Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP

Twoja organizacja korzysta z firmy Microsoft dla różnych usług platformy Azure lub platformy Microsoft 365. Oprogramowanie SAP i usługi mogą również zapewniać krytyczne funkcje, takie jak zasoby ludzkie (HR) i planowanie zasobów przedsiębiorstwa (ERP) dla organizacji. Możesz użyć firmy Microsoft Entra do organizowania tożsamości dla pracowników, wykonawców i innych osób oraz ich dostępu w aplikacjach SAP i innych firm.

W tym samouczku pokazano, jak za pomocą funkcji firmy Microsoft Entra zarządzać tożsamościami w aplikacjach SAP na podstawie właściwości tych tożsamości pochodzących ze źródeł SAP HR. W tym samouczku założono, że:

• Twoja organizacja ma dzierżawę firmy Microsoft Entra w chmurze komercyjnej z licencją dla co najmniej microsoft Entra ID P1 w tej dzierżawie. (Niektóre kroki ilustrują również użycie funkcji Zarządzanie tożsamością Microsoft Entra).
• Jesteś administratorem tej dzierżawy.
• Twoja organizacja ma system źródeł rekordów procesów roboczych, czyli SAP SuccessFactors.
• Twoja organizacja ma składnik SAP ERP Central (ECC), SAP S/4HANA lub inne aplikacje SAP i opcjonalnie ma inne aplikacje inne niż SAP.
• Używasz usług SAP Cloud Identity Services do aprowizacji i logowania jednokrotnego (SSO) do dowolnych aplikacji SAP innych niż SAP ECC.

Omówienie

W tym samouczku pokazano, jak połączyć firmę Microsoft Entra ze źródłami autorytatywnymi dla listy procesów roboczych w organizacji, takich jak SAP SuccessFactors. Pokazano również, jak używać firmy Microsoft Entra do konfigurowania tożsamości dla tych pracowników. Następnie dowiesz się, jak używać firmy Microsoft Entra, aby zapewnić pracownikom dostęp do logowania się do co najmniej jednej aplikacji SAP, takiej jak SAP ECC lub SAP S/4HANA.

Proces jest:

• Plan: zdefiniuj wymagania dotyczące tożsamości i dostępu dla aplikacji w organizacji. Upewnij się, że identyfikator Entra firmy Microsoft i powiązane usługi Microsoft Online Services spełniają wymagania wstępne organizacji w tym scenariuszu.
• Wdrażanie: wprowadź niezbędnych użytkowników do identyfikatora Entra firmy Microsoft i utwórz proces aktualizowania tych użytkowników przy użyciu odpowiednich poświadczeń. Przypisz użytkowników z niezbędnymi prawami dostępu w usłudze Microsoft Entra. Aprowizuj tych użytkowników i ich prawa dostępu do aplikacji, aby umożliwić im logowanie się do tych aplikacji.
• Monitorowanie: monitoruj przepływy tożsamości, aby w razie potrzeby obserwować błędy i dostosowywać zasady i operacje.

Po zakończeniu procesu użytkownicy mogą logować się do aplikacji SAP i innych niż SAP, które są autoryzowane do używania z tożsamościami użytkowników firmy Microsoft Entra.

Na poniższym diagramie przedstawiono przykład topologię używaną w tym samouczku. W tej topologii procesy robocze są reprezentowane w rozwiązaniach SuccessFactors i muszą mieć konta w domenie usługi Active Directory systemu Windows Server (Windows Server AD) w aplikacjach firmy Microsoft Entra, SAP ECC i SAP w chmurze. W tym samouczku przedstawiono organizację z domeną usługi AD systemu Windows Server. Jednak usługa AD systemu Windows Server nie jest wymagana w tym samouczku.

Ten samouczek koncentruje się na cyklu życia tożsamości dla użytkowników reprezentujących pracowników i innych pracowników. Cykl życia tożsamości dla gości i cyklu życia dostępu dla przypisań ról, żądań i przeglądów wykracza poza zakres tego samouczka.

Planowanie integracji ze źródłami i miejscami docelowymi sap

W tej sekcji zdefiniujesz wymagania dotyczące tożsamości i dostępu dla aplikacji w organizacji. W tej sekcji przedstawiono kluczowe decyzje niezbędne do integracji z aplikacjami SAP. W przypadku aplikacji innych niż SAP można również zdefiniować zasady organizacyjne do zarządzania dostępem do tych aplikacji.

Jeśli używasz programu SAP IDM, możesz migrować scenariusze zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra. Aby uzyskać więcej informacji, zobacz Migrowanie scenariuszy zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra.

Określanie sekwencji dołączania aplikacji i sposobu integrowania aplikacji z firmą Microsoft Entra

Być może Twoja organizacja zintegrowała już niektóre aplikacje z firmą Microsoft Entra dla podzbioru dostępnych scenariuszy integracji. Na przykład możesz zintegrować usługi SAP Cloud Identity Services z firmą Microsoft Entra na potrzeby logowania jednokrotnego w celu uzyskania korzyści z dostępu warunkowego, ale nadal korzystasz z ręcznej aprowizacji i anulowania aprowizacji. Możesz też mieć aplikacje, takie jak SAP ECC w organizacji, które nie zostały jeszcze zintegrowane z firmą Microsoft Entra.

1. Ustanów kolejność priorytetu, aby aplikacje można było zintegrować z firmą Microsoft Entra na potrzeby logowania jednokrotnego i aprowizacji. Organizacje zazwyczaj zaczynają integrować się z aplikacjami SaaS (software as a service), które obsługują nowoczesne protokoły. W przypadku aplikacji SAP zalecamy, aby organizacje z aplikacjami SAP w chmurze uruchamiały integrację z logowaniem jednokrotnym i aprowizacją integracji z usługami SAP Cloud Identity Services jako oprogramowanie pośredniczące. W tym miejscu aprowizacja użytkowników i integracja logowania jednokrotnego z firmą Microsoft Entra może przynieść korzyści wielu aplikacjom SAP.

2. Potwierdź, jak każda aplikacja integruje się z firmą Microsoft Entra. Jeśli aplikacja jest wymieniona jako jeden z systemów docelowych aprowizacji usług SAP Cloud Identity Services, takich jak SAP S/4HANA, możesz użyć usługi SAP Cloud Identity Services jako oprogramowania pośredniczącego, aby połączyć logowanie jednokrotne i aprowizować z firmy Microsoft Entra do aplikacji. Jeśli aplikacja jest oprogramowaniem SAP ECC, możesz zintegrować firmę Microsoft Entra bezpośrednio z oprogramowaniem SAP NetWeaver dla logowania jednokrotnego i interfejsami programowania aplikacji biznesowych (BAPI) rozwiązania SAP ECC na potrzeby aprowizacji.

   W przypadku aplikacji innych niż SAP postępuj zgodnie z instrukcjami w temacie Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft, aby określić obsługiwane technologie integracji na potrzeby logowania jednokrotnego i aprowizacji dla każdej aplikacji.

3. Zbierz role i uprawnienia, które udostępnia każda aplikacja. Niektóre aplikacje mają tylko jedną rolę. Na przykład usługa SAP Cloud Identity Services ma tylko jedną rolę, User, która jest dostępna do przypisania. Usługi SAP Cloud Identity Services mogą odczytywać grupy z identyfikatora Entra firmy Microsoft do użycia w przypisaniu aplikacji. Inne aplikacje mogą wyświetlać wiele ról do zarządzania za pomocą identyfikatora Entra firmy Microsoft. Te role aplikacji zwykle nakładają szerokie ograniczenia dostępu użytkownika z tej roli w aplikacji.

   Inne aplikacje mogą również polegać na członkostwie w grupach lub oświadczeniach w celu bardziej szczegółowego sprawdzania ról. Można je udostępnić każdej aplikacji z identyfikatora Entra firmy Microsoft w aprowizacji lub oświadczeniach wystawionych przy użyciu protokołów logowania jednokrotnego federacji. Można je również zapisywać w usłudze Active Directory jako członkostwo w grupie zabezpieczeń.

   Uwaga

   Jeśli używasz aplikacji z galerii aplikacji Firmy Microsoft Entra, która obsługuje aprowizację, identyfikator Entra firmy Microsoft może zaimportować zdefiniowane role w aplikacji i automatycznie zaktualizować manifest aplikacji przy użyciu ról aplikacji po skonfigurowaniu aprowizacji.

4. Wybierz role i grupy, które mają być objęte członkostwem w identyfikatorze Entra firmy Microsoft. Na podstawie wymagań dotyczących zgodności i zarządzania ryzykiem organizacje często ustalają priorytety tych ról aplikacji lub grup, które zapewniają uprzywilejowany dostęp lub dostęp do poufnych informacji. Mimo że ten samouczek nie zawiera kroków konfigurowania przypisania dostępu, może być konieczne zidentyfikowanie ról i grup, które są istotne, aby upewnić się, że wszyscy członkowie są aprowizowani w aplikacjach.

Definiowanie zasad organizacji z wymaganiami wstępnymi użytkownika i innymi ograniczeniami dostępu do aplikacji

W tej sekcji określisz zasady organizacyjne, które mają być używane do określania dostępu do każdej aplikacji.

1. Określ, czy istnieją wymagania wstępne lub standardy, które użytkownik musi spełnić przed uzyskaniem dostępu do aplikacji. Organizacje z wymaganiami dotyczącymi zgodności lub planami zarządzania ryzykiem mają wrażliwe lub krytyczne dla działania firmy aplikacje. Być może zostały już udokumentowane zasady dostępu dla osób, które powinny mieć dostęp do tych aplikacji przed ich integracją z identyfikatorem Entra firmy Microsoft. Jeśli nie, może być konieczne skonsultowanie się z uczestnikami projektu, takimi jak zespoły ds. zgodności i zarządzania ryzykiem. Należy upewnić się, że zasady używane do automatyzowania decyzji dotyczących dostępu są odpowiednie dla danego scenariusza.

