Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De volgende documentatie bevat configuratie- en zelfstudieinformatie over het inrichten van gebruikers van Microsoft Entra ID in SAP ERP Central Component (SAP ECC, voorheen SAP R/3) met NetWeaver 7.0 of hoger. Als u andere versies van SAP R/3 gebruikt, kunt u nog steeds de handleidingen downloaden die beschikbaar zijn in de Connectors voor Microsoft Identity Manager 2016 als referentie voor het bouwen van uw eigen sjabloon voor voorziening. Als u SAP S/4HANA of andere SAP SaaS-toepassingen gebruikt, volgt u in plaats daarvan de zelfstudie voor het configureren van SAP Cloud Identity Services voor het automatisch inrichten van gebruikers. Zie De toegang tot uw SAP-toepassingen beheren voor meer informatie over de SAP-integraties.
De volgende video biedt een overzicht van lokale implementatie.
Ondersteunde mogelijkheden
- Gebruikers maken in SAP ECC.
- Verwijder gebruikers in SAP ECC wanneer ze geen toegang meer nodig hebben.
- Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en SAP ECC.
Buiten bereik
- Andere objecttypen, waaronder lokale activiteitsgroepen, rollen en profielen, worden niet ondersteund. Gebruik Microsoft Identity Manager als deze objecten vereist zijn.
- Wachtwoordbewerkingen worden niet ondersteund. Gebruik Microsoft Identity Manager als wachtwoordbeheer is vereist.
Vereisten voor voorbereiding bij SAP ECC met NetWeaver AS ABAP 7.51
Vereisten voor on-premises
De computer waarop de inrichtingsagent wordt uitgevoerd, moet het volgende hebben:
- Ten minste 3 GB RAM-geheugen.
- Windows Server 2016 of een nieuwere versie van Windows Server.
- Connectiviteit met een systeem met SAP ECC NetWeaver AS ABAP 7.51
- Uitgaande connectiviteit met login.microsoftonline.com, andere Microsoft Online Services en Azure-domeinen . Een voorbeeld is een Windows Server 2016-VM die wordt gehost in Azure IaaS of achter een proxy.
- .NET Framework 4.7.2
Cloudvereisten
Een Microsoft Entra-tenant met Microsoft Entra ID P1 of Premium P2 (of EMS E3 of E5).
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.
De rol Hybride identiteitsbeheerder voor het configureren van de inrichtingsagent en de rollen Toepassingsbeheerder of Cloudtoepassingsbeheerder voor het configureren van inrichting in het Microsoft Entra-beheercentrum.
De Microsoft Entra-gebruikers die moeten worden ingericht voor SAP ECC, moeten al worden ingevuld met alle kenmerken die vereist zijn voor SAP ECC.
1. De Microsoft Entra Connect-inrichtingsagent installeren en configureren
Als u de inrichtingsagent al hebt gedownload en deze hebt geconfigureerd voor een andere on-premises toepassing, lees dan verder in de volgende sectie.
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Ga naar Bedrijfstoepassingen en selecteer Nieuwe toepassing.
- Zoek de on-premises ECMA-app-toepassing , geef de app een naam en selecteer Maken om deze toe te voegen aan uw tenant.
- Navigeer in het menu naar de pagina Inrichten van uw toepassing.
- Selecteer Aan de slag.
- Wijzig op de pagina Inrichting de modus in Automatisch.
Selecteer onder On-premises Connectiviteit de optie Downloaden en installeren en selecteer Voorwaarden accepteren en downloaden.
Verlaat de portal en voer het installatieprogramma uit voor de inrichtingsagent, ga akkoord met de servicevoorwaarden en selecteer Installeren.
Wacht op de configuratiewizard van de Microsoft Entra-inrichtingsagent en selecteer vervolgens Volgende.
Selecteer in de Selecteer Extensie de optie On-premises toepassing inrichten en selecteer vervolgens Volgende.
De inrichtingsagent gebruikt de webbrowser van het besturingssysteem om een pop-upvenster weer te geven waarmee u zich kunt authenticeren bij Microsoft Entra ID en mogelijk ook de identiteitsprovider van uw organisatie. Als u Internet Explorer als browser op Windows Server gebruikt, moet u mogelijk Microsoft-websites toevoegen aan de lijst met vertrouwde sites van uw browser om JavaScript correct te laten worden uitgevoerd.
Geef referenties op voor een Microsoft Entra-beheerder wanneer u wordt gevraagd om toestemming te geven. De gebruiker moet ten minste de rol Hybrid Identity Administrator hebben.
