Condividi tramite

Configurazione dell'ID Microsoft Entra perché effettui il provisioning degli utenti a SAP ECC con NetWeaver AS ABAP 7.0 o versioni successive

  • Articolo

La seguente documentazione fornisce informazioni sulla configurazione e sull'esercitazione che illustrano come effettuare il provisioning utenti da Microsoft Entra ID a SAP ERP Central Component (SAP ECC, in precedenza SAP R/3) con NetWeaver 7.0 o versioni successive. Se si usano altre versioni di SAP R/3, è comunque possibile usare le guide fornite nel download Connettori per Microsoft Identity Manager 2016 come riferimento per creare un modello personalizzato per il provisioning. Se si usa SAP S/4HANA o altre applicazioni SaaS SAP, seguire invece l'esercitazione per configurare SAP Cloud Identity Services per il provisioning utenti automatico. Per altre informazioni sulle integrazioni SAP, vedere Gestire l'accesso alle applicazioni SAP.

Il video seguente offre una panoramica del provisioning locale.

Capacità supportate

  • Creare utenti in SAP ECC.
  • Rimuovere utenti in SAP ECC quando non necessitano più di accesso.
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP ECC.

Fuori ambito

  • Altri tipi di oggetto, inclusi gruppi di attività locali, ruoli e profili, non sono supportati. Usare Microsoft Identity Manager se non si necessita di questi oggetti.
  • Le operazioni password non sono supportate. Usare Microsoft Identity Manager se si necessita di gestione delle password.

Prerequisiti per il provisioning a SAP ECC con NetWeaver AS ABAP 7.51

On-premises prerequisites (Prerequisiti locali)

Il computer che esegue l'agente di provisioning deve essere dotato di:

  • Almeno 3 GB di RAM.
  • Windows Server 2016 o una versione successiva di Windows Server.
  • Connettività a un sistema con SAP ECC NetWeaver AS ABAP 7.51
  • Connettività in uscita a login.microsoftonline.com, altri servizi online Microsoft e domini di Azure. Un esempio è una macchina virtuale Windows Server 2016 ospitata in Azure IaaS o su un proxy.
  • .NET Framework 4.7.2

Requisiti del cloud

  • Un tenant di Microsoft Entra con una licenza P1 o Premium P2 di Microsoft Entra ID (oppure EMS E3 o E5).

    L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

  • Ruolo Amministratore identità ibrida per la configurazione dell'agente di provisioning e dei ruoli Amministratore applicazione o Amministratore applicazione cloud per la configurazione del provisioning nell’interfaccia di amministrazione di Microsoft Entra.

  • Gli utenti di Microsoft Entra di cui eseguire il provisioning in SAP ECC devono essere già popolati con tutti gli attributi necessari per SAP ECC.

1. Installare e configurare l’agente di provisioning di Microsoft Entra Connect

Se l'agente di provisioning è già stato scaricato e configurato per un'altra applicazione locale, continuare la lettura alla sezione successiva.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Passare ad Applicazioni aziendali e selezionare Nuova applicazione.
  3. Cercare l'applicazione App ECMA locale, assegnare un nome all’app e selezionare Crea per aggiungerla al tenant.
  4. Dal menu, passare alla pagina Provisioning dell'applicazione.
  5. Seleziona Inizia.
  6. Alla pagina Provisioning, modificare la modalità ad Automatico.

Screenshot della selezione Automatico.

  1. In Connettività locale, selezionare Scarica e installa, quindi Accetta i termini e scarica.

  2. Lasciare il portale ed eseguire il programma di installazione dell'agente di provisioning, accettare le condizioni d’uso e selezionare Installa.

  3. Attendere la configurazione guidata dell'agente di provisioning di Microsoft Entra, quindi selezionare Avanti.

  4. Nel passaggio Seleziona estensione, selezionare Provisioning delle applicazioni locali, quindi Avanti.

  5. L'agente di provisioning utilizzerà il browser web del sistema operativo per visualizzare una finestra popup per l'autenticazione a Microsoft Entra ID e potenzialmente anche al provider di identità dell'organizzazione. Se si utilizza Internet Explorer come browser su Windows Server, potrebbe essere necessario aggiungere siti Web Microsoft all'elenco dei siti attendibili del browser per consentire l'esecuzione corretta di JavaScript.

  6. Quando viene richiesta l’autorizzazione, specificare le credenziali di un amministratore di Microsoft Entra. L'utente deve avere almeno il ruolo di amministratore dell'identità ibrida.

