Mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke SAP ECC dengan NetWeaver AS ABAP 7.0 atau yang lebih baru
Dokumentasi berikut ini menyediakan informasi konfigurasi dan tutorial yang menunjukkan cara memprovisikan pengguna dari ID Microsoft Entra ke dalam Komponen Pusat SAP ERP (SAP ECC, sebelumnya SAP R/3) dengan NetWeaver 7.0 atau yang lebih baru. Jika Anda menggunakan versi SAP R/3 lainnya, Anda masih dapat menggunakan panduan yang disediakan dalam unduhan Connectors untuk Microsoft Identity Manager 2016 sebagai referensi untuk membangun templat Anda sendiri untuk provisi. Jika Anda menggunakan SAP S/4HANA atau aplikasi SAP SaaS lainnya, ikuti tutorial untuk mengonfigurasi SAP Cloud Identity Services untuk provisi pengguna otomatis sebagai gantinya. Untuk informasi selengkapnya tentang integrasi SAP, lihat mengelola akses ke aplikasi SAP Anda.
Video berikut berisi ringkasan tentang provisi lokal.
Kemampuan yang didukung
- Buat pengguna di SAP ECC.
- Hapus pengguna di SAP ECC saat mereka tidak memerlukan akses lagi.
- Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan SAP ECC.
Di luar cakupan
- Jenis objek lain termasuk grup aktivitas lokal, peran, dan profil tidak didukung. Gunakan Microsoft Identity Manager jika objek ini diperlukan.
- Operasi kata sandi tidak didukung. Gunakan Microsoft Identity Manager jika manajemen kata sandi diperlukan.
Prasyarat untuk provisi ke SAP ECC dengan NetWeaver AS ABAP 7.51
Prasyarat lokal
Komputer yang menjalankan agen provisi harus memiliki:
- Setidaknya 3 GB RAM.
- Windows Server 2016 atau versi Windows Server yang lebih baru.
- Konektivitas ke sistem dengan SAP ECC NetWeaver AS ABAP 7.51
- Konektivitas keluar ke login.microsoftonline.com, Microsoft Online Services lainnya, dan domain Azure . Contohnya adalah mesin virtual Windows Server 2016 yang dihosting di Azure IaaS atau di belakang proksi.
- .NET Framework 4.7.2
Persyaratan cloud
Penyewa Microsoft Entra dengan Microsoft Entra ID P1 atau Premium P2 (atau EMS E3 atau E5).
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.
Peran Administrator Identitas Hibrid untuk mengonfigurasi agen provisi dan peran Administrator Aplikasi atau Administrator Aplikasi Cloud untuk mengonfigurasi provisi di pusat admin Microsoft Entra.
Pengguna Microsoft Entra yang akan diprovisikan ke SAP ECC harus sudah diisi dengan atribut apa pun yang akan diperlukan oleh SAP ECC.
1. Menginstal dan mengonfigurasi Microsoft Entra Connect Provisioning Agent
Jika Anda telah mengunduh agen provisi dan mengonfigurasinya untuk aplikasi lokal lain, lanjutkan membaca di bagian berikutnya.
- Masuk ke Pusat Admin Microsoft Entra.
- Buka Aplikasi perusahaan dan pilih Aplikasi baru.
- Cari aplikasi aplikasi ECMA lokal, beri nama aplikasi, dan pilih Buat untuk menambahkannya ke penyewa Anda.
- Dari menu, buka halaman Provisi aplikasi Anda.
- Pilih Mulai.
- Di halaman Provisi, ubah mode menjadi Otomatis.
Di bawah Konektivitas lokal, pilih Unduh dan instal, dan pilih Terima istilah &unduh.
Tinggalkan portal dan jalankan alat penginstal agen provisi, setujui ketentuan layanan, dan pilih Instal.
Tunggu wizard konfigurasi agen provisi Microsoft Entra lalu pilih Berikutnya.
Di langkah Pilih Ekstensi, pilih Provisi aplikasi lokal lalu pilih Berikutnya.
Agen provisi akan menggunakan browser web sistem operasi untuk menampilkan jendela popup bagi Anda untuk mengautentikasi ke ID Microsoft Entra, dan berpotensi juga penyedia identitas organisasi Anda. Jika Anda menggunakan Internet Explorer sebagai browser di Windows Server, maka Anda mungkin perlu menambahkan situs web Microsoft ke daftar situs tepercaya browser Anda untuk memperbolehkan JavaScript berjalan dengan benar.
Berikan kredensial untuk administrator Microsoft Entra saat Anda diminta untuk mengotorisasi. Pengguna diharuskan memiliki setidaknya peran Administrator Identitas Hibrid.