Selecteer Bevestigen om de instelling te bevestigen. Zodra de installatie is voltooid, kunt u Verlaten selecteren, en ook het installatieprogramma voor het inrichtingsagentpakket sluiten.
2. De benodigde SAP-API's beschikbaar maken
Maak de benodigde API's beschikbaar in SAP ECC NetWeaver 7.51 om gebruikers te maken, bij te werken en te verwijderen. In het document SAP NetWeaver AS ABAP 7.51 implementeren wordt uitgelegd hoe u de benodigde API's beschikbaar kunt maken.
3. Een sjabloon voor een webserviceconnector maken
Als u niet migreert van een bestaande webserviceconnector in MIM, moet u een sjabloon voor webservicesconnector maken voor de ECMA-host. Als u al een sjabloon voor webservicesconnector van MIM hebt, gaat u verder in de volgende sectie.
U kunt het document Authoring the SAP ECC 7.51 Web Service connector template for the ECMA2Host gebruiken als referentie bij het maken van uw sjabloon. De connectors voor Microsoft Identity Manager 2016 bieden ook een sjabloon sapecc.wsconfig
als referentie. Voordat u in productie implementeert, moet u de sjabloon aanpassen aan de behoeften van uw specifieke omgeving. Zorg ervoor dat de ServiceName, EndpointName en de OperationName juist zijn.
4. De on-premises ECMA-app configureren
Selecteer in de portal in de sectie On-Premises Connectiviteit de agent die u hebt geïmplementeerd en selecteer Agent(en) toewijzen.
Houd dit browservenster geopend terwijl u de volgende stap van de configuratie voltooit met behulp van de configuratiewizard.
5. Het Microsoft Entra ECMA Connector Host-certificaat configureren
Klik op de Windows Server waarop de inrichtingsagent is geïnstalleerd met de rechtermuisknop op de Microsoft ECMA2Host Configuration Wizard in het startmenu en voer deze uit als beheerder. Het uitvoeren als Windows-beheerder is noodzakelijk voor de wizard om de benodigde Windows-gebeurtenislogboeken aan te maken.
Nadat de ecma-connectorhostconfiguratie is gestart, als dit de eerste keer is dat u de wizard hebt uitgevoerd, wordt u gevraagd een certificaat te maken. Laat de standaardpoort 8585 staan en selecteer Certificaat genereren om een certificaat te genereren. Het automatisch gegenereerde certificaat wordt zelfondertekend als onderdeel van de vertrouwde root. Het certificaat-SAN komt overeen met de hostnaam.
Selecteer Opslaan.
6. De algemene webservicesconnector configureren
In deze sectie maakt u de connectorconfiguratie voor SAP ECC.
De configuratie van de verbinding met SAP ECC wordt uitgevoerd met behulp van een wizard. Afhankelijk van de opties die u selecteert, zijn sommige wizardschermen mogelijk niet beschikbaar en is de informatie mogelijk iets anders. Gebruik de volgende informatie om u te helpen bij uw configuratie.
6.1 Verbind de beheeragent met SAP ECC
Volg deze stappen om de Microsoft Entra-inrichtingsagent te verbinden met SAP ECC:
Kopieer het sjabloonbestand
sapecc.wsconfig
van de webserviceconnector naar deC:\Program Files\Microsoft ECMA2Host\Service\ECMA
map.Genereer een geheim token dat wordt gebruikt voor het verifiëren van Microsoft Entra-id voor de connector. Het moet minimaal 12 tekens en uniek zijn voor elke toepassing.
Als u dit nog niet hebt gedaan, start u de microsoft ECMA2Host-configuratiewizard vanuit de Windows Startmenu.
Selecteer Nieuwe verbinder.
Vul op de pagina Eigenschappen de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.
Eigenschap Waarde Naam De naam die u hebt gekozen voor de connector, die uniek moet zijn voor alle connectors in uw omgeving. Als u bijvoorbeeld slechts één SAP-exemplaar hebt, SAPECC7
.Timer voor automatische synchronisatie (minuten) 120 Geheime token Voer het geheime token in dat u voor deze connector hebt gegenereerd. De sleutel moet minimaal 12 tekens bevatten. DLL-uitbreiding Selecteer Microsoft.IdentityManagement.MA.WebServices.dll voor de webserviceconnector. Vul op de pagina Connectiviteit de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.
Eigenschap Beschrijving Webserviceproject De naam van uw SAP ECC-sjabloon. sapecc
Gastheer Hostnaam van SAP ECC SOAP-eindpunt, bijvoorbeeld vhcalnplci.dummy.nodomain
Poort SAP ECC SOAP-eindpuntpoort, bijvoorbeeld 8000
Vul op de pagina Mogelijkheden de vakken in met de waarden die zijn opgegeven in de onderstaande tabel en selecteer Volgende.