  7. Selezionare Conferma per confermare l’impostazione. Al termine dell'installazione, selezionare Esci e chiudere anche il programma di installazione del pacchetto dell'agente di provisioning.

2. Esporre le API SAP necessarie

Esporre le API necessarie in SAP ECC NetWeaver 7.51 per creare, aggiornare ed eliminare utenti. Il documento Deploy SAP NetWeaver AS ABAP 7.51 illustra come esporre le API necessarie.

3. Creare un modello di connettore di servizi Web

Se non si sta eseguendo la migrazione da un connettore di servizi Web esistente a MIM, sarà necessario creare un modello di connettore di servizi Web per l'host ECMA. Se si dispone già di un modello di connettore di servizi Web da MIM, proseguire alla sezione successiva.

È possibile usare il modello Di creazione del connettore di servizi Web SAP ECC 7.51 per il documento ECMA2Host come riferimento per compilare il modello. I Connettori per Microsoft Identity Manager 2016 forniscono anche un modello sapecc.wsconfig come riferimento. Prima di eseguire la distribuzione nell'ambiente di produzione, è necessario personalizzare il modello perché soddisfi le esigenze dell'ambiente specifico. Assicurarsi che ServiceName, EndpointName e OperationName siano corretti.

4. Configurare un’app ECMA locale

  1. Nella sezione Connettività locale del portale, selezionare l'agente distribuito e selezionare Assegna agente/i.

    Screenshot che illustra come selezionare e assegnare un agente.

  2. Mantenere aperta questa finestra del browser mentre si completa il passaggio successivo della configurazione usando la configurazione guidata.

5. Configurare il certificato host del connettore Microsoft Entra ECMA

  1. Nel Windows Server in cui è installato l'agente di provisioning, fare clic con il pulsante destro del mouse sulla Configurazione guidata Microsoft ECMA2Host dal menu Start ed eseguire come amministratore. L'esecuzione come amministratore di Windows è necessaria per la procedura guidata al fine di creare i registri eventi di Windows necessari.

  2. Dopo l'avvio della configurazione host del Connettore ECMA, se si sta eseguendo la procedura guidata per la prima volta, verrà chiesto di creare un certificato. Lasciare la porta predefinita 8585 e selezionare Genera certificato per generare un certificato. Il certificato generato automaticamente verrà autofirmato come parte della radice attendibile. Il certificato SAN corrisponde al nome host.

    Screenshot che mostra la configurazione delle impostazioni.

  3. Seleziona Salva.

6. Configurare il connettore di servizi Web generico

In questa sezione si creerà la configurazione del connettore per SAP ECC.

La configurazione della connessione a SAP ECC viene eseguita tramite una procedura guidata. A seconda delle opzioni selezionate, alcune schermate della procedura guidata potrebbero non essere disponibili e le informazioni potrebbero variare leggermente. Usare le informazioni seguenti come linee guida per la configurazione.

6.1 Connettere l'agente di provisioning a SAP ECC

Per connettere l'agente di provisioning di Microsoft Entra con SAP ECC, seguire questa procedura:

  1. Copiare il file sapecc.wsconfig del modello del connettore di servizi Web nella cartella C:\Program Files\Microsoft ECMA2Host\Service\ECMA.

  2. Generare un token segreto che verrà usato per l'autenticazione di Microsoft Entra ID nel connettore. Esso deve contenere almeno 12 caratteri univoci per ogni applicazione.

  3. Se non è già stato fatto, avviare la Configurazione guidata Microsoft ECMA2Host dal menu Start di Windows.

  4. Selezionare Nuovo connettore.

    Screenshot che mostra la scelta di un nuovo connettore.

  5. Nella pagina Proprietà, compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra l'immissione delle proprietà.

    Proprietà valore
    Nome Il nome scelto per il connettore, che deve essere univoco in tutti i connettori presenti nell'ambiente. Ad esempio, se si dispone di una sola istanza SAP, SAPECC7.
    Timer asincrono automatico (minuti) 120
    Token segreto Immettere il token segreto generato per questo connettore. La chiave deve contenere almeno 12 caratteri.
    DLL estensione Per il connettore di servizi Web, selezionare Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Nella pagina Connettività, compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra la pagina Connettività.