Pilih Konfirmasi untuk mengonfirmasi pengaturan. Setelah penginstalan berhasil, Anda dapat memilih Keluar, dan juga menutup alat penginstal Paket Agen Provisi.
2. Mengekspos API SAP yang diperlukan
Mengekspos API yang diperlukan di SAP ECC NetWeaver 7.51 untuk membuat, memperbarui, dan menghapus pengguna. Dokumen Sebarkan SAP NetWeaver AS ABAP 7.51 menjelaskan bagaimana Anda dapat mengekspos API yang diperlukan.
3. Membuat templat konektor layanan web
Jika Anda tidak bermigrasi dari Konektor Layanan Web yang ada di MIM, maka Anda harus membuat templat konektor layanan web untuk host ECMA. Jika Anda sudah memiliki templat konektor layanan web dari MIM, lanjutkan di bagian berikutnya.
Anda dapat menggunakan templat konektor Layanan Web SAP ECC 7.51 untuk dokumen ECMA2Host sebagai referensi untuk membangun templat Anda. Konektor untuk Microsoft Identity Manager 2016 juga menyediakan templat sapecc.wsconfig
sebagai referensi. Sebelum menyebarkan dalam produksi, Anda harus menyesuaikan templat untuk memenuhi kebutuhan lingkungan spesifik Anda. Pastikan bahwa ServiceName, EndpointName, dan OperationName sudah benar.
4. Mengonfigurasi aplikasi ECMA lokal
Di portal, pada bagian Konektivitas Lokal, pilih agen yang Anda sebarkan dan pilih Tetapkan Agen.
Biarkan jendela browser ini tetap terbuka, saat Anda menyelesaikan langkah konfigurasi berikutnya menggunakan wizard konfigurasi.
5. Mengonfigurasi sertifikat Host Konektor MICROSOFT Entra ECMA
Pada Windows Server tempat agen provisi diinstal, klik kanan Wizard Konfigurasi Microsoft ECMA2Host dari menu mulai, dan jalankan sebagai administrator. Berjalan sebagai administrator Windows diperlukan agar wizard membuat log peristiwa Windows yang diperlukan.
Setelah Konfigurasi Host Konektor ECMA dimulai, jika ini pertama kalinya Anda menjalankan wizard, itu akan meminta Anda untuk membuat sertifikat. Biarkan port default 8585 dan pilih Buat sertifikat untuk membuat sertifikat. Sertifikat yang dibuat otomatis akan ditandatangani sendiri sebagai bagian dari akar tepercaya. SAN sertifikat cocok dengan nama host.
Pilih Simpan.
6. Mengonfigurasi konektor layanan web generik
Di bagian ini, Anda akan membuat konfigurasi konektor untuk SAP ECC.
Konfigurasi koneksi ke SAP ECC dilakukan menggunakan wizard. Bergantung pada opsi yang Anda pilih, beberapa layar wizard mungkin tidak tersedia dan informasinya dapat sedikit berbeda. Gunakan informasi berikut untuk memandu dalam konfigurasi Anda.
6.1 Sambungkan agen provisi ke SAP ECC
Untuk menyambungkan agen provisi Microsoft Entra dengan SAP ECC, ikuti langkah-langkah berikut:
Salin file
sapecc.wsconfig
templat konektor layanan web Anda keC:\Program Files\Microsoft ECMA2Host\Service\ECMA
dalam folder.Buat token rahasia yang akan digunakan untuk mengautentikasi ID Microsoft Entra ke konektor. Harus minimal 12 karakter dan unik untuk setiap aplikasi.
Jika Anda belum melakukannya, luncurkan Wizard Konfigurasi Microsoft ECMA2Host dari Windows menu Mulai.
Select Konektor Baru.
Di halaman Properti, isi kotak dengan nilai yang ditentukan di tabel yang mengikuti gambar dan pilih Berikutnya.
Properti Nilai Nama Nama yang Anda pilih untuk konektor, yang harus unik di semua konektor di lingkungan Anda. Misalnya, jika Anda hanya memiliki satu instans SAP, SAPECC7
.Timer sinkronisasi otomatis (menit) 120 Token Rahasia Masukkan token rahasia yang Anda buat untuk konektor ini. Kunci harus minimal 12 karakter. DLL Ekstensi Untuk konektor layanan web, pilih Microsoft.IdentityManagement.MA.WebServices.dll. Di halaman Konektivitas, isi kotak dengan nilai yang ditentukan di tabel yang mengikuti gambar dan pilih Berikutnya.