Eigenschap Waarde DN-naamstijl Algemeen Exporttype ObjectVervangen Gegevensnormalisatie Geen Objectbevestiging Normaal Import inschakelen Geselecteerd Delta-import ingeschakeld Niet ingeschakeld Exporteren inschakelen Geselecteerd Volledige export inschakelen Niet ingeschakeld Exportwachtwoord inschakelen in first pass Geselecteerd Geen referentiewaarden in eerste exportpas Niet ingeschakeld Objectnaam inschakelen Niet ingeschakeld Verwijderen-Toevoegen als Vervangen Niet ingeschakeld
Notitie
Als uw sjabloon sapecc.wsconfig
voor de webserviceconnector is geopend voor bewerking in het hulpprogramma voor webserviceconfiguratie, krijgt u een foutmelding.
Vul op de pagina Algemeen de vakken in met de waarden die zijn opgegeven in de tabel die de afbeelding volgt en selecteer Volgende.
Eigenschap Waarde Type van clientreferentie Basis Gebruikersnaam De gebruikersnaam van een account met rechten om aanroepen te doen naar de BAPI's die worden gebruikt in de SAP ECC-sjabloon. Wachtwoord Het wachtwoord van de opgegeven gebruikersnaam. Verbinding testen Uitgeschakeld als er geen testverbindingswerkstroom is geïmplementeerd in uw sjabloon Selecteer Volgende op de pagina Partities.
Houd op de pagina Profielen uitvoeren het selectievakje Exporteren ingeschakeld. Schakel het selectievakje Volledig importeren in en selecteer Volgende. Het exportrunprofiel wordt gebruikt wanneer de ECMA Connector-host wijzigingen van Microsoft Entra-id naar SAP ECC moet verzenden, om records in te voegen, bij te werken en te verwijderen. Het Volledige import profiel wordt gebruikt om de huidige inhoud van SAP ECC te lezen wanneer de ECMA Connector-hostservice wordt gestart.
Eigenschap Waarde Exporteren Voer een profiel uit waarmee gegevens worden geëxporteerd naar een SAP ECC-exemplaar. Dit uitvoeringsprofiel is vereist. Volledige import Voer een profiel uit waarmee alle gegevens uit het SAP ECC-exemplaar dat u eerder hebt opgegeven, worden geïmporteerd. Deltaimport Voer een profiel uit dat alleen wijzigingen importeert van de SAP ECC-instantie sinds de laatste delta- of volledige import. Vul op de pagina Objecttypen de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.
Anker : De waarden van dit kenmerk moeten uniek zijn voor elk object in het doelsysteem. De Microsoft Entra-inrichtingsservice voert na de eerste cyclus een query uit op de ECMA-connectorhost met behulp van dit kenmerk. Deze waarde wordt gedefinieerd in de connectorsjabloon voor webservices.
DN : De optie Automatisch gegenereerd moet in de meeste gevallen worden geselecteerd. Als het niet is geselecteerd, zorg er dan voor dat het DN-kenmerk wordt toegewezen aan een kenmerk in Microsoft Entra ID waarin de DN in dit formaat wordt opgeslagen:
CN = anchorValue, Object = objectType
. Zie Over ankerkenmerken en DN-namen voor meer informatie over ankers en de DN-namen.Eigenschap Waarde Doelobject User
Anker userName
DN userName
Automatisch gegenereerd Geselecteerd
De ECMA-connectorhost detecteert de kenmerken die worden ondersteund door SAP ECC. Vervolgens kunt u kiezen welke van de gedetecteerde kenmerken u beschikbaar wilt maken voor Microsoft Entra-id. Deze kenmerken kunnen vervolgens worden geconfigureerd in het Microsoft Entra-beheercentrum voor inrichting. Voeg op de pagina Kenmerken selecteren alle kenmerken één voor één toe in de vervolgkeuzelijst. In de vervolgkeuzelijst Kenmerk ziet u een kenmerk dat is gedetecteerd in SAP ECC en die niet is gekozen op de vorige pagina Kenmerken selecteren. Selecteer Volgende nadat alle relevante kenmerken zijn toegevoegd.
Selecteer op de Deprovisioning-pagina onder Flow uitschakelen de optie Verwijderen. De kenmerken die op de vorige pagina zijn geselecteerd, zijn niet beschikbaar om te selecteren op de Deprovisionering-pagina. Klik op Voltooien.
