Поделиться через

Управление предоставлением облачных пользователей в локальной системе SAP ERP Central Component

В следующей документации содержатся сведения о конфигурации и обучающие материалы, показывающие, как настраивать пользователей из Microsoft Entra ID в компонент SAP ERP Central (SAP ECC, ранее SAP R/3) с NetWeaver 7.0 или более поздней версии. Если вы используете другие версии, такие как SAP R/3, вы по-прежнему можете использовать руководства, предоставленные в центре загрузки, в качестве ссылки на создание собственного шаблона и настройку подготовки.

В следующем видео приведены общие сведения о локальной подготовке.

Поддерживаемые возможности

  • Создание пользователей в SAP ECC.
  • Удалите пользователей в SAP ECC, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP ECC.

За пределами области применения

  • Другие типы объектов, включая локальные группы действий, роли и профили, не поддерживаются. Используйте Microsoft Identity Manager, если эти объекты необходимы.
  • Операции паролей не поддерживаются. Используйте Microsoft Identity Manager, если требуется управление паролями.

Предварительные требования для развертывания в SAP ECC с помощью NetWeaver AS ABAP 7.51

Предварительные требования для локальной установки

Компьютер, на котором запущен агент подготовки, должен иметь следующие компоненты:

  • По крайней мере 3 ГБ ОЗУ.
  • Windows Server 2016 или более поздней версии Windows Server.
  • Подключение к системе с помощью SAP ECC NetWeaver AS ABAP 7.51
  • Исходящее подключение к login.microsoftonline.com, другим веб-службам Майкрософт и доменам Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • .NET Framework 4.7.2.

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль администратора гибридной идентификации для настройки агента подготовки и роли администратора приложений или администратора облачных приложений для настройки подготовки в центре администрирования Microsoft Entra.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к SAP ECC, должны быть заполнены любыми атрибутами, которые потребуются SAP ECC.

1. Установить и настроить агент предоставления Microsoft Entra Connect

Если вы уже загрузили агент конфигурирования и настроили его для другого локального приложения, тогда продолжайте чтение в следующем разделе.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите внутреннее приложение ECMA, присвойте приложению имя и выберите Создать, чтобы добавить его в тенант.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Начать.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана с выбором пункта 'Автоматически'.

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

  2. Выйдите из портала и запустите установщик агента настройки, примите условия обслуживания и выберите «Установить».

  3. Дождитесь мастера конфигурации агента Microsoft Entra, а затем нажмите кнопку "Далее".

  4. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".

  5. Агент подготовки будет использовать веб-браузер операционной системы, чтобы отобразить всплывающее окно для проверки подлинности в Microsoft Entra ID, а возможно, также для удостоверения личности вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.

  6. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю необходимо иметь по крайней мере роль администратора гибридных удостоверений.

  7. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать Выйти, а также закрыть установщик пакета агента подготовки.

2. Предоставление необходимых API SAP

Предоставите необходимые API в SAP ECC NetWeaver 7.51 для создания, обновления и удаления пользователей. В документе Deploy SAP NetWeaver AS ABAP 7.51 описывается, как предоставить необходимые API.

3. Создание шаблона соединителя веб-служб

Если вы не производите миграцию с существующего соединителя веб-служб в MIM, то вам необходимо создать шаблон соединителя веб-служб для хоста ECMA. Если у вас уже есть шаблон соединителя веб-служб из MIM, перейдите к следующему разделу.

Вы можете использовать документ создания шаблона соединителя веб-службы SAP ECC 7.51 для ECMA2Host в качестве примера для создания собственного шаблона. Соединители для Microsoft Identity Manager 2016 также предоставляют шаблон sapecc.wsconfig в качестве примера. Перед развертыванием в рабочей среде необходимо настроить шаблон в соответствии с потребностями конкретной среды. Убедитесь, что имя_службы, имя_конечной_точки и имя_операции правильные.

4. Настройка локального приложения ECMA

  1. На портале в разделе "Локальное подключение" выберите агента, которого вы развернули, и выберите "Назначить агент(ов)".

    Снимок экрана: выбор и назначение агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

5. Настройте сертификат хоста соединителя ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши пункт Microsoft ECMA2Host Configuration Wizard в меню "Пуск" и выберите "Запуск от имени администратора". Запуск программы под учетной записью администратора Windows необходим для создания необходимых журналов событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если вы запускаете мастер впервые, он попросит вас создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

6. Настройка соединителя универсальных веб-служб

В этом разделе вы создадите конфигурацию соединителя для SAP ECC.

Настройка подключения к SAP ECC выполняется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

6.1 Подключение агента управления к SAP ECC

Чтобы подключить агент подготовки Microsoft Entra к SAP ECC, выполните следующие действия.

  1. Скопируйте файл sapecc.wsconfig шаблона соединителя веб-службы в папку C:\Program Files\Microsoft ECMA2Host\Service\ECMA .

  2. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть не менее 12 символов и отдельное уникальное значение.

  3. Если вы еще не сделали этого, запустите Microsoft ECMA2Host Configuration Wizard из меню Windows.

  4. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  5. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только один экземпляр SAP, SAPECC7
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Расширение DLL Для соединителя веб-служб выберите Microsoft.IdentityManagement.MA.WebServices.dll.

  6. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Описание
    Проект веб-службы Имя вашего шаблона SAP ECC sapecc.
    Хост Имя узла конечной точки SOAP SAP ECC, напр., vhcalnplci.dummy.nodomain
    Порт Порт конечной точки SOAP SAP ECC, например: 8000

  7. На странице "Возможности" введите поля со значениями, указанными в таблице ниже, и нажмите кнопку "Далее".

    Свойство Значение
    Стиль представления уникального имени Универсальный
    Тип экспорта ObjectReplace (Замена объектов)
    Нормализация данных нет
    Подтверждение объекта Обычная
    Включить импорт Отмечено
    Включение разностного импорта Не отмечено
    Включить экспорт Отмечено
    Включить полный экспорт Не отмечено
    Включение экспорта пароля в первом проходе Отмечено
    Отсутствуют контрольные значения на первом этапе экспорта. Не отмечено
    Включить переименование объекта Не отмечено
    Удалить-добавить как заменить Не отмечено

Примечание.

Если шаблон sapecc.wsconfig соединителя веб-служб открыт для редактирования в средстве настройки веб-службы, появится сообщение об ошибке.

  1. На глобальной странице заполните поля значениями, указанными в таблице, следующей за изображением, и нажмите кнопку "Далее".

    Свойство Значение
    ТипУчетныхДанныхКлиента Базовая
    Имя пользователя Имя пользователя учетной записи с правами на вызов BAPIs, используемых в шаблоне SAP ECC.
    Пароль Пароль предоставленного имени пользователя.
    Проверить подключение Снимите флажок, если в шаблоне не реализован рабочий процесс тестового подключения

  2. На странице Секции нажмите кнопку Далее.

  3. На странице Профили запуска оставьте галочку Экспорт установленной. Установите флажок Полный импорт и нажмите кнопку Далее. Профиль выполнения экспорта будет использоваться, когда узлу соединителя ECMA нужно отправлять изменения из Microsoft Entra ID в SAP ECC для вставки, обновления и удаления записей. Профиль запуска полного импорта будет использоваться при запуске службы на хосте соединителя ECMA, чтобы прочитать текущее содержимое SAP ECC.

    Свойство Значение
    Экспорт (Export) Запустите профиль для экспорта данных в систему SAP ECC. Этот профиль запуска является обязательным.
    Полный импорт Запустите профиль, который импортирует все данные из экземпляра SAP ECC, указанного ранее.
    Дельта-импорт Запустите профиль, который импортирует только изменения из экземпляра SAP ECC с момента последнего полного или разностного импорта.

  4. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка : значения этого атрибута должны быть уникальными для каждого объекта в целевой системе. Служба обеспечения Microsoft Entra будет запрашивать узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение определяется в шаблоне соединителя веб-служб.

    • DN : параметр автогенерации должен быть выбран в большинстве случаев. Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Дополнительные сведения о привязках и удостоверённых именах см. в разделе Об атрибутах привязок и удостоверённых именах.

      Свойство Значение
      Целевой объект User
      Привязка userName
      ДН userName
      Созданный автоматически Отмечено

  5. Узел подключения ECMA определяет атрибуты, которые поддерживаются SAP ECC. Затем можно выбрать, какие из обнаруженных атрибутов вы хотите предоставить идентификатору Microsoft Entra. Эти атрибуты можно настроить в Центре администрирования Microsoft Entra для предоставления. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка. В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в SAP ECC и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

    Снимок экрана: страница выбора атрибутов

  6. На странице Депровижнинг в разделе Отключение потока выберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице депровизирования. Нажмите Готово.

Примечание.

Если вы используете установить значение атрибута, следует учитывать, что разрешены только логические значения.

На странице отмены предоставления в разделе Отключение потока выберите "Ничего". Вы будете контролировать состояние учетной записи пользователя с помощью свойства expirationTime. В потоке "Удаление" выберите "Нет", если вы не хотите удалять пользователей SAP, или "Удалить", если хотите. Нажмите Готово.

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

  4. Если вы недавно запустили службу и имеете много объектов пользователей в SAP ECC, подождите несколько минут, пока соединитель установит подключение к SAP ECC.

8. Настройка подключения приложения в Центре администрирования Microsoft Entra

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если время ожидания окна истекло, вам нужно будет выбрать агента повторно.

    1. Войдите в центр администрирования Microsoft Entra.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите Настройка.
    4. Выберите "Начать работу", а затем измените режим на "Автоматически", в разделе "Локальное подключение" выберите агента, которого вы развернули, и выберите "Назначить агента(ов)". В противном случае перейдите к Редактированию подготовки.

  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SAPECC7. Имя соединителя чувствительно к регистру и должно быть в том же регистре, что и в мастере настройки. Вы также можете заменить localhost на имя хоста вашего компьютера.

    Свойство Значение
    URL-адрес арендатора https://localhost:8585/ecma2host_SAPECC7/scim

  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы только что назначили агента для приложения, подождите 10 минут, пока регистрация не завершится. Проверка подключения не будет работать до завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.

  4. Нажмите Проверить соединение и подождите одну минуту.

  5. После успешного тестирования подключения и подтверждения, что предоставленные учетные данные авторизованы для активации развертывания, нажмите "Сохранить".

    Снимок экрана, показывающий тестирование агента.

9. Настройка сопоставлений атрибутов

Теперь вы будете сопоставлять атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в SAP ECC.

Вы будете использовать Центр администрирования Microsoft Entra для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra включает атрибуты, необходимые SAP ECC. Если требуется, чтобы у пользователей был атрибут, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе Корпоративные приложения выберите приложение локальное приложение ECMA, а затем перейдите на страницу управления подготовкой.

  3. Выберите Редактировать настройку и подождите 10 секунд.

  4. Разверните сопоставления и выберите Подготовка пользователей в Microsoft Entra. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

    Снимок экрана, который показывает подготовку пользователя.

  5. Чтобы убедиться, что схема SAP ECC доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, затем закройте эту страницу, чтобы вернуться в список сопоставлений.

  6. Теперь щелкните на сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки.

Снимок экрана заполнителя.

Измените значение, соответствующее следующему:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую имя_основного_пользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Атрибут Microsoft Entra Атрибут ScimOnPremises Приоритет сопоставления Примените это сопоставление
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Только во время создания объекта
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Только во время создания объекта
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Всегда
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Всегда
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Всегда
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Всегда
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Всегда
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:Пользователь:имя Всегда
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Фамилия Всегда
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:номерТелефона Всегда
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:должность Всегда

  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

Назначьте пользователей к приложению

Теперь, когда у вас есть узел соединителя Microsoft Entra ECMA, который взаимодействует с идентификатором Microsoft Entra и настроено сопоставление атрибутов, можно перейти к определению области охвата для подготовки.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и выполнить вход с помощью учетной записи, которая имеет как минимум роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в SAP ECC есть существующие пользователи, необходимо создать