Properti Deskripsi Proyek Layanan Web Nama templat SAP ECC Anda, sapecc
.Host Nama host titik akhir SAP ECC SOAP, misalnya vhcalnplci.dummy.nodomain
Port Port titik akhir SAP ECC SOAP, misalnya 8000
Pada halaman Kapabilitas , isi kotak dengan nilai yang ditentukan dalam tabel di bawah ini dan pilih Berikutnya.
Properti Nilai Gaya Nama Khusus Generik Jenis Ekspor ObjectReplace Normalisasi Data Tidak Konfirmasi Objek Normal Aktifkan Impor Dicentang Impor Delta yang Diaktifkan Tidak Dicentang Aktifkan Ekspor Dicentang Aktifkan Ekspor Penuh Tidak Dicentang Aktifkan Ekspor Kata Sandi di Pass Pertama Dicentang Tidak Ada Nilai Referensi dalam Pass Ekspor Pertama Tidak Dicentang Aktifkan Ganti Nama Objek Tidak Dicentang Hapus-Tambahkan sebagai Ganti Tidak Dicentang
Catatan
Jika templat sapecc.wsconfig
konektor layanan web Anda dibuka untuk pengeditan di Alat Konfigurasi Layanan Web, Anda akan mendapatkan kesalahan.
Pada halaman Global , isi kotak dengan nilai yang ditentukan dalam tabel yang mengikuti gambar dan pilih Berikutnya.
Properti Nilai ClientCredentialType Dasar Nama pengguna Nama pengguna akun dengan hak untuk melakukan panggilan ke BAPI yang digunakan dalam templat SAP ECC. Kata sandi Kata sandi nama pengguna yang disediakan. Menguji koneksi Tidak dicentang, jika Anda tidak memiliki alur kerja Uji Koneksi yang diterapkan di templat Anda Di halaman Partisi, pilih Berikutnya.
Di halaman Jalankan Profil, biarkan kotak Ekspor tetap dipilih. Pilih kotak centang Impor lengkap, lalu pilih Berikutnya. Profil Ekspor eksekusi akan digunakan ketika host Konektor ECMA perlu mengirim perubahan dari ID Microsoft Entra ke SAP ECC, untuk menyisipkan, memperbarui, dan menghapus rekaman. Profil eksekusi Impor Penuh akan digunakan ketika layanan host Konektor ECMA dimulai, untuk membaca konten SAP ECC saat ini.
Properti Nilai Ekspor Jalankan profil yang akan mengekspor data ke instans SAP ECC. Jalankan profil ini diperlukan. Impor penuh Jalankan profil yang akan mengimpor semua data dari instans SAP ECC yang ditentukan sebelumnya. Impor delta Jalankan profil yang hanya akan mengimpor perubahan dari instans SAP ECC sejak impor penuh atau delta terakhir. Di halaman Jenis Objek, isi kotak lalu klik Berikutnya. Gunakan tabel yang mengikuti gambar untuk panduan pada kotak individual.
Jangkar : Nilai atribut ini harus unik untuk setiap objek dalam sistem target. Layanan provisi Microsoft Entra akan mengkueri host konektor ECMA dengan menggunakan atribut ini setelah siklus awal. Nilai ini didefinisikan dalam templat konektor layanan web.
DN : Opsi Autogenerasi harus dipilih dalam banyak kasus. Jika tidak dipilih, pastikan bahwa atribut DN dipetakan ke atribut di ID Microsoft Entra yang menyimpan DN dalam format ini:
CN = anchorValue, Object = objectType
. Untuk informasi selengkapnya tentang jangkar dan DN lihat Tentang atribut jangkar dan nama khusus.Properti Nilai Objek target User
Jangkar userName
DN userName
Beregenerasi otomatis Dicentang
Host konektor ECMA menemukan atribut yang didukung oleh SAP ECC. Anda kemudian dapat memilih atribut mana yang ditemukan yang ingin Anda ekspos ke ID Microsoft Entra. Atribut ini kemudian dapat dikonfigurasi di pusat admin Microsoft Entra untuk provisi. Di halaman Pilih Atribut, tambahkan semua atribut di menu drop-down satu per satu. Daftar dropdown Atribut menunjukkan atribut apa pun yang ditemukan di SAP ECC dan tidak dipilih di halaman Pilih Atribut sebelumnya. Setelah semua atribut yang relevan ditambahkan, pilih Berikutnya.
Di halaman Membatalkan penyediaan, di bawah Nonaktifkan alur, pilih Hapus. Atribut yang dipilih pada halaman sebelumnya tidak akan tersedia untuk dipilih pada halaman Pembatalan provisi. Pilih Selesai.