    Proprietà Descrizione
    Progetto Servizio Web Nome del modello SAP ECC, sapecc.
    Host Nome host dell'endpoint SOAP SAP ECC, ad esempio vhcalnplci.dummy.nodomain
    Porta Porta endpoint SOAP SAP ECC, ad esempio 8000

  7. Nella pagina Funzionalità, compilare le caselle con i valori specificati nella tabella seguente e selezionare Avanti.

    Proprietà valore
    Distinguished Name Style (Stile di nome distinto) Generica
    Export Type (Tipo di esportazione) ObjectReplace
    Data Normalization (Normalizzazione dei dati) None
    Object Confirmation (Conferma degli oggetti) Normale
    Enable Import Selezionato
    Enabled Delta Import Non selezionato
    Enable Export Selezionato
    Enable Full Export Non selezionato
    Enable Export Password in the First Pass Selezionato
    No Reference Values In First Export Pass Non selezionato
    Enable Object Rename Non selezionato
    Delete-Add As Replace Non selezionato

Nota

Se il modello di connettore dei servizi Web sapecc.wsconfig è aperto per la modifica nello strumento di configurazione del servizio Web, verrà visualizzato un errore.

  1. Nella pagina Globale, compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Proprietà valore
    ClientCredentialType Di base
    Nome utente Il nome utente di un account con diritti per effettuare chiamate ai BAPI usati nel modello SAP ECC.
    Password La password del nome utente fornito.
    Test connessione Non selezionato, se non è stato implementato alcun flusso di lavoro Test connessione nel modello

  2. Nella pagina Partizioni selezionare Avanti.

  3. Nella pagina Profili di esecuzione, mantenere selezionata la casella di controllo Esportazione. Selezionare la casella di controllo Importazione completa, quindi scegliere Avanti. Il profilo di esecuzione Esportazione verrà usato quando l'host ECMA Connector deve inviare modifiche da Microsoft Entra ID a SAP ECC, per inserire, aggiornare ed eliminare record. Il profilo di esecuzione Importazione completa verrà usato all'avvio del servizio host ECMA Connector per leggere il contenuto corrente di SAP ECC.

    Proprietà valore
    Esportazione Profilo di esecuzione che esporta i dati nell'istanza di SAP ECC. Questo profilo di esecuzione è obbligatorio.
    Importazione completa Profilo di esecuzione che importerà tutti i dati dall'istanza di SAP ECC specificata in precedenza.
    Importazione delta Profilo di esecuzione che importerà solo le modifiche apportate all'istanza di SAP ECC dall'ultima importazione completa o differenziale.

  4. Nella pagina Tipi oggetto, compilare le caselle e selezionare Avanti. Usare la tabella che segue l'immagine per indicazioni sulle singole caselle.

    • Ancoraggio: i valori di questo attributo devono essere univoci per ciascun oggetto nel sistema di destinazione. Il servizio di provisioning di Microsoft Entra eseguirà una query sull'host del connettore ECMA utilizzando questo attributo dopo il ciclo iniziale. Questo valore viene definito nel modello del connettore di servizi Web.

    • DN: l'opzione Generato automaticamente deve essere selezionata nella maggior parte dei casi. Se non è selezionata, verificare che l'attributo DN sia mappato a un attributo in Microsoft Entra ID che archivia il DN nel presente formato: CN = anchorValue, Object = objectType. Per altre informazioni sugli ancoraggi e il DN, vedere Informazioni sugli attributi di ancoraggio e nomi distinti.

      Proprietà valore
      Oggetti di destinazione User
      Ancora userName
      DN userName
      Generato automaticamente Selezionato

  5. L'host del connettore ECMA individua gli attributi supportati da SAP ECC. È quindi possibile scegliere quale degli attributi individuati si voglia esporre all'ID Microsoft Entra. Questi attributi possono quindi essere configurati per il provisioning nell'interfaccia di amministrazione di Microsoft Entra. Nella pagina Selezionare attributi, aggiungere tutti gli attributi nell'elenco a discesa uno alla volta. L'elenco a discesa Attributo mostra qualsiasi attributo individuato in SAP ECC e che non è stato scelto nella pagina precedente Seleziona attributi. Dopo aver aggiunto tutti gli attributi pertinenti, selezionare Avanti.

    Screenshot che mostra la pagina Seleziona attributi.

  6. Nella pagina Deprovisioning, alla voce Disabilitare flusso, selezionare Elimina. Gli attributi selezionati nella pagina precedente non saranno disponibili per la selezione nella pagina Deprovisioning. Selezionare Fine.