   Na przykład w normalnych okolicznościach tylko pracownicy pełnoetatowi lub pracownicy w określonym dziale lub centrum kosztów powinni domyślnie mieć dostęp do aplikacji określonego działu. Jeśli korzystasz z zarządzania upoważnieniami firmy Microsoft w Zarządzanie tożsamością Microsoft Entra, możesz skonfigurować zasady zarządzania upoważnieniami dla użytkownika z innego działu, który żąda dostępu, aby mieć co najmniej jeden osoba zatwierdzająca, aby ci użytkownicy mogli uzyskać dostęp za pośrednictwem wyjątku.

   W niektórych organizacjach żądania dostępu przez pracownika mogą mieć dwa etapy zatwierdzania. Pierwszym etapem jest żądanie menedżera użytkownika. Drugi etap polega na żądaniu jednego z właścicieli zasobów odpowiedzialnych za dane przechowywane w aplikacji.

2. Zdecyduj, jak długo użytkownik zatwierdzony na potrzeby dostępu powinien mieć dostęp, a kiedy ten dostęp powinien odejść. W przypadku wielu aplikacji użytkownik może zachować dostęp przez czas nieokreślony, dopóki nie będzie już powiązany z organizacją. W niektórych sytuacjach dostęp może być powiązany z konkretnymi projektami lub kamieniami milowymi, aby po zakończeniu projektu dostęp został automatycznie usunięty. Ewentualnie, jeśli tylko kilku użytkowników korzysta z aplikacji za pośrednictwem zasad, możesz skonfigurować kwartalne lub roczne przeglądy dostępu wszystkich użytkowników za pośrednictwem zasad, aby zapewnić regularny nadzór. Te scenariusze wymagają Zarządzanie tożsamością Microsoft Entra.

3. Jeśli Twoja organizacja już zarządza dostępem za pomocą modelu roli organizacji, zaplanuj wprowadzenie tego modelu roli organizacji do identyfikatora Entra firmy Microsoft. Może istnieć zdefiniowany model roli organizacji, który przypisuje dostęp na podstawie właściwości użytkownika, takiej jak ich stanowisko lub dział. Te procesy mogą zapewnić, że użytkownicy utracą dostęp w końcu, gdy dostęp nie będzie już potrzebny, nawet jeśli nie ma wstępnie ustalonej daty zakończenia projektu.

   Jeśli masz już definicję roli organizacji, możesz migrować definicje ról organizacji do Zarządzanie tożsamością Microsoft Entra.

4. Sprawdź, czy istnieją ograniczenia oparte na rozdzieleniu obowiązków. Ten samouczek koncentruje się na cyklu życia tożsamości, aby zapewnić użytkownikowi podstawowy dostęp do aplikacji. Jednak podczas planowania dołączania aplikacji można zidentyfikować ograniczenia w oparciu o rozdzielenie obowiązków, które mają być wymuszane.

   Załóżmy na przykład, że istnieje aplikacja z dwiema rolami aplikacji: Western Sales i Eastern Sales. Chcesz mieć pewność, że użytkownik ma tylko jedną rolę terytorium sprzedaży naraz. Dołącz listę wszystkich par ról aplikacji, które są niezgodne z aplikacją. Jeśli użytkownik ma jedną rolę, nie może zażądać drugiej roli. Ustawienia niezgodności zarządzania upoważnieniami firmy Microsoft w pakietach dostępu mogą wymuszać te ograniczenia.

5. Wybierz odpowiednie zasady dostępu warunkowego, aby uzyskać dostęp do każdej aplikacji. Zalecamy analizowanie aplikacji i organizowanie ich w kolekcje aplikacji, które mają te same wymagania dotyczące zasobów dla tych samych użytkowników.

   Podczas pierwszej integracji federacyjnej aplikacji logowania jednokrotnego z identyfikatorem Entra firmy Microsoft może być konieczne utworzenie nowych zasad dostępu warunkowego w celu wyrażenia ograniczeń. Może być konieczne wymuszenie wymagań dotyczących uwierzytelniania wieloskładnikowego (MFA) lub dostępu opartego na lokalizacji dla tej aplikacji i kolejnych aplikacji. Możesz również skonfigurować dostęp warunkowy, który użytkownicy muszą wyrazić zgodę na warunki użytkowania.

   Aby uzyskać więcej informacji na temat sposobu definiowania zasad dostępu warunkowego, zobacz Planowanie wdrożenia dostępu warunkowego.

6. Zdecyduj, jak powinny być obsługiwane wyjątki od kryteriów. Na przykład aplikacja może być zwykle dostępna tylko dla wyznaczonych pracowników, ale audytor lub dostawca może potrzebować tymczasowego dostępu do określonego projektu. Lub pracownik, który podróżuje, może wymagać dostępu z lokalizacji, która jest zwykle zablokowana, ponieważ twoja organizacja nie ma obecności w tej lokalizacji.

   W takich sytuacjach, jeśli masz Zarządzanie tożsamością Microsoft Entra, możesz również wybrać zasady zarządzania upoważnieniami do zatwierdzenia, które mają różne etapy, inny limit czasu lub inną osoba zatwierdzającą. Dostawca, który jest zalogowany jako użytkownik-gość w dzierżawie firmy Microsoft Entra, może nie mieć menedżera. Zamiast tego sponsor organizacji, właściciel zasobu lub oficer zabezpieczeń może zatwierdzić żądania dostępu.

Wybieranie topologii aprowizacji i uwierzytelniania

Po określeniu aplikacji do integracji z firmą Microsoft Entra na potrzeby aprowizacji użytkowników i logowania jednokrotnego zdecyduj się na przepływ danych dotyczący sposobu dostarczania tożsamości użytkowników i ich atrybutów do tych aplikacji na podstawie danych pochodzących z autorytatywnego systemu źródeł rekordów.

1. Wybierz autorytatywne źródła dla każdej tożsamości i ich atrybutów. W tym samouczku założono, że successFactors jest autorytatywnym systemem źródła rekordów dla użytkowników, którzy potrzebują dostępu do aplikacji SAP. Skonfigurowanie aprowizacji użytkowników opartej na chmurze z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft wymaga planowania obejmującego różne aspekty. Te czynniki obejmują określanie zgodnego identyfikatora i definiowanie mapowań atrybutów, transformacji atrybutów i filtrów określania zakresu.

   Aby uzyskać kompleksowe wskazówki dotyczące tych tematów, zapoznaj się z planem wdrażania działu kadr w chmurze. Aby dowiedzieć się więcej na temat obsługiwanych jednostek, szczegółów przetwarzania i sposobu dostosowywania integracji dla różnych scenariuszy hr, zapoznaj się z dokumentacją integracji rozwiązania SAP SuccessFactors. Możesz również mieć inne autorytatywne źródła dla innych tożsamości, a niektóre tożsamości, takie jak konta typu break-glass lub inni administratorzy IT, które mają identyfikator Microsoft Entra jako źródło autorytatywne.

2. Zdecyduj, czy użytkownicy istnieją lub muszą być aprowizowani w usłudze AD systemu Windows Server oprócz identyfikatora Entra firmy Microsoft. Być może masz już istniejących użytkowników w usłudze AD systemu Windows Server, które odpowiadają pracownikom w źródle autorytatywnej kadry. Być może skonfigurowano usługę SAP ECC lub inne aplikacje do korzystania z systemu Windows Server za pośrednictwem protokołu LDAP (Lightweight Directory Access Protocol) lub Kerberos. W takich sytuacjach aprowizuj użytkowników w usłudze AD systemu Windows Server. Ci użytkownicy są następnie synchronizowani z identyfikatorem Entra firmy Microsoft.

3. Zdecyduj, czy chcesz użyć identyfikatora Entra firmy Microsoft do aprowizacji w usługach SAP Cloud Identity Services lub użyć usług SAP Cloud Identity Services do odczytu z identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat możliwości aprowizacji firmy Microsoft, zobacz Automatyzowanie aprowizacji użytkowników i anulowanie aprowizacji w usługach SAP Cloud Identity Services przy użyciu identyfikatora Entra firmy Microsoft. Usługa SAP Cloud Identity Services ma również własny oddzielny łącznik do odczytywania użytkowników i grup z identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz SAP Cloud Identity Services — Identity Provisioning — Microsoft Entra ID jako system źródłowy.

4. Zdecyduj, czy chcesz aprowizować użytkowników w usłudze SAP ECC. Możesz aprowizować użytkowników z usługi Microsoft Entra ID w oprogramowaniu SAP ECC (dawniej SAP R/3) NetWeaver 7.0 lub nowszym. Jeśli używasz innych wersji oprogramowania SAP R/3, nadal możesz użyć przewodników podanych w Połączenie or dla programu Microsoft Identity Manager 2016 do pobrania jako odwołanie do utworzenia własnego szablonu na potrzeby aprowizacji.

Upewnij się, że wymagania wstępne organizacji zostały spełnione przed skonfigurowaniem identyfikatora entra firmy Microsoft

Przed rozpoczęciem procesu aprowizacji dostępu aplikacji krytycznej dla działania firmy z identyfikatora Entra firmy Microsoft upewnij się, że środowisko firmy Microsoft Entra jest odpowiednio skonfigurowane.

1. Upewnij się, że twoje środowisko Microsoft Entra ID i Microsoft Online Services jest gotowe dospełnienia wymagańdotyczących zgodności aplikacji. Zgodność jest wspólną odpowiedzialnością między firmy Microsoft, dostawców usług w chmurze i organizacji.

2. Upewnij się, że dzierżawa identyfikatora Entra firmy Microsoft jest prawidłowo licencjonowana. Aby zautomatyzować aprowizację przy użyciu identyfikatora Entra firmy Microsoft, dzierżawa musi mieć co najmniej tyle licencji dla identyfikatora Microsoft Entra ID P1, ponieważ istnieją procesy robocze, które pochodzą ze źródłowej aplikacji hr lub użytkowników (innych niż użytkownicy), którzy są aprowizowani.