Catatan
Jika Anda menggunakan nilai Set atribut perlu diketahui bahwa hanya nilai boolean yang diizinkan.
Pada halaman Deprovisi , di bawah Nonaktifkan alur, pilih Tidak Ada. Anda akan mengontrol status akun pengguna dengan properti expirationTime . Di bawah Hapus alur, pilih Tidak Ada jika Anda tidak ingin menghapus pengguna SAP atau Hapus jika Anda melakukannya. Pilih Selesai.
7. Pastikan layanan ECMA2Host berjalan
Di server yang menjalankan Host Konektor MICROSOFT Entra ECMA, pilih Mulai.
Masukkan run dan masukkan services.msc di kotak.
Dalam daftar Layanan, pastikan bahwa Microsoft ECMA2Host ada dan berjalan. Jika tidak, pilih Mulai.
Jika Anda baru saja memulai layanan, dan memiliki banyak objek pengguna di SAP ECC, maka tunggu beberapa menit hingga konektor membuat koneksi dengan SAP ECC.
8. Mengonfigurasi koneksi aplikasi di pusat admin Microsoft Entra
Kembali ke jendela browser web tempat Anda mengonfigurasi provisi aplikasi.
Catatan
Jika waktu jendela telah habis, Anda harus memilih ulang agen.
- Masuk ke Pusat Admin Microsoft Entra.
- Buka Aplikasi perusahaan, lalu pilih aplikasi aplikasi ECMA lokal.
- Pilih Provisi.
- Pilih Mulai lalu ubah mode menjadi Otomatis, pada bagian Konektivitas Lokal, pilih agen yang Anda sebarkan dan pilih Tetapkan Agen. Atau buka Edit Provisi.
Di bagian Informasi masuk Admin, masukkan URL berikut.
{connectorName}
Ganti bagian dengan nama konektor pada host konektor ECMA, seperti SAPECC7. Nama konektor peka huruf besar/kecil dan harus sama seperti yang dikonfigurasi dalam wizard. Anda juga dapat menggantilocalhost
dengan nama host komputer Anda.Properti Nilai URL Penyewa https://localhost:8585/ecma2host_SAPECC7/scim
Masukkan nilai Token Rahasia yang Anda tentukan saat membuat konektor.
Catatan
Jika Anda baru saja menetapkan agen ke aplikasi, harap tunggu 10 menit hingga pendaftaran selesai. Pengujian konektivitas tidak akan dapat dilakukan sampai pendaftaran selesai. Memaksa pendaftaran agen selesai dengan menghidupkan ulang agen provisi di server Anda dapat mempercepat proses pendaftaran. Buka server Anda, cari layanan di bilah pencarian Windows, identifikasi Layanan Agen Provisi Microsoft Entra Connect, klik kanan layanan, dan mulai ulang.
Pilih Uji Koneksi, lalu tunggu satu menit.
Setelah pengujian koneksi berhasil dan menunjukkan bahwa kredensial yang disediakan diizinkan untuk mengaktifkan provisi, pilih Simpan.
9. Mengonfigurasi pemetaan atribut
Sekarang Anda akan memetakan atribut antara representasi pengguna di ID Microsoft Entra dan representasi pengguna di SAP ECC.
Anda akan menggunakan pusat admin Microsoft Entra untuk mengonfigurasi pemetaan antara atribut pengguna Microsoft Entra dan atribut yang sebelumnya Anda pilih di wizard konfigurasi Host ECMA.
Pastikan bahwa skema Microsoft Entra menyertakan atribut yang diperlukan oleh SAP ECC. Jika mengharuskan pengguna memiliki atribut, dan atribut tersebut belum menjadi bagian dari skema Microsoft Entra Anda untuk pengguna, maka Anda harus menggunakan fitur ekstensi direktori untuk menambahkan atribut tersebut sebagai ekstensi.
Di pusat admin Microsoft Entra, di bawah Aplikasi perusahaan, pilih aplikasi aplikasi ECMA lokal, lalu halaman Provisi .
Pilih Edit provisi, dan tunggu 10 detik.
Perluas Pemetaan dan pilih Provisikan pengguna Microsoft Entra. Jika ini pertama kalinya Anda mengonfigurasi pemetaan atribut untuk aplikasi ini, hanya akan ada satu pemetaan yang ada, untuk tempat penampung.