Nota

Se si utilizza Imposta il valore dell'attributo, tenere presente che sono consentiti solo valori booleani.

Nella pagina Deprovisioning, alla voce Disabilita flusso, selezionare Nessuno. Lo stato dell'account utente verrà controllato con la proprietà expirationTime. In Elimina flusso, selezionare Nessuno se non si desidera eliminare alcun utente SAP o Elimina se si desidera eliminarne. Selezionare Fine.

7. Assicurarsi che il servizio ECMA2Host sia in esecuzione

  1. Nel server in cui è in esecuzione l'host del connettore Microsoft Entra ECMA, selezionare Avvia.

  2. Immettere esegui, quindi inserire services.msc nella casella di ricerca.

  3. Nell'Elenco servizi, assicurarsi che Microsoft ECMA2Host sia presente e in esecuzione. In caso contrario, selezionare Avvia.

    Screenshot che mostra che il servizio è in esecuzione.

  4. Se il servizio è stato avviato di recente e sono presenti molti oggetti utente in SAP ECC, attendere alcuni minuti perché il connettore stabilisca una connessione con SAP ECC.

8. Configurare la connessione dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra

  1. Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione.

    Nota

    Se si è verificato il timeout della finestra, sarà necessario selezionare nuovamente l'agente.

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
    2. Passare ad Applicazioni aziendali e all’applicazione App ECMA locale.
    3. Selezionare Provisioning.
    4. Selezionare Attività iniziali e modificare la modalità ad Automatica, quindi nella sezione Connettività locale selezionare l'agente distribuito e scegliere Assegna agente/i. In caso contrario, passare a Modifica provisioning.

  2. Nella sezione Credenziali amministratore, inserire l’URL seguente. Sostituire la parte {connectorName} con il nome del connettore nell'host del connettore ECMA, ad esempio SAPECC7. Il nome del connettore fa distinzione tra maiuscole e minuscole e deve corrispondere a quello configurato nella procedura guidata. Inoltre, è possibile sostituire localhost con il nome host del computer.

    Proprietà valore
    URL tenant https://localhost:8585/ecma2host_SAPECC7/scim

  3. Immettere il valore del Token segreto definito al momento della creazione del connettore.

    Nota

    Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti perché la registrazione sia completata. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al proprio server, cercare servizi nella barra di ricerca di Windows, identificare il servizio Agente di provisioning di Microsoft Entra Connect, fare clic con il pulsante destro del mouse sul servizio e riavviare.

  4. Selezionare Test connessione e attendere un minuto.

  5. Dopo che il test di connessione ha esito positivo e indica che le credenziali specificate sono autorizzate ad abilitare il provisioning, selezionare Salva.

    Screenshot che mostra il test di un agente.

9. configurare i mapping degli attributi

Ora si eseguirà il mapping degli attributi tra la rappresentazione dell'utente in Microsoft Entra ID e la rappresentazione dell'utente in SAP ECC.

Si userà l'interfaccia di amministrazione di Microsoft Entra per configurare il mapping tra gli attributi dell'utente di Microsoft Entra e gli attributi selezionati in precedenza nella configurazione guidata dell'host ECMA.

  1. Assicurarsi che lo schema di Microsoft Entra includa gli attributi richiesti da SAP ECC. Se richiede agli utenti di avere un attributo, e tale attributo non fa già parte dello schema di Microsoft Entra per un utente, sarà necessario usare la funzionalità di estensione della directory per aggiungere tale attributo come estensione.

  2. Nell'interfaccia di amministrazione di Microsoft Entra, in Applicazioni aziendali, selezionare l'applicazione App ECMA locale, quindi la pagina Provisioning.

  3. Selezionare Modifica provisioning e attendere 10 secondi.

  4. Espandere Mapping e selezionare Effettua il provisioning degli utenti Microsoft Entra. Se questa è la prima volta che sono stati configurati i mapping degli attributi per questa applicazione, sarà presente un solo mapping per un segnaposto.

    Screenshot che mostra il provisioning di un utente.

  5. Per verificare che lo schema di SAP ECC sia disponibile in Microsoft Entra ID, selezionare la casella di controllo Mostra opzioni avanzate e selezionare Modifica elenco di attributi per ScimOnPremises. Assicurarsi che tutti gli attributi selezionati nella configurazione guidata siano elencati. In caso contrario, attendere alcuni minuti perché lo schema venga aggiornato, quindi ricaricare la pagina. Dopo aver visualizzato gli attributi elencati, annullare da questa pagina per tornare all'elenco dei mapping.

  6. Fare clic sul mapping del SEGNAPOSTO userPrincipalName. Questo mapping viene aggiunto per impostazione predefinita quando si configura per la prima volta il provisioning locale.

Screenshot del segnaposto.

Cambiare il valore in modo che corrisponda a quanto segue:

Tipo di mapping Attributo di origine Attributo di destinazione
Connessione diretta userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. A questo punto, selezionare Aggiungi nuovo mapping e ripetere il passaggio successivo per ogni mapping.

  2. Specificare gli attributi di origine e di destinazione per ciascuno dei mapping nella tabella seguente.

    Attributo Microsoft Entra Attributo ScimOnPremises Precedenza abbinamento Applica questo mapping
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creazione dell'oggetto
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creazione dell'oggetto
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre

  3. Dopo aver aggiunto tutti i mapping, selezionare Salva.

10. Assegnare utenti all'applicazione

Ora che si dispone dell'host del connettore Microsoft Entra ECMA che comunica con Microsoft Entra ID e del mapping degli attributi configurato, è possibile passare alla configurazione di chi è nell'ambito del provisioning.

Importante

Se è stato eseguito l'accesso usando un ruolo di amministratore delle identità ibride, è necessario disconnettersi e accedere con un account che abbia almeno il ruolo di amministratore dell’applicazione per questa sezione. Il ruolo di Amministratore delle identità ibride non dispone delle autorizzazioni necessarie per assegnare utenti alle applicazioni.

Se in SAP ECC sono presenti utenti esistenti, è necessario creare assegnazioni di ruolo dell'applicazione per tali utenti. Per altre informazioni su come creare assegnazioni di ruolo dell'applicazione in blocco, vedere governance degli utenti esistenti di un'applicazione in Microsoft Entra ID.

In caso contrario, se non sono presenti utenti correnti dell'applicazione, selezionare un utente di test da Microsoft Entra che verrà sottoposto a provisioning nell'applicazione.

  1. Assicurarsi che l'utente selezionato abbia tutte le proprietà di cui verrà eseguito il mapping agli attributi necessari di SAP ECC.

  2. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.

  3. Selezionare l'applicazione App ECMA locale.

  4. Nel riquadro sinistro, in Gestisci, fare clic su Utenti e gruppi.

  5. Selezionare Aggiungi utente/gruppo.

    Screenshot che mostra l'aggiunta di un nuovo utente.

  6. In Utenti, selezionare Nessun utente selezionato.

    Screenshot che mostra Nessun utente selezionato.

  7. Selezionare gli utenti a destra, quindi selezionare il pulsante Seleziona.

    Screenshot che mostra l’opzione Seleziona utenti.

  8. Ora, selezionare Assegna.

    Screenshot che mostra Assegna utenti.

11. Test del provisioning

Ora che gli attributi sono mappati e gli utenti sono assegnati, è possibile testare il provisioning su richiesta con uno degli utenti.

  1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.

  2. Selezionare l'applicazione App ECMA locale.

  3. A sinistra, selezionare Provisioning.

  4. Selezionare Provisioning su richiesta.

  5. Cercare uno degli utenti di test e selezionare Effettua il provisioning.

    Screenshot che mostra il test del provisioning.

  6. Dopo alcuni secondi, verrà visualizzato il messaggio Utente creato correttamente nel sistema di destinazione con un elenco degli attributi utente.

12. Avviare il provisioning degli utenti

  1. Al termine del provisioning su richiesta, tornare alla pagina di configurazione del provisioning. Assicurarsi che l'ambito sia impostato solo su utenti e gruppi assegnati, attivare il provisioning impostandolo su On e selezionare Salva.

    Screenshot che mostra Avvia provisioning.

  2. Attendere fino a 40 minuti per l'avvio del servizio di provisioning. Al termine del processo di provisioning, come descritto nella sezione successiva, se il test è stato completato, è possibile modificare lo stato del provisioning a Disattivato e selezionare Salva. Questa azione impedisce l'esecuzione del servizio di provisioning in futuro.

Risoluzione degli errori relativi al provisioning

Se viene visualizzato un errore, selezionare Visualizza log di provisioning. Cercare nel log una riga in cui lo stato è Errore e selezionarla.

Per altre informazioni, passare alla scheda Risoluzione dei problemi e consigli.

Passaggi successivi