   Ponadto korzystanie z przepływów pracy cyklu życia i innych funkcji Zarządzanie tożsamością Microsoft Entra, takich jak zasady automatycznego przypisywania uprawnień firmy Microsoft Entra w procesie aprowizacji, wymaga Zarządzanie tożsamością Microsoft Entra licencji dla pracowników. Te licencje są Zarządzanie tożsamością Microsoft Entra lub Zarządzanie tożsamością Microsoft Entra krok w górę dla microsoft Entra ID P2.

3. Sprawdź, czy identyfikator Entra firmy Microsoft już wysyła dziennik inspekcji i opcjonalnie inne dzienniki do usługi Azure Monitor. Usługa Azure Monitor jest opcjonalna, ale przydatna do zarządzania dostępem do aplikacji, ponieważ firma Microsoft Entra przechowuje zdarzenia inspekcji tylko przez maksymalnie 30 dni w dzienniku inspekcji. Dane inspekcji można przechowywać dłużej niż ten domyślny okres przechowywania. Aby uzyskać więcej informacji, zobacz Jak długo dane raportowania magazynu identyfikatorów entra firmy Microsoft?

   Możesz również użyć skoroszytów usługi Azure Monitor oraz niestandardowych zapytań i raportów dotyczących historycznych danych inspekcji. Konfigurację firmy Microsoft Entra możesz sprawdzić, czy korzysta ona z usługi Azure Monitor w usłudze Microsoft Entra ID w centrum administracyjnym firmy Microsoft Entra, wybierając pozycję Skoroszyty. Jeśli ta integracja nie jest skonfigurowana i masz subskrypcję platformy Azure i masz co najmniej Administracja istrator zabezpieczeń, możesz skonfigurować identyfikator entra firmy Microsoft do korzystania z usługi Azure Monitor.

4. Upewnij się, że tylko autoryzowani użytkownicy znajdują się w wysoce uprzywilejowanych rolach administracyjnych w dzierżawie firmy Microsoft Entra. Administracja istratorzy, którzy są co najmniej Administracja istratorem ładu tożsamości, Administracja istratorem użytkowników, Administracja istratorem aplikacji w chmurze, Administracja istratorem aplikacji w chmurze lub Administracja ról uprzywilejowanychNarzędzie istrator może wprowadzać zmiany dla użytkowników i ich przypisań ról aplikacji. Jeśli ostatnio nie przejrzeno członkostwa w tych rolach, musisz mieć użytkownika, który jest co najmniej administratorem ról uprzywilejowanych Administracja istrator, aby upewnić się, że rozpoczęto przegląd dostępu do tych ról katalogu.

   Należy również przejrzeć użytkowników w rolach platformy Azure w subskrypcjach, które przechowują usługę Azure Monitor, Logic Apps i inne zasoby potrzebne do działania konfiguracji firmy Microsoft Entra.

5. Sprawdź, czy dzierżawa ma odpowiednią izolację. Jeśli twoja organizacja korzysta z lokalnej usługi Active Directory, a te domeny usługi Active Directory są połączone z identyfikatorem Entra firmy Microsoft, musisz upewnić się, że wysoce uprzywilejowane operacje administracyjne dla usług hostowanych w chmurze są odizolowane od kont lokalnych. Upewnij się, że skonfigurowano ochronę środowiska chmury platformy Microsoft 365 przed naruszeniem zabezpieczeń lokalnych.

6. Oceń środowisko pod kątem najlepszych rozwiązań w zakresie zabezpieczeń. Aby ocenić, jak zabezpieczyć dzierżawę identyfikatora Entra firmy Microsoft, zapoznaj się z artykułem Najlepsze rozwiązania dotyczące wszystkich architektur izolacji.

7. Dokumentowanie okresu istnienia tokenu i ustawień sesji aplikacji. Na końcu tego samouczka integrujesz aplikacje SAP ECC lub SAP Cloud Identity Services z firmą Microsoft Entra na potrzeby logowania jednokrotnego. Jak długo użytkownik, który odmówił dalszego dostępu, może nadal korzystać z aplikacji federacyjnej, zależy od okresu istnienia sesji aplikacji i okresu istnienia tokenu dostępu. Okres istnienia sesji dla aplikacji zależy od samej aplikacji. Aby dowiedzieć się więcej na temat kontrolowania okresu istnienia tokenów dostępu, zobacz Konfigurowanie okresów istnienia tokenów.

Upewnij się, że usługi SAP Cloud Identity Services mają niezbędne mapowania schematów dla aplikacji

Każda z aplikacji SAP w organizacji może mieć własne wymagania, które użytkownicy tych aplikacji mają określone atrybuty wypełnione podczas aprowizowania ich w aplikacji.

Jeśli używasz usług SAP Cloud Identity Services do aprowizowania oprogramowania SAP S/4HANA lub innych aplikacji SAP, upewnij się, że usługi SAP Cloud Identity Services mają mapowania, aby wysyłać te atrybuty z usługi Microsoft Entra ID za pośrednictwem usług SAP Cloud Identity Services do tych aplikacji. Jeśli nie używasz usług SAP Cloud Identity Services, przejdź do następnej sekcji.

1. Upewnij się, że katalog sap cloud ma schemat użytkownika wymagany przez aplikacje w chmurze SAP. W usługach SAP Cloud Identity Services każdy skonfigurowany system docelowy dodaje przekształcenia z modelu danych źródła tożsamości dostarczonych do usług SAP Cloud Identity Services zgodnie z wymaganiami obiektu docelowego. Może być konieczne zmianę tych przekształceń w usługach SAP Cloud Identity Services w taki sposób, aby odpowiadały sposobom modelowania tożsamości, zwłaszcza jeśli skonfigurowano wiele systemów docelowych. Następnie zapisz wymagany schemat dla firmy Microsoft Entra, aby dostarczać aplikacje w chmurze SAP za pośrednictwem usług SAP Cloud Identity Services.

2. Upewnij się, że źródło kadr ma schemat procesu roboczego, który może dostarczyć wymagany schemat dla tych aplikacji SAP w chmurze. Każdy atrybut wymagany przez aplikacje musi pochodzić z jakiegoś źródła w organizacji. Niektóre atrybuty mogą mieć wartości, które są stałe lub które są przekształcane z innych atrybutów. Inne wartości mogą być przypisywane przez usługę online firmy Microsoft, taką jak adres e-mail użytkownika. Inne atrybuty, takie jak nazwa użytkownika, dział lub inne właściwości organizacji, zazwyczaj pochodzą z systemu HR rekordu autorytatywnego.

   Przed kontynuowaniem upewnij się, że każdy wymagany atrybut, który nie pochodzi z firmy Microsoft Entra lub innej usługi online firmy Microsoft, może być śledzony do właściwości dostępnej ze źródła, takiej jak SuccessFactors. Jeśli źródło nie ma wymaganego schematu lub atrybuty nie są wypełniane na jednej lub kilku tożsamościach, które otrzymają dostęp do aplikacji lub nie są dostępne dla firmy Microsoft Entra do odczytu, przed włączeniem aprowizacji należy spełnić te wymagania dotyczące schematu.

3. Zarejestruj schemat używany do korelacji między identyfikatorem Entra firmy Microsoft i systemami rekordów. Być może masz istniejących użytkowników w usłudze AD systemu Windows Server lub identyfikatorze Entra firmy Microsoft odpowiadającym pracownikom w rozwiązaniu SAP SuccessFactors. Jeśli ci użytkownicy nie zostali utworzeni przez firmę Microsoft Entra ID, ale przez inny proces, zobacz odwołanie atrybutu SAP SuccessFactors i schemat użytkownika systemu Windows Server lub Microsoft Entra, aby wybrać, które atrybuty obiektów użytkownika zawierają unikatowy identyfikator procesu roboczego w rozwiązaniu SAP SuccessFactors.

   Ten atrybut musi być obecny z unikatową wartością dla każdego użytkownika, który odpowiada procesowi roboczemu, aby aprowizacja przychodząca firmy Microsoft mogła określić, którzy użytkownicy już istnieją dla procesów roboczych i uniknąć tworzenia zduplikowanych użytkowników.

Upewnij się, że niezbędne interfejsy BAPI dla rozwiązania SAP ECC są gotowe do użycia przez firmę Microsoft Entra

Łącznik agenta aprowizacji firmy Microsoft i ogólnego łącznika usług internetowych zapewnia łączność z lokalnymi punktami końcowymi protokołu SOAP, w tym z interfejsami SAP BAPI.

Jeśli nie używasz rozwiązania SAP ECC i aprowizacji tylko w usługach SAP Cloud Services, przejdź do następnej sekcji.

1. Upewnij się, że interfejsy BAPI wymagane do aprowizacji są publikowane. Uwidaczniaj niezbędne interfejsy API w oprogramowaniu SAP ECC NetWeaver 7.51, aby tworzyć, aktualizować i usuwać użytkowników. Narzędzia Połączenie dla pliku programu Microsoft Identity Manager 2016 o nazwie Deploying SAP NetWeaver AS ABAP 7.pdf umożliwiają uwidocznienie niezbędnych interfejsów API.

2. Zarejestruj schemat dostępny dla istniejących użytkowników systemu SAP. Być może masz istniejących użytkowników w programie SAP ECC, którzy odpowiadają pracownikom w autorytatywnym systemie źródła rekordów. Jeśli jednak ci użytkownicy nie zostali utworzeni przez firmę Microsoft Entra ID, musisz mieć wypełnione pole dla tych użytkowników, których można użyć jako unikatowego identyfikatora procesu roboczego. To pole musi być obecne z unikatową wartością dla każdego użytkownika, który odpowiada procesowi roboczemu. Następnie aprowizacja firmy Microsoft może określić, którzy użytkownicy już istnieją dla procesów roboczych, i uniknąć tworzenia zduplikowanych użytkowników.

   Na przykład możesz używać interfejsów BAPI_USER_GETLIST SAP BAPI i BAPI_USER_GETDETAIL. Jedno z pól zwracanych przez BAPI_USER_GETDETAIL należy wybrać jako unikatowy identyfikator, które ma być skorelowane ze źródłem. Jeśli nie masz pola odpowiadającego unikatowego identyfikatora ze źródła, może być konieczne użycie innego unikatowego identyfikatora. Na przykład może być konieczne użycie pola address.e_mail SAP, jeśli jego wartości są unikatowe dla każdego użytkownika SYSTEMU SAP, a także w przypadku użytkowników identyfikatora Entra firmy Microsoft.

3. Zarejestruj wymagany schemat, aby firma Microsoft Entra dostarczała do interfejsów SAP BAPI. Możesz na przykład użyć interfejsu SAP BAPIBAPI_USER_CREATE1, który wymaga ADDRESS, ,COMPANY,LOGONDATADEFAULTS,,PASSWORD,SELF_REGISTER i USERNAME pól w celu utworzenia użytkownika. Podczas konfigurowania mapowania ze schematu użytkownika identyfikatora entra firmy Microsoft na wymagania dotyczące programu SAP ECC zamapuj atrybuty użytkownika identyfikatora microsoft lub stałe na każde z tych pól.

Dokumentowanie kompleksowego przepływu atrybutów i przekształceń

Zidentyfikowano wymagania dotyczące schematu aplikacji i dostępnych pól procesów roboczych z systemu źródeł rekordów. Teraz udokumentować ścieżki przepływu tych pól przez firmę Microsoft Entra i, opcjonalnie, usługi AD systemu Windows Server i SAP Cloud Identity Services do aplikacji.

W niektórych przypadkach atrybuty wymagane przez aplikacje nie odpowiadają bezpośrednio wartościom danych dostępnym ze źródła. Następnie należy przekształcić wartości przed dostarczeniem tych wartości do aplikacji docelowej.

Istnieje kilka etapów przetwarzania, w których można zastosować przekształcenie.

Etap	Kwestie wymagające rozważenia	Linki umożliwiające uzyskanie dodatkowych informacji
W systemie samego rekordu	Zarządzanie cyklem życia tożsamości firmy Microsoft może nie być jedynym rozwiązaniem odczytu z systemu źródła rekordów. Normalizacja danych przed ujawnieniem danych firmie Microsoft Entra może również przynieść korzyści innym rozwiązaniom, które wymagają podobnych danych.	Zapoznaj się z dokumentacją systemu rekordów
W przepływie aprowizacji ruchu przychodzącego z systemu rekordów do usługi Microsoft Entra lub Windows Server AD	Wartość niestandardową można zapisać w atrybucie użytkownika usługi AD systemu Windows Server lub atrybutu użytkownika Identyfikator entra firmy Microsoft na podstawie co najmniej jednego atrybutu SuccessFactors.	Wyrażenie z funkcjami dostosowywania
Podczas synchronizacji z usługi AD systemu Windows Server do identyfikatora entra firmy Microsoft	Jeśli masz już użytkowników w usłudze AD systemu Windows Server, możesz przekształcać atrybuty tych użytkowników, ponieważ są one wprowadzane do identyfikatora Entra firmy Microsoft.	Jak dostosować regułę synchronizacji w usłudze Microsoft Entra Połączenie i użyć konstruktora wyrażeń z usługą Microsoft Entra Cloud Sync
W przepływie aprowizacji ruchu wychodzącego z usługi Microsoft Entra ID do usług SAP Cloud Identity Services, SAP ECC lub innych aplikacji innych niż SAP	Podczas konfigurowania aprowizacji w aplikacji jeden z typów mapowań atrybutów, które można określić, to mapowanie wyrażeń co najmniej jeden atrybut w identyfikatorze Entra firmy Microsoft na atrybut w obiekcie docelowym.	Wyrażenie z funkcjami dostosowywania
W wychodzącym federacyjnym logowaniu jednokrotnym	Domyślnie Platforma tożsamości Microsoft wystawia token SAML aplikacji zawierającej oświadczenie z wartością nazwy użytkownika (znanej również jako główna nazwa użytkownika), co może jednoznacznie zidentyfikować użytkownika. Token SAML zawiera również inne oświadczenia, które zawierają adres e-mail użytkownika lub nazwę wyświetlaną, i można użyć funkcji przekształcania oświadczeń.	Dostosowywanie oświadczeń tokenu SAML i oświadczeń tokenu internetowego JSON klienta
W usługach SAP Cloud Identity Services	W usługach SAP Cloud Identity Services każdy skonfigurowany system docelowy dodaje przekształcenia z modelu danych źródła tożsamości dostarczonych do usług SAP Cloud Identity Services zgodnie z wymaganiami obiektu docelowego. Może być konieczne zmianę tych przekształceń w usługach SAP Cloud Identity Services w taki sposób, aby odpowiadały sposobom modelowania tożsamości, zwłaszcza jeśli skonfigurowano wiele systemów docelowych. Takie podejście może być odpowiednie, gdy wymaganie atrybutu jest specyficzne dla co najmniej jednej aplikacji SAP połączonej z usługami SAP Cloud Identity Services.	SAP Cloud Identity Services — zarządzanie transformacją

Przygotowanie do wystawiania nowych poświadczeń uwierzytelniania

1. Jeśli używasz usługi AD systemu Windows Server, zaplanuj wystawianie poświadczeń usługi AD systemu Windows Server dla procesów roboczych, którzy potrzebują dostępu do aplikacji i nie mieli wcześniej kont użytkowników usługi AD systemu Windows Server. W niektórych organizacjach użytkownicy zostali aprowizowani bezpośrednio w repozytoriach aplikacji. Procesy robocze otrzymały tylko konta użytkowników usługi AD systemu Windows Server, jeśli wymagają skrzynki pocztowej programu Microsoft Exchange lub dostępu do aplikacji zintegrowanych z usługą AD systemu Windows Server.

   W tym scenariuszu, jeśli konfigurujesz aprowizację przychodzącą w usłudze AD systemu Windows Server, firma Microsoft Entra tworzy użytkowników w usłudze AD systemu Windows Server, zarówno dla istniejących procesów roboczych, którzy wcześniej nie mieli kont użytkowników usługi AD systemu Windows Server, jak i nowych procesów roboczych. Jeśli użytkownicy logują się do domeny systemu Windows, zalecamy zarejestrowanie użytkowników w Windows Hello dla firm w celu uzyskania silniejszego uwierzytelniania niż tylko hasła.

2. Jeśli nie używasz usługi AD systemu Windows Server, zaplanuj wystawianie poświadczeń identyfikatora Entra firmy Microsoft dla procesów roboczych, którzy potrzebują dostępu do aplikacji i nie mieli wcześniej kont użytkowników identyfikatora Entra firmy Microsoft. Jeśli konfigurujesz aprowizację przychodzącą do usługi Microsoft Entra ID, a nie przejdziesz najpierw do usługi AD systemu Windows Server, firma Microsoft Entra tworzy użytkowników w firmie Microsoft Entra, zarówno dla istniejących pracowników, którzy wcześniej nie mieli kont użytkowników microsoft Entra ID, jak i nowych procesów roboczych. Włącz zasady Dostępu tymczasowego, aby można było wygenerować tymczasowe przekazywanie dostępu dla nowych użytkowników.

3. Sprawdź, czy użytkownicy są gotowi do korzystania z usługi Microsoft Entra MFA. Zalecamy wymaganie uwierzytelniania wieloskładnikowego firmy Microsoft dla aplikacji o znaczeniu krytycznym dla działania firmy zintegrowanego za pośrednictwem federacji. W przypadku tych aplikacji zasady powinny wymagać od użytkownika spełnienia wymagania uwierzytelniania wieloskładnikowego przed identyfikatorem Entra firmy Microsoft, który pozwala im zalogować się do aplikacji. Niektóre organizacje mogą również zablokować dostęp według lokalizacji lub wymagać od użytkownika dostępu z zarejestrowanego urządzenia.

   Jeśli nie ma już odpowiednich zasad, które zawierają niezbędne warunki uwierzytelniania, lokalizacji, urządzenia i warunków użytkowania, dodaj zasady do wdrożenia dostępu warunkowego.

4. Przygotuj się do wystawienia tymczasowego dostępu dla nowych procesów roboczych. Jeśli masz Zarządzanie tożsamością Microsoft Entra i konfigurujesz aprowizację przychodzącą do identyfikatora Entra firmy Microsoft, zaplanuj skonfigurowanie przepływów pracy cyklu życia w celu wystawienia tymczasowego dostępu dla nowych procesów roboczych.

Wdrażanie integracji z firmą Microsoft Entra

W tej sekcji omówiono następujące zagadnienia:

• Przełącz użytkowników do identyfikatora Entra firmy Microsoft z autorytatywnego systemu źródłowego.

  

• Aprowizuj tych użytkowników w usługach SAP Cloud Identity Services lub SAP ECC, aby umożliwić im logowanie się do aplikacji SAP.

  

Aktualizowanie schematu użytkownika usługi AD systemu Windows Server

Jeśli aprowizujesz użytkowników w usługach AD systemu Windows Server i Microsoft Entra ID, upewnij się, że środowisko usługi AD systemu Windows Server i skojarzonych agentów firmy Microsoft Entra są gotowe do transportu użytkowników do i z usługi AD systemu Windows Server przy użyciu niezbędnego schematu dla aplikacji SAP.

Jeśli nie używasz usługi AD systemu Windows Server, przejdź do następnej sekcji.

1. W razie potrzeby rozszerz schemat usługi AD systemu Windows Server. Dla każdego atrybutu użytkownika wymaganego przez firmę Microsoft Entra i aplikacji, które nie są jeszcze częścią schematu użytkownika usługi AD systemu Windows Server, należy wybrać wbudowany atrybut rozszerzenia użytkownika usługi AD systemu Windows Server. Możesz też rozszerzyć schemat usługi AD systemu Windows Server, aby mieć miejsce dla usługi AD systemu Windows Server do przechowywania tego atrybutu. To wymaganie obejmuje również atrybuty używane do automatyzacji, takie jak data dołączenia procesu roboczego i data opuszczenia.

   Na przykład niektóre organizacje mogą używać atrybutów extensionAttribute1 i extensionAttribute2 przechowywać te właściwości. Jeśli zdecydujesz się używać wbudowanych atrybutów rozszerzenia, upewnij się, że te atrybuty nie są jeszcze używane przez żadne inne aplikacje oparte na protokole LDAP usługi AD systemu Windows Server lub aplikacje zintegrowane z identyfikatorem Entra firmy Microsoft. Inne organizacje tworzą nowe atrybuty usługi AD systemu Windows Server z nazwami specyficznymi dla ich wymagań, takich jak contosoWorkerId.

2. Upewnij się, że wszyscy istniejący użytkownicy usługi AD systemu Windows Server mają niezbędne atrybuty do korelacji ze źródłem HR. Być może masz istniejących użytkowników w usłudze AD systemu Windows Server, którzy odpowiadają procesom roboczym. Ci użytkownicy muszą mieć atrybut, którego wartość jest unikatowa i odpowiada właściwości w autorytatywnym systemie źródła rekordów dla tych procesów roboczych.

   Na przykład niektóre organizacje używają atrybutu, takiego jak employeeId w usłudze AD systemu Windows Server. Jeśli istnieją użytkownicy, którzy nie mają tego atrybutu, mogą nie być brani pod uwagę podczas kolejnej integracji. Następnie automatyczne aprowizowanie powoduje zduplikowanie użytkowników utworzonych w usłudze AD systemu Windows Server. Po opuszczeniu użytkownika oryginalni użytkownicy nie są aktualizowani ani usuwani. Możesz użyć:

   • Potok programu PowerShell na komputerze przyłączonym do domeny za pomocą polecenia Get-ADUser , aby uzyskać wszystkich użytkowników w kontenerze usługi Active Directory.
   • Polecenie filtrowania where-object dla użytkowników, którzy mają brakujący atrybut z filtrem, na przykład {$_.employeeId -eq $null}.
   • Polecenie export-csv eksportowania wynikowych użytkowników do pliku CSV.

   Upewnij się, że żaden użytkownik nie odpowiada pracownikom, którzy nie mają tego atrybutu. Jeśli istnieją, musisz edytować tych użytkowników w usłudze AD systemu Windows Server, aby dodać brakujący atrybut przed kontynuowaniem.

3. Rozszerz schemat identyfikatora Entra firmy Microsoft i skonfiguruj mapowania ze schematu usługi AD systemu Windows Server do schematu użytkownika identyfikatora entra firmy Microsoft. Jeśli używasz usługi Microsoft Entra Połączenie Sync, wykonaj kroki opisane w temacie Microsoft Entra Połączenie Sync: Rozszerzenia katalogu w celu rozszerzenia schematu użytkownika microsoft Entra ID za pomocą atrybutów. Skonfiguruj mapowania usługi Microsoft Entra Połączenie Sync dla atrybutów usługi AD systemu Windows Server na te atrybuty.

   Jeśli używasz usługi Microsoft Entra Cloud Sync, wykonaj kroki opisane w artykule Microsoft Entra Cloud Sync directory extensions and custom attribute mapping (Rozszerzenia katalogów usługi Microsoft Entra Sync i mapowanie atrybutów niestandardowych), aby rozszerzyć schemat użytkownika microsoft Entra ID z innymi niezbędnymi atrybutami. Skonfiguruj mapowania synchronizacji usługi Microsoft Entra Cloud dla atrybutów usługi AD systemu Windows Server na te atrybuty. Upewnij się, że synchronizujesz atrybuty wymagane przez przepływy pracy cyklu życia.

4. Poczekaj na zakończenie synchronizacji z usługi AD systemu Windows Server do identyfikatora entra firmy Microsoft. Jeśli wprowadzono zmiany w mapowaniach w celu aprowizacji większej liczby atrybutów z usługi AD systemu Windows Server, poczekaj, aż te zmiany dla użytkowników przejdą z usługi AD systemu Windows Server do identyfikatora Entra firmy Microsoft, aby reprezentacja microsoft Entra ID użytkowników miała pełny zestaw atrybutów z usługi AD systemu Windows Server.

   Jeśli używasz usługi Microsoft Entra Cloud Sync, możesz monitorować steadyStateLastAchievedTime właściwość stanu synchronizacji, pobierając zadanie synchronizacji jednostki usługi reprezentującej usługę Microsoft Entra Cloud Sync. Jeśli nie masz identyfikatora jednostki usługi, zobacz Wyświetlanie schematu synchronizacji.

Aktualizowanie schematu użytkownika identyfikatora entra firmy Microsoft

Jeśli używasz usługi AD systemu Windows Server, schemat użytkownika Microsoft Entra ID został już rozszerzony w ramach konfigurowania mapowań z usługi AD systemu Windows Server. Jeśli ten krok zostanie ukończony, przejdź do następnej sekcji.

Jeśli nie używasz usługi AD systemu Windows Server, wykonaj kroki opisane w tej sekcji, aby rozszerzyć schemat użytkownika microsoft Entra ID.

1. Utwórz aplikację do przechowywania rozszerzeń schematu firmy Microsoft Entra. W przypadku dzierżaw, które nie są synchronizowane z usługi AD systemu Windows Server, rozszerzenia schematu muszą być częścią nowej aplikacji. Jeśli jeszcze tego nie zrobiono, utwórz aplikację do reprezentowania rozszerzeń schematu. Ta aplikacja nie będzie mieć przypisanych do niej żadnych użytkowników.

2. Zidentyfikuj atrybut korelacji z systemem rekordów. Być może masz istniejących użytkowników w identyfikatorze Entra firmy Microsoft odpowiadającym pracownikom. Następnie ci użytkownicy muszą mieć atrybut, którego wartość jest unikatowa i odpowiada właściwości w autorytatywnym systemie źródła rekordów dla tych procesów roboczych.

   Na przykład niektóre organizacje rozszerzają schemat użytkownika identyfikatora Entra firmy Microsoft, aby w tym celu uzyskać nowy atrybut. Jeśli w tym celu nie utworzono jeszcze atrybutu, dołącz go jako atrybut w następnym kroku.

3. Rozszerz schemat użytkownika Identyfikator entra firmy Microsoft dla nowych atrybutów. Utwórz rozszerzenia schematu katalogu dla każdego atrybutu wymaganego przez aplikacje SAP, które nie są jeszcze częścią schematu użytkownika microsoft Entra ID. Te atrybuty umożliwiają firmie Microsoft Entra przechowywanie większej ilości danych na temat użytkowników. Schemat można rozszerzyć, tworząc atrybut rozszerzenia.

Upewnij się, że użytkownicy w identyfikatorze Entra firmy Microsoft mogą być skorelowane z rekordami procesów roboczych w źródle hr

Być może masz istniejących użytkowników w identyfikatorze Entra firmy Microsoft odpowiadającym pracownikom. Następnie ci użytkownicy muszą mieć atrybut, którego wartość jest unikatowa i odpowiada właściwości w autorytatywnym systemie źródła rekordów dla tych procesów roboczych.

Na przykład niektóre organizacje mogą rozszerzyć schemat użytkownika identyfikatora Entra firmy Microsoft w celu uzyskania nowego atrybutu w tym celu. Jeśli istnieją użytkownicy, którzy nie mają tego atrybutu, mogą nie być brani pod uwagę podczas kolejnej integracji. Następnie automatyczne aprowizowanie powoduje utworzenie zduplikowanych użytkowników w usłudze AD systemu Windows Server. Po opuszczeniu użytkownika oryginalni użytkownicy nie są aktualizowani ani usuwani.

1. Pobierz użytkowników z identyfikatora Entra firmy Microsoft. Upewnij się, że każdy użytkownik już w identyfikatorze Entra firmy Microsoft reprezentujący proces roboczy ma atrybut, aby mógł być skorelowany. Zazwyczaj kilku użytkowników w identyfikatorze Entra firmy Microsoft nie odpowiada pracownikom w autorytatywnym systemie źródła rekordów. Użytkownicy ci obejmują konto awaryjne dostępu administracyjnego, konta dla dostawców IT i gości biznesowych. Reszta użytkowników musi już mieć atrybut z unikatową wartością, która ma być używana do korelacji.

   Jeśli niektórzy użytkownicy nie są skorelowani, mogą zostać pominięte w przypadku aktualizacji i anulowania aprowizacji. Firma Microsoft Entra może nawet tworzyć zduplikowanych użytkowników. Jeśli na przykład wymaganie jest takie, że wszyscy użytkownicy będący członkami (oprócz konta break-glass) mają employeeid atrybut, można zidentyfikować tych użytkowników z potokiem poleceń programu PowerShell podobnym do następującego skryptu:

   $u = get-mguser -all -property id,displayname,userprincipalname,usertype,employeeid | Where-Object {$_.UserType -ne 'Guest' -and $_.EmployeeId -eq $null}
   

Konfigurowanie wymagań wstępnych dotyczących funkcji zarządzania tożsamościami

Jeśli zidentyfikowano potrzebę zapewnienia ładu identyfikatora entra firmy Microsoft, takiego jak zarządzanie upoważnieniami firmy Microsoft lub przepływy pracy cyklu życia entra firmy Microsoft, należy wdrożyć te funkcje przed wprowadzeniem pracowników jako użytkowników do identyfikatora Entra firmy Microsoft.

1. W razie potrzeby przekaż dokument warunków użytkowania. Jeśli wymagasz od użytkowników zaakceptowania warunków użytkowania przed uzyskaniem dostępu do aplikacji, utwórz i przekaż dokument warunków użytkowania, aby mógł zostać uwzględniony w zasadach dostępu warunkowego.

2. W razie potrzeby utwórz wykaz. Domyślnie gdy administrator najpierw wchodzi w interakcję z zarządzaniem upoważnieniami firmy Microsoft, domyślny wykaz jest tworzony automatycznie. Jednak pakiety dostępu dla zarządzanych aplikacji powinny znajdować się w wyznaczonym wykazie. Aby utworzyć wykaz w centrum administracyjnym firmy Microsoft Entra, wykonaj kroki opisane w sekcji Tworzenie wykazu.

   Aby utworzyć wykaz przy użyciu programu PowerShell, wykonaj kroki opisane w sekcjach Uwierzytelnianie w identyfikatorze Entra firmy Microsoft i Tworzenie wykazu.

3. Utwórz przepływ pracy sprzężenia. Jeśli konfigurujesz aprowizację przychodzącą do identyfikatora entra firmy Microsoft, skonfiguruj przepływ pracy sprzężenia przepływu pracy cyklu życia z zadaniem wystawiania tymczasowego dostępu dla nowych procesów roboczych.

4. Utwórz przepływ pracy opuszczania, który blokuje logowania. W przepływach pracy cyklu życia entra firmy Microsoft skonfiguruj przepływ pracy opuszczania z zadaniem, które blokuje użytkownikom logowanie. Ten przepływ pracy może działać na żądanie. Jeśli nie skonfigurowano aprowizacji ruchu przychodzącego ze źródeł rekordu w celu zablokowania procesom roboczym logowania się po zaplanowanej dacie urlopu, skonfiguruj przepływ pracy urlopu, aby był uruchamiany na zaplanowanych datach urlopu tych procesów roboczych.

5. Utwórz przepływ pracy opuszczania, aby usunąć konta użytkowników. Opcjonalnie skonfiguruj przepływ pracy opuszczania z zadaniem, aby usunąć użytkownika. Zaplanuj uruchomienie tego przepływu pracy przez jakiś czas, na przykład 30 lub 90 dni po zaplanowanej dacie urlopu procesu roboczego.

Połączenie użytkowników w usłudze Microsoft Entra ID do rekordów procesów roboczych ze źródła kadr

W tej sekcji pokazano, jak zintegrować identyfikator entra firmy Microsoft z rozwiązaniem SAP SuccessFactors jako system źródłowy hr rekordu.

1. Skonfiguruj system rekordów przy użyciu konta usługi i przyznaj odpowiednie uprawnienia dla identyfikatora Entra firmy Microsoft. Jeśli używasz rozwiązania SAP SuccessFactors, wykonaj kroki opisane w sekcji Konfigurowanie rozwiązania SuccessFactors na potrzeby integracji.

2. Skonfiguruj mapowania ruchu przychodzącego z systemu rekordów do usługi AD systemu Windows Server lub identyfikatora entra firmy Microsoft. Jeśli używasz rozwiązania SAP SuccessFactors i aprowizacji użytkowników w usługach AD systemu Windows Server i Microsoft Entra ID, wykonaj kroki opisane w sekcji Konfigurowanie aprowizacji użytkowników z rozwiązania SuccessFactors do usługi Active Directory.

   Jeśli używasz rozwiązania SAP SuccessFactors i nie aprowizujesz w usłudze AD systemu Windows Server, wykonaj kroki opisane w sekcji Konfigurowanie aprowizacji użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft.

   Podczas konfigurowania mapowań upewnij się, że skonfigurowano mapowanie z obiektami Match przy użyciu tego atrybutu dla atrybutu usługi AD systemu Windows Server lub atrybutu użytkownika Identyfikator entra firmy Microsoft używanego do korelacji. Skonfiguruj również mapowania atrybutów wymaganych przez sprzężenia procesu roboczego i daty opuszczenia oraz wszystkie atrybuty wymagane przez aplikacje docelowe pochodzące ze źródła kadr.

3. Wykonaj początkową aprowizację przychodzącą z systemu rekordów. Jeśli używasz rozwiązania SAP SuccessFactors i aprowizacji użytkowników w usługach AD systemu Windows Server i Microsoft Entra ID, wykonaj kroki opisane w sekcji Włączanie i uruchamianie aprowizacji. Jeśli używasz rozwiązania SAP SuccessFactors i nie aprowizacji w usłudze AD systemu Windows Server, wykonaj kroki opisane w sekcji Włączanie i uruchamianie aprowizacji.

4. Poczekaj na zakończenie synchronizacji początkowej z systemu rekordów. Jeśli przeprowadzasz synchronizację z rozwiązania SAP SuccessFactors z usługą AD systemu Windows Server lub identyfikatorem entra firmy Microsoft, po zakończeniu synchronizacji początkowej z katalogem firma Microsoft Entra aktualizuje raport podsumowania inspekcji na karcie Aprowizacja aplikacji SAP SuccessFactors w centrum administracyjnym firmy Microsoft Entra.

   

5. Jeśli aprowizujesz usługę AD systemu Windows Server, poczekaj na nowych użytkowników utworzonych w usłudze AD systemu Windows Server lub zaktualizowanych w usłudze AD systemu Windows Server, aby zsynchronizować z usługi AD systemu Windows Server do microsoft Entra ID. Zaczekaj, aż zmiany w usłudze AD systemu Windows Server przejdą do identyfikatora Entra firmy Microsoft, aby reprezentacja identyfikatora entra firmy Microsoft miała pełny zestaw użytkowników i ich atrybuty z usługi AD systemu Windows Server.

   Jeśli używasz usługi Microsoft Entra Cloud Sync, możesz monitorować steadyStateLastAchievedTime stan synchronizacji, pobierając zadanie synchronizacji jednostki usługi reprezentującej usługę Microsoft Entra Cloud Sync. Jeśli nie masz identyfikatora jednostki usługi, zobacz Wyświetlanie schematu synchronizacji.

6. Upewnij się, że użytkownicy zostali aprowizowani w usłudze Microsoft Entra ID. Na tym etapie użytkownicy powinni znajdować się w identyfikatorze Entra firmy Microsoft z atrybutami wymaganymi przez aplikacje docelowe. Na przykład może być wymagane, aby użytkownicy mieli givennameatrybuty , surnamei employeeID . Aby wyświetlić liczbę użytkowników z określonymi atrybutami lub brakujących atrybutów, możesz użyć poleceń programu PowerShell podobnych do następującego skryptu:

   $u = get-mguser -all -property id,displayname,userprincipalname,usertype,givenname,surname,employeeid
   $u2 = $u | where-object {$_.usertype -ne 'Guest' -and $_.employeeid -ne $null}
   $u2c = $u2.Count
   write-output "member users with employeeID attribute: $u2c"
   $u3 = $u| Where-Object {$_.UserType -ne 'Guest' -and ($_.EmployeeId -eq $null -or $_.GivenName -eq $null -or $_.Surname -eq $null)}
   $u3c = $u3.Count
   write-output "member users missing employeeID, givenname or surname attributes: $u3c"
   

7. Upewnij się, że nie ma nieoczekiwanych niekorzystywanych kont w identyfikatorze Entra firmy Microsoft. Zazwyczaj kilku użytkowników w identyfikatorze Entra firmy Microsoft nie odpowiada pracownikom w autorytatywnym systemie źródła rekordów. Obejmują one konto awaryjne dostępu administracyjnego, konta dla dostawców IT i gości biznesowych.

   Mogą one jednak być również kontami oddzielonymi w firmie Microsoft Entra, które przypominają te konta bieżących pracowników, ale nie zostały zsynchronizowane z rekordem procesu roboczego. Konta oddzielone mogą wynikać z byłych pracowników, którzy nie są już w systemie KADR. Mogą również pochodzić z pasujących błędów. Mogą też wystąpić problemy z jakością danych, takie jak osoba, która zmieniła swoje imię lub została ponownie utworzona.

Aprowizuj użytkowników i ich prawa dostępu do aplikacji i umożliwia im logowanie się do tych aplikacji

Teraz, gdy użytkownicy istnieją w usłudze Microsoft Entra ID, w następnych sekcjach aprowizujesz je w aplikacjach docelowych.

Aprowizuj użytkowników w usługach SAP Cloud Identity Services

Kroki opisane w tej sekcji umożliwiają skonfigurowanie aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Domyślnie skonfiguruj identyfikator Entra firmy Microsoft, aby automatycznie aprowizować i cowężać aprowizację użytkowników do usług SAP Cloud Identity Services. Następnie ci użytkownicy mogą uwierzytelniać się w usługach SAP Cloud Identity Services i mieć dostęp do innych obciążeń SAP zintegrowanych z usługami SAP Cloud Identity Services. Usługa SAP Cloud Identity Services obsługuje aprowizowanie z lokalnego katalogu tożsamości do innych aplikacji SAP jako systemów docelowych.

Alternatywnie można skonfigurować usługi SAP Cloud Identity Services do odczytu z identyfikatora Entra firmy Microsoft. Jeśli używasz usług SAP Cloud Identity Services do odczytywania użytkowników i opcjonalnie grup z identyfikatora Entra firmy Microsoft, postępuj zgodnie ze wskazówkami sap dotyczącymi konfigurowania usług SAP Cloud Identity Services. Następnie przejdź do następnej sekcji.

Jeśli nie używasz usług SAP Cloud Identity Services, przejdź do następnej sekcji.

1. Upewnij się, że masz dzierżawęusług SAP Cloud Identity Services z kontem użytkownika w usługach SAP Cloud Identity Services z uprawnieniami Administracja.

2. Konfigurowanie usług SAP Cloud Identity Services na potrzeby aprowizacji. Zaloguj się do konsoli usługi SAP Cloud Identity Services Administracja i wykonaj kroki opisane w sekcji Konfigurowanie usług SAP Cloud Identity Services na potrzeby aprowizacji.

3. Dodaj usługi SAP Cloud Identity Services z galerii i skonfiguruj automatyczną aprowizację użytkowników do usług SAP Cloud Identity Services. Wykonaj kroki opisane w sekcjach Dodawanie usług SAP Cloud Identity Services z galerii i Konfigurowanie automatycznej aprowizacji użytkowników w usługach SAP Cloud Identity Services.

4. Aprowizuj użytkownika testowego z witryny Microsoft Entra ID do usług SAP Cloud Identity Services. Sprawdź, czy integracja aprowizacji jest gotowa, wykonując kroki opisane w sekcji Aprowizowanie nowego użytkownika testowego z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services.

5. Upewnij się, że istniejący użytkownicy w usługach Microsoft Entra i SAP Cloud Identity Services mogą być skorelowane. Aby porównać użytkowników z identyfikatorem Entra firmy Microsoft z tymi użytkownikami już w usługach SAP Cloud Identity Services, wykonaj kroki opisane w poniższych sekcjach:

   • Upewnij się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne pasujące atrybuty
   • Upewnij się, że istniejący użytkownicy firmy Microsoft Entra mają niezbędne atrybuty

6. Przypisz istniejących użytkowników usług SAP Cloud Identity Services do aplikacji w usłudze Microsoft Entra ID. Wykonaj kroki opisane w sekcji Przypisywanie użytkowników do aplikacji SAP Cloud Identity Services w usłudze Microsoft Entra ID. W tych krokach należy wykonać następujące czynności:

   • Rozwiąż wszelkie problemy z aprowizowaniem, aby aprowizacja nie została poddana kwarantannie.
   • Sprawdź użytkowników, którzy są obecni w usługach SAP Cloud Identity Services i nie są jeszcze przypisani do aplikacji w usłudze Microsoft Entra ID.
   • Przypisz pozostałych użytkowników.
   • Monitoruj synchronizację początkową.

7. Poczekaj na synchronizację z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services. Poczekaj, aż wszyscy użytkownicy przypisani do aplikacji zostaną aprowizowani. Początkowy cykl trwa od 20 minut do kilku godzin. Czas zależy od rozmiaru katalogu Microsoft Entra i liczby użytkowników w zakresie aprowizacji. Właściwość stanu synchronizacji można monitorować steadyStateLastAchievedTime , pobierając zadanie synchronizacji jednostki usługi reprezentującej usługi SAP Cloud Identity Services.

8. Sprawdź, czy występują błędy aprowizacji. Sprawdź dziennik aprowizacji za pośrednictwem centrum administracyjnego firmy Microsoft lub interfejsów API programu Graph. Przefiltruj dziennik do stanu Niepowodzenie.

   Jeśli występują błędy z kodem błędu DuplicateTargetEntries, ten kod wskazuje niejednoznaczność w regułach dopasowywania aprowizacji. Aby upewnić się, że każdy użytkownik firmy Microsoft Entra jest zgodny z jednym użytkownikiem aplikacji, należy zaktualizować użytkowników firmy Microsoft Entra lub mapowania, które są używane do dopasowywania. Następnie przefiltruj dziennik do akcji Utwórz i stan Pominięto.

   Jeśli użytkownicy zostali pominięti przy użyciu SkipReason kodu *NotEffectivelyEntitled, to zdarzenie dziennika może wskazywać, że konta użytkowników w identyfikatorze Microsoft Entra nie były zgodne, ponieważ stan konta użytkownika był wyłączony.

9. Porównaj użytkowników w usługach SAP Cloud Identity Services z tymi w usłudze Microsoft Entra ID. Powtórz kroki opisane w sekcji Upewnij się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne odpowiednie atrybuty , aby ponownie wyeksportować użytkowników z usług SAP Cloud Identity Services. Następnie sprawdź, czy wyeksportowani użytkownicy mają niezbędne właściwości dla aplikacji SAP. Możesz użyć polecenia programu PowerShell where-object , aby filtrować listę użytkowników tylko do tych użytkowników, którzy mają brakujący atrybut, z filtrem, na przykład {$_.employeeId -eq $null}.

10. Skonfiguruj federacyjne logowanie jednokrotne z witryny Microsoft Entra do usług SAP Cloud Identity Services. Włącz logowanie jednokrotne oparte na protokole SAML dla usług SAP Cloud Identity Services. Postępuj zgodnie z instrukcjami podanymi w samouczku dotyczącym logowania jednokrotnego usług SAP Cloud Identity Services.

11. Przełącz internetowy punkt końcowy aplikacji do zakresu odpowiednich zasad dostępu warunkowego. Być może masz istniejące zasady dostępu warunkowego, które zostały utworzone dla innej aplikacji z zastrzeżeniem tych samych wymagań dotyczących ładu. Następnie można zaktualizować te zasady, aby te zasady miały zastosowanie również do tej aplikacji, aby uniknąć dużej liczby zasad.

    Po wprowadzeniu aktualizacji sprawdź, czy oczekiwane zasady są stosowane. Dowiesz się, jakie zasady będą stosowane do użytkownika za pomocą narzędzia warunkowego dostępu warunkowego.

12. Sprawdź, czy użytkownik testowy może nawiązać połączenie z aplikacjami SAP. Aby przetestować logowanie jednokrotne aplikacji, możesz użyć Moje aplikacje firmy Microsoft. Upewnij się, że użytkownik testowy został przypisany do aplikacji SAP Cloud Identity Services i aprowizowany z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services. Następnie zaloguj się do aplikacji Microsoft Entra jako ten użytkownik i przejdź do witryny myapps.microsoft.com.

    Po wybraniu kafelka SAP Cloud Identity Services w Moje aplikacje, jeśli skonfigurowano go w trybie dostawcy usług (SP), nastąpi przekierowanie do strony logowania aplikacji w celu zainicjowania przepływu logowania. Jeśli skonfigurowano tryb dostawcy tożsamości (IDP), automatycznie logujesz się do usług SAP Cloud Identity Services, dla których skonfigurowano logowanie jednokrotne.

Aprowizuj użytkowników w usłudze SAP ECC

Teraz, gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować je w środowisku lokalnym SAP.

Jeśli nie używasz usługi SAP ECC, przejdź do następnej sekcji.

1. Konfigurowanie aprowizacji. Postępuj zgodnie z instrukcjami w temacie Configure Microsoft Entra ID to provision users into SAP ECC with NetWeaver AS ABAP 7.0 or nowsza.

2. Poczekaj na synchronizację z identyfikatora Entra firmy Microsoft do rozwiązania SAP ECC. Poczekaj, aż wszyscy użytkownicy przypisani do aplikacji SAP ECC zostaną aprowizowani. Początkowy cykl trwa od 20 minut do kilku godzin. Czas zależy od rozmiaru katalogu Microsoft Entra i liczby użytkowników w zakresie aprowizacji. Właściwość stanu synchronizacji można monitorować steadyStateLastAchievedTime , pobierając zadanie synchronizacji jednostki usługi.

3. Sprawdź, czy występują błędy aprowizacji. Sprawdź dziennik aprowizacji za pośrednictwem centrum administracyjnego firmy Microsoft lub interfejsów API programu Graph. Przefiltruj dziennik do stanu Niepowodzenie.

   Jeśli występują błędy z kodem błędu DuplicateTargetEntries, to zdarzenie dziennika wskazuje niejednoznaczność w regułach dopasowywania aprowizacji. Należy zaktualizować użytkowników firmy Microsoft Entra lub mapowania, które są używane do dopasowywania, aby upewnić się, że każdy użytkownik firmy Microsoft Entra jest zgodny z jednym użytkownikiem aplikacji. Następnie przefiltruj dziennik do akcji Utwórz i stan Pominięto.

   Jeśli użytkownicy zostali pominięti przy SkipReason użyciu kodu , ten kod może wskazywać, że konta użytkowników w identyfikatorze NotEffectivelyEntitledEntra Firmy Microsoft nie były zgodne, ponieważ stan konta użytkownika był wyłączony.

4. Porównaj użytkowników w usłudze SAP ECC z użytkownikami w usłudze Microsoft Entra ID. W systemie Windows Server hostujący agenta aprowizacji na potrzeby aprowizacji w usłudze SAP ECC uruchom ponownie usługę Microsoft ECMA2Host systemu Windows. Po ponownym uruchomieniu usługi wykonuje pełny import użytkowników z usługi SAP ECC.

5. Skonfiguruj federacyjne logowanie jednokrotne z firmy Microsoft Entra do oprogramowania SAP. Włącz logowanie jednokrotne oparte na protokole SAML dla aplikacji SAP. Jeśli używasz oprogramowania SAP NetWeaver, postępuj zgodnie z instrukcjami podanymi w samouczku sap NetWeaver SSO.

6. Przełącz internetowy punkt końcowy aplikacji do zakresu odpowiednich zasad dostępu warunkowego. Być może masz istniejące zasady dostępu warunkowego, które zostały utworzone dla innej aplikacji z zastrzeżeniem tych samych wymagań dotyczących ładu. Następnie można zaktualizować te zasady, aby te zasady miały zastosowanie również do tej aplikacji, aby uniknąć dużej liczby zasad.

   Po wprowadzeniu aktualizacji sprawdź, czy oczekiwane zasady są stosowane. Dowiesz się, jakie zasady będą stosowane do użytkownika za pomocą narzędzia warunkowego dostępu warunkowego.

7. Sprawdź, czy użytkownik testowy można aprowizować i zalogować się do oprogramowania SAP NetWeaver. Postępuj zgodnie z instrukcjami w sekcji Testowanie logowania jednokrotnego , aby upewnić się, że użytkownicy mogą logować się po skonfigurowaniu dostępu warunkowego.

Konfigurowanie aprowizacji w usłudze SuccessFactors i innych aplikacjach

Możesz skonfigurować firmę Microsoft Entra, aby zapisywać określone atrybuty z identyfikatora Entra firmy Microsoft do rozwiązania SAP SuccessFactors Employee Central, w tym służbowej poczty e-mail. Aby uzyskać więcej informacji, zobacz Configure SAP SuccessFactors writeback in Microsoft Entra ID (Konfigurowanie zapisywania zwrotnego rozwiązania SAP SuccessFactors w usłudze Microsoft Entra ID).

Firma Microsoft Entra może również aprowizować wiele innych aplikacji, w tym tych, które korzystają ze standardów, takich jak OpenID Połączenie, SAML, SCIM, SQL, LDAP, SOAP i REST. Aby uzyskać więcej informacji, zobacz Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft.

Przypisywanie użytkownikom niezbędnych praw dostępu do aplikacji w usłudze Microsoft Entra

Chyba że konfigurowana dzierżawa jest w pełni odizolowaną dzierżawą skonfigurowaną specjalnie dla dostępu do aplikacji SAP, jest mało prawdopodobne, aby wszyscy w dzierżawie potrzebowali dostępu do aplikacji SAP. Aplikacje SAP w dzierżawie są konfigurowane tak, aby tylko użytkownicy z przypisaniem roli aplikacji do aplikacji aprowizowali aplikację i mogli logować się z identyfikatora Entra firmy Microsoft do tej aplikacji.

Ponieważ użytkownicy przypisani do aplikacji są aktualizowani w identyfikatorze Entra firmy Microsoft, te zmiany są automatycznie aprowizowane w tej aplikacji.

Jeśli masz Zarządzanie tożsamością Microsoft Entra, możesz zautomatyzować zmiany przypisań ról aplikacji dla usług SAP Cloud Identity Services lub SAP ECC w usłudze Microsoft Entra ID. Automatyzacja umożliwia dodawanie lub usuwanie przypisań, gdy osoby dołączają do organizacji lub opuszczają lub zmieniają role.

1. Przejrzyj istniejące przypisania. Opcjonalnie wykonaj jednorazowy przegląd przypisań ról aplikacji. Po zakończeniu tej przeglądu przegląd dostępu usuwa przypisania, które nie są już niezbędne.

2. Skonfiguruj proces, aby zachować aktualność przypisań ról aplikacji. Jeśli używasz zarządzania upoważnieniami firmy Microsoft Entra, zobacz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami dla aplikacji z jedną rolą przy użyciu programu PowerShell , aby skonfigurować przypisania do aplikacji reprezentującej usługi sap cloud identity services lub SAP ECC.

   W tym pakiecie dostępu można mieć zasady umożliwiające użytkownikom przypisanie dostępu podczas ich żądania. Przypisania mogą być wykonywane przez administratora, automatycznie na podstawie reguł lub generowane za pośrednictwem przepływów pracy cyklu życia.

Jeśli nie masz Zarządzanie tożsamością Microsoft Entra, możesz przypisać każdego użytkownika do aplikacji w centrum administracyjnym firmy Microsoft Entra. Do aplikacji można przypisać poszczególnych użytkowników za pomocą polecenia cmdlet New-MgServicePrincipalAppRoleAssignedToprogramu PowerShell .

Dystrybuowanie poświadczeń do nowo utworzonych użytkowników usługi Microsoft Entra lub użytkowników usługi AD systemu Windows Server

Na tym etapie wszyscy użytkownicy są obecni w usłudze Microsoft Entra ID i aprowizowani dla odpowiednich aplikacji SAP. Wszyscy użytkownicy, którzy zostali utworzeni podczas tego procesu, w przypadku procesów roboczych, którzy nie byli wcześniej obecni w usłudze AD systemu Windows Server lub identyfikatorze Microsoft Entra, wymagają nowych poświadczeń.

1. Jeśli aprowizacja ruchu przychodzącego firmy Microsoft tworzy użytkowników w usłudze AD systemu Windows Server, należy rozpowszechnić początkowe poświadczenia usługi AD systemu Windows Server dla nowo utworzonych użytkowników. Listę zdarzeń dotyczących interakcji firmy Microsoft z usługą AD systemu Windows Server można pobrać za pomocą polecenia Get-MgAuditLogProvisioning .

   Możesz użyć Set-ADAccountPassword polecenia z parametrem -Reset na komputerze przyłączonym do domeny, aby ustawić nowe hasło usługi AD systemu Windows Server dla użytkownika. Następnie użyj Set-ADUser polecenia z parametrem -ChangePasswordAtLogon , aby wymagać od użytkownika wybrania nowego hasła podczas następnego logowania.

2. Jeśli aprowizacja ruchu przychodzącego firmy Microsoft tworzy użytkowników w usłudze Microsoft Entra ID, rozpowszechnij początkowe poświadczenia identyfikatora entra firmy Microsoft dla nowo utworzonych użytkowników. Listę nowo utworzonych użytkowników można pobrać za pomocą polecenia Get-MgAuditLogDirectoryAudit z parametrami takimi jak Get-MgAuditLogDirectoryAudit -Filter "category eq 'UserManagement' and activityDisplayName eq 'Add user' and result eq 'success' and activityDateTime+ge+2024-05-01" -all.

   Aby wygenerować tymczasowy dostęp dla użytkownika, możesz użyć poleceń New-MgUserAuthenticationTemporaryAccessPassMethod i Get-MgUserAuthenticationTemporaryAccessPassMethod, jak pokazano w temacie Tworzenie tymczasowego dostępu pass.

3. Upewnij się, że użytkownicy są zarejestrowani w usłudze MFA. Możesz zidentyfikować użytkowników, którzy nie są zarejestrowani w usłudze MFA, uruchamiając polecenia programu PowerShell w sekcji Raportowanie programu PowerShell dla użytkowników zarejestrowanych w usłudze MFA.

4. Utwórz cykliczny przegląd dostępu, jeśli użytkownicy potrzebują tymczasowych wykluczeń zasad. W niektórych przypadkach może nie być możliwe natychmiastowe wymuszanie zasad dostępu warunkowego dla każdego autoryzowanego użytkownika. Na przykład niektórzy użytkownicy mogą nie mieć odpowiedniego zarejestrowanego urządzenia. Jeśli konieczne jest wykluczenie co najmniej jednego użytkownika z zasad dostępu warunkowego i zezwolenie im na dostęp, skonfiguruj przegląd dostępu dla grupy użytkowników, którzy są wykluczeni z zasad dostępu warunkowego.

Monitorowanie przepływów tożsamości

Teraz, gdy masz skonfigurowaną aprowizację ruchu przychodzącego i wychodzącego z aplikacjami, możesz użyć automatyzacji w firmie Microsoft Entra do monitorowania ciągłej aprowizacji z autorytatywnych systemów rekordów do aplikacji docelowych.

Monitorowanie aprowizacji ruchu przychodzącego

Działania wykonywane przez usługę aprowizacji są rejestrowane w dziennikach aprowizacji firmy Microsoft. Dostęp do dzienników aprowizacji można uzyskać w centrum administracyjnym firmy Microsoft Entra. Dane aprowizacji można przeszukiwać na podstawie nazwy użytkownika lub identyfikatora w systemie źródłowym lub systemie docelowym. Aby uzyskać więcej informacji, zobacz Aprowizowanie dzienników.

Monitorowanie zmian w usłudze AD systemu Windows Server

Zgodnie z opisem w zaleceniach dotyczących zasad inspekcji systemu Windows Server upewnij się, że zdarzenia inspekcji powodzenia zarządzania kontami użytkowników są włączone na wszystkich kontrolerach domeny i zbierane do analizy.

Monitorowanie przypisań ról aplikacji

Jeśli skonfigurowano identyfikator Entra firmy Microsoft do wysyłania zdarzeń inspekcji do usługi Azure Monitor, możesz użyć skoroszytów usługi Azure Monitor, aby uzyskać szczegółowe informacje na temat sposobu uzyskiwania dostępu przez użytkowników.

• Jeśli używasz zarządzania upoważnieniami firmy Microsoft Entra, skoroszyt o nazwie Działanie pakietu programu Access wyświetla każde zdarzenie związane z określonym pakietem dostępu.

  

• Aby sprawdzić, czy zmiany przypisań ról aplikacji dla aplikacji nie zostały utworzone z powodu przypisań pakietów dostępu, wybierz skoroszyt o nazwie Działanie przypisania roli aplikacji. Jeśli wybierzesz opcję pominięcia działania uprawnień, zostaną wyświetlone tylko zmiany ról aplikacji, które nie zostały wprowadzone przez zarządzanie upoważnieniami. Na przykład zostanie wyświetlony wiersz, jeśli inny administrator bezpośrednio przypisał użytkownika do roli aplikacji.

  

Monitorowanie aprowizacji ruchu wychodzącego

Dla każdej aplikacji zintegrowanej z firmą Microsoft Entra możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji. W raporcie opisano wszystkie akcje wykonywane przez usługę aprowizacji firmy Microsoft w aplikacji. Projekt aprowizacji można również monitorować za pośrednictwem interfejsów API programu Microsoft Graph.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Monitorowanie logowania jednokrotnego

Ostatnie 30 dni logowania do aplikacji można wyświetlić w raporcie logowania w centrum administracyjnym firmy Microsoft Entra lub za pośrednictwem programu Microsoft Graph. Możesz również wysłać dzienniki logowania do usługi Azure Monitor , aby zarchiwizować aktywność logowania przez maksymalnie dwa lata.

Monitorowanie przypisań w Zarządzanie tożsamością Microsoft Entra

Jeśli używasz Zarządzanie tożsamością Microsoft Entra, możesz zgłosić, jak użytkownicy uzyskują dostęp przy użyciu funkcji Zarządzanie tożsamością Microsoft Entra. Na przykład:

• Administrator lub właściciel wykazu może pobrać listę użytkowników, którzy mają dostęp do przypisań pakietów za pośrednictwem centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph lub programu PowerShell.
• Dzienniki inspekcji można również wysłać do usługi Azure Monitor i wyświetlić historię zmian w pakiecie dostępu w centrum administracyjnym firmy Microsoft Entra lub za pośrednictwem programu PowerShell.

Aby uzyskać więcej informacji na temat tych scenariuszy i innych scenariuszy zarządzania tożsamościami, zobacz, jak monitorować dostosowywanie zasad zarządzania upoważnieniami i dostępu zgodnie z potrzebami.

Powiązana zawartość

• Zarządzanie dostępem do aplikacji w środowisku
• Zarządzanie dostępem przez migrację modelu roli organizacji do Zarządzanie tożsamością Microsoft Entra
• Definiowanie zasad organizacji na potrzeby zarządzania dostępem do innych aplikacji w danym środowisku
• Zabezpieczanie dostępu do platform i aplikacji SAP przy użyciu identyfikatora Entra firmy Microsoft
• Poznaj podstawy tożsamości i ładu dla oprogramowania SAP na platformie Azure