernfalls, wenn keine aktuellen Benutzer der Anwendung vorhanden sind, wählen Sie einen Testbenutzer aus Microsoft Entra aus, der für die Anwendung bereitgestellt wird.

  1. Stellen Sie sicher, dass der von Ihnen auszuwählende Benutzer alle Eigenschaften aufweist, die den erforderlichen Attributen von SAP ECC zugeordnet werden.

  2. Wählen Sie im Microsoft Entra Admin Center die Option Unternehmensanwendungen aus.

  3. Wählen Sie die Anwendung Lokale ECMA-App aus.

  4. Wählen Sie links unter Verwalten die Option Benutzer und Gruppen aus.

  5. Wählen Sie Benutzer/Gruppe hinzufügen aus.

    Screenshot: Hinzufügen eines Benutzers

  6. Wählen Sie unter Benutzer die Option Keine Elemente ausgewählt aus.

    Screenshot „Keine Elemente ausgewählt“

  7. Wählen Sie auf der rechten Seite Benutzer und dann die Schaltfläche Auswählen aus.

    Screenshot: Auswählen von Benutzern.

  8. Wählen Sie nun Zuweisen aus.

    Screenshot: Zuweisen von Benutzern

11. Testen der Bereitstellung

Nachdem nun Ihre Attribute zugeordnet und die Benutzer zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

  1. Wählen Sie im Microsoft Entra Admin Center die Option Unternehmensanwendungen aus.

  2. Wählen Sie die Anwendung Lokale ECMA-App aus.

  3. Wählen Sie links Bereitstellung aus.

  4. Klicken Sie auf Bei Bedarf bereitstellen.

  5. Suchen Sie nach einem Ihrer Testbenutzer, und wählen Sie Bereitstellen aus.

    Screenshot eines Bereitstellungstests

  6. Nach einigen Sekunden wird die Meldung Der Benutzer wurde erfolgreich im Zielsystem erstellt mit einer Liste der Benutzerattribute angezeigt.

12. Starten der Benutzerbereitstellung

  1. Nachdem die bedarfsorientierte Bereitstellung erfolgreich war, kehren Sie zur Konfigurationsseite der Bereitstellung zurück. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie die Bereitstellung (On), und wählen Sie Speichern aus.

    Screenshot des Starts der Bereitstellung

  2. Warten Sie bis zu 40 Minuten, bis der Bereitstellungsdienst startet. Wenn Sie nach Abschluss des Bereitstellungsauftrags (wie im nächsten Abschnitt beschrieben) auch Ihre Tests abgeschlossen haben, können Sie den Bereitstellungsstatus in Aus ändern und Speichern auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.

Beheben von Fehlern bei der Bereitstellung

Wenn ein Fehler angezeigt wird, wählen Sie Bereitstellungsprotokolle anzeigen aus. Suchen Sie im Protokoll nach einer Zeile mit dem Status Fehler und wählen Sie diese Zeile aus.

Weitere Informationen finden Sie auf der Registerkarte Problembehandlung und Empfehlungen.

Nächste Schritte