Untuk mengonfirmasi bahwa skema SAP ECC tersedia di ID Microsoft Entra, pilih kotak centang Perlihatkan opsi tingkat lanjut dan pilih Edit daftar atribut untuk ScimOnPremises. Pastikan bahwa semua atribut yang dipilih dalam wizard konfigurasi dicantumkan. Jika tidak, tunggu beberapa menit hingga skema di-refresh, lalu muat ulang halaman. Setelah Anda melihat atribut yang tercantum, batalkan dari halaman ini untuk kembali ke daftar pemetaan.
Sekarang, klik pemetaan userPrincipalName PLACEHOLDER. Pemetaan ini ditambahkan secara default saat Anda pertama kali mengonfigurasi provisi lokal.
Ubah nilai agar sesuai dengan yang berikut ini:
Jenis Pemetaan | Atribut sumber | Atribut Target |
---|---|---|
Langsung | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Sekarang pilih Tambahkan Pemetaan Baru, dan ulangi langkah berikutnya untuk setiap pemetaan.
Tentukan atribut sumber dan target untuk setiap pemetaan dalam tabel berikut.
Atribut Microsoft Entra Atribut ScimOnPremises Prioritas pencocokan Terapkan pemetaan ini ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Hanya selama pembuatan objek Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Hanya selama pembuatan objek city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Selalu companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Selalu department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Selalu mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Selalu Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Selalu givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Selalu surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Selalu telephoneNumber
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Selalu jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Selalu Setelah semua pemetaan ditambahkan, pilih Simpan.
10. Tetapkan pengguna ke aplikasi
Sekarang setelah Anda memiliki Host Konektor MICROSOFT Entra ECMA yang berbicara dengan ID Microsoft Entra, dan pemetaan atribut dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi siapa yang berada dalam cakupan provisi.
Penting
Jika Anda masuk menggunakan peran Administrator Identitas Hibrid, Anda perlu keluar dan masuk dengan akun yang memiliki setidaknya peran Administrator Aplikasi untuk bagian ini. Peran Administrator Identitas Hibrid tidak memiliki izin untuk menetapkan pengguna ke aplikasi.
Jika ada pengguna yang ada di SAP ECC, maka Anda harus membuat penetapan peran aplikasi untuk pengguna yang ada. Untuk mempelajari selengkapnya tentang cara membuat penetapan peran aplikasi secara massal, lihat mengatur pengguna aplikasi yang sudah ada di ID Microsoft Entra.
Jika tidak, jika tidak ada pengguna aplikasi saat ini, pilih pengguna uji dari Microsoft Entra yang akan diprovisikan ke aplikasi.
Pastikan bahwa pengguna yang akan Anda pilih memiliki semua properti yang akan dipetakan ke atribut SAP ECC yang diperlukan.
Di pusat admin Microsoft Entra, pilih Aplikasi perusahaan.
Pilih aplikasi apl ECMA lokal.
Di sebelah kiri, di bawah Kelola, pilih Pengguna dan grup.
Pilih Tambahkan pengguna/grup.
Di bawah Pengguna, pilih Didak Ada yang Dipilih.
Pilih pengguna dari kanan dan pilih tombol Pilih.
Kini pili Tetapkan.
11. Provisi pengujian
Setelah atribut Anda dipetakan dan pengguna ditetapkan, Anda dapat menguji provisi sesuai permintaan dengan salah satu pengguna Anda.
Di pusat admin Microsoft Entra, pilih Aplikasi perusahaan.
Pilih aplikasi apl ECMA lokal.
Di sebelah kiri, pilih Provisi.
Pilih Provisikan sesuai permintaan.
Cari salah satu pengguna uji Anda, lalu pilih Provisi.
Setelah beberapa detik, pesan Pengguna berhasil dibuat dalam sistem target akan muncul, disertai daftar atribut pengguna.
12. Mulai provisi pengguna
Setelah provisi sesuai permintaan berhasil, kembali ke halaman konfigurasi provisi. Pastikan cakupan diatur ke hanya pengguna dan grup yang ditetapkan, aktifkan provisi, lalu pilih Simpan.
Tunggu hingga 40 menit hingga layanan provisi dimulai. Setelah pekerjaan provisi selesai, seperti yang dijelaskan di bagian berikutnya, jika Anda selesai menguji, Anda dapat mengubah status provisi menjadi Nonaktif, dan pilih Simpan. Tindakan ini membuat layanan provisi tidak berjalan di masa yang akan datang.
Memecahkan masalah kesalahan provisi
Jika kesalahan muncul, pilih Lihat log provisi. Cari di log untuk baris di mana Status adalah Kegagalan, dan pilih pada baris tersebut.
Untuk informasi selengkapnya, ubah ke tab Pemecahan Masalah & Rekomendasi .