Notitie
Als u de waarde van het kenmerk Instellen gebruikt, moet u er rekening mee houden dat alleen Booleaanse waarden zijn toegestaan.
Selecteer Geen op de Deprovisioning-pagina onder Uitschakelstroom. U bepaalt de status van het gebruikersaccount met de eigenschap ExpirationTime . Selecteer bij Verwijderstroom Geen als u SAP-gebruikers niet wilt verwijderen of Verwijderen als u dat wel wilt. Klik op Voltooien.
7. Zorg ervoor dat de ECMA2Host-service wordt uitgevoerd
Selecteer Start op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd.
Voer uitvoeren en vervolgens services.msc in het vak in.
Zorg ervoor dat Microsoft ECMA2Host aanwezig is in de lijst Services en wordt uitgevoerd. Als dat niet zo is, selecteert u Starten.
Als u de service onlangs hebt gestart en veel gebruikersobjecten in sap ECC hebt, wacht u enkele minuten totdat de connector verbinding heeft gemaakt met SAP ECC.
8. De toepassingsverbinding configureren in het Microsoft Entra-beheercentrum
Ga terug naar het browservenster waarin u de inrichting van de toepassing configureerde.
Notitie
Als de sessie is verlopen, moet u de agent opnieuw selecteren.
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Ga naar Ondernemingstoepassingen en de toepassing On-premises ECMA-app.
- Selecteer Voorziening.
- Selecteer Aan de slag en wijzig vervolgens de modus in Automatisch, selecteer in de sectie On-Premises Connectiviteit de agent die u hebt geïmplementeerd en selecteer Agent(en) toewijzen. Ga anders naar Voorziening bewerken.
Voer in de sectie Beheerdersreferenties de volgende URL in. Vervang het
{connectorName}
gedeelte door de naam van de connector op de ECMA-connectorhost, zoals SAPECC7. De naam van de connector is hoofdlettergevoelig en moet dezelfde hoofdletters hebben als is geconfigureerd in de wizard. U kunt ooklocalhost
vervangen door de hostnaam van uw machine.Eigenschap Waarde Tenant-URL https://localhost:8585/ecma2host_SAPECC7/scim
Voer de waarde voor Geheim token in die u hebt gedefinieerd toen u de connector maakte.
Notitie
Als u de agent zojuist aan de toepassing hebt toegewezen, wacht u tien minuten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid. Door het afhandelen van de agentregistratie te versnellen door de provisioningagent op uw server opnieuw op te starten, kan het registratieproces worden versneld. Ga naar uw server, zoek naar services in de Windows-zoekbalk, identificeer de Microsoft Entra Connect Provisioning Agent Service, klik met de rechtermuisknop op de service en start opnieuw.
Selecteer Verbinding testen en wacht één minuut.
Nadat de verbindingstest is geslaagd en wordt aangegeven dat de opgegeven inloggegevens zijn gemachtigd om provisioning in te schakelen, selecteert u Opslaan.
9. Kenmerktoewijzingen configureren
Nu wijst u kenmerken toe tussen de weergave van de gebruiker in Microsoft Entra-id en de weergave van de gebruiker in SAP ECC.
U gaat het Microsoft Entra-beheercentrum gebruiken om de toewijzing te configureren tussen de attributen van de Microsoft Entra-gebruiker en de attributen die u eerder hebt gekozen in de configuratiewizard voor de ECMA-host.
Zorg ervoor dat het Microsoft Entra-schema de kenmerken bevat die vereist zijn voor SAP ECC. Als gebruikers een kenmerk moeten hebben en dat kenmerk nog niet deel uitmaakt van uw Microsoft Entra-schema voor een gebruiker, moet u de functie directory-extensie gebruiken om dat kenmerk toe te voegen als een extensie.
Selecteer in het Microsoft Entra-beheercentrum onder Bedrijfstoepassingen de toepassing on-premises ECMA-app en vervolgens de pagina Inrichten .
Selecteer Inrichting bewerken en wacht 10 seconden.
Vouw Mappings uit en selecteer Microsoft Entra-gebruikers inrichten. Als dit de eerste keer is dat u de attribuutoewijzingen voor deze toepassing hebt geconfigureerd, is er slechts één toewijzing aanwezig voor een tijdelijke aanduiding.
Als u wilt controleren of het schema van SAP ECC beschikbaar is in Microsoft Entra ID, schakelt u het selectievakje Geavanceerde opties weergeven in en selecteert u de lijst Kenmerken bewerken voor ScimOnPremises. Zorg ervoor dat alle kenmerken die in de configuratiewizard zijn geselecteerd, worden vermeld. Zo niet, wacht u enkele minuten totdat het schema is vernieuwd en laadt u de pagina opnieuw. Zodra u de vermelde kenmerken ziet, annuleert u deze pagina om terug te keren naar de lijst met toewijzingen.
Klik nu op de userPrincipalName PLACEHOLDER-koppeling. Deze toewijzing wordt standaard toegevoegd wanneer u voor het eerst on-premises voorziening configureert.
Wijzig de waarde zodat deze overeenkomt met het volgende:
Type kaartprojectie | Bronkenmerk | Doelkenmerk |
---|---|---|
Onmiddellijk | gebruikersPrincipaalNaam | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Nu Nieuwe toewijzing toevoegen selecteren en herhaal de volgende stap voor elke toewijzing.
Geef de bron- en doelattributen op voor elk van de toewijzingen in de volgende tabel.
Microsoft Entra-kenmerk ScimOnPremises-kenmerk Voorrang bij overeenkomsten Deze mapping toepassen ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Alleen tijdens het maken van objecten Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Alleen tijdens het maken van objecten city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Altijd companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Altijd department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Altijd mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:Gebruiker:email Altijd Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Altijd givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:voornaam Altijd surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Altijd telephoneNumber
(If required) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telefoonnummer Altijd jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Altijd Selecteer Opslaan nadat alle toewijzingen zijn toegevoegd.
10. Gebruikers toewijzen aan de toepassing
Nu u de Microsoft Entra ECMA Connector-host hebt die met Microsoft Entra-id praat en de kenmerktoewijzing is geconfigureerd, kunt u doorgaan met het configureren van wie het bereik voor inrichting heeft.
Belangrijk
Als u bent aangemeld met de rol Hybrid Identity Administrator, moet u zich afmelden en aanmelden met een account met ten minste de rol Toepassingsbeheerder voor deze sectie. De rol Hybrid Identity Administrator heeft geen machtigingen om gebruikers toe te wijzen aan toepassingen.
Als er bestaande gebruikers zijn in de SAP ECC, moet u toepassingsroltoewijzingen maken voor die bestaande gebruikers. Zie voor meer informatie over het bulksgewijs maken van toepassingsroltoewijzingen voor bestaande gebruikers van een toepassing in Microsoft Entra ID.
Als er geen huidige gebruikers van de toepassing zijn, selecteert u een testgebruiker van Microsoft Entra die wordt ingericht voor de toepassing.
Zorg ervoor dat de gebruiker die u selecteert alle eigenschappen bevat die worden toegewezen aan de vereiste kenmerken van SAP ECC.
Selecteer Enterprise-toepassingen in het Microsoft Entra-beheercentrum.
Selecteer de toepassing On-premises ECMA-app.
Selecteer aan de linkerkant onder Beheren de optie Gebruikers en groepen.
Selecteer Gebruiker/groep toevoegen.
Selecteer Geen geselecteerd onder Gebruikers.
Selecteer gebruikers aan de rechterkant en selecteer de knop Selecteren .
Selecteer nu Toewijzen.
11. Testvoorzieningen
Nu uw kenmerken en gebruikers zijn toegewezen, kunt u inrichting op aanvraag testen met een van uw gebruikers.
Selecteer Enterprise-toepassingen in het Microsoft Entra-beheercentrum.
Selecteer de toepassing On-premises ECMA-app.
Selecteer aan de linkerkant Inrichting.
Selecteer Voorzien op aanvraag.
Zoek een van uw testgebruikers en selecteer Inrichten.
Na enkele seconden verschijnt het bericht Succesvol een gebruiker aangemaakt in het doelsysteem, samen met een lijst van de gebruikersattributen.
12. Beginnen met het inrichten van gebruikers
Nadat het inrichten op aanvraag is voltooid, gaat u terug naar de inrichtingsconfiguratiepagina. Zorg dat het bereik is ingesteld op alleen toegewezen gebruikers en groepen, schakel inrichting in en selecteer Opslaan.
Wacht maximaal 40 minuten totdat de inrichtingsservice is gestart. Nadat de inrichtingstaak is voltooid, zoals beschreven in de volgende sectie, kunt u de inrichtingsstatus wijzigen in Uit als u klaar bent met testen en Opslaan selecteren. Met deze actie wordt de inrichtingsservice niet meer uitgevoerd in de toekomst.
Het oplossen van problemen met voorziening
Als er een fout wordt weergegeven, selecteert u Inrichtingslogboeken weergeven. Zoek in het logboek naar een rij waarin de status mislukt is en selecteer deze rij.
Ga naar het tabblad Probleemoplossing en aanbevelingen voor meer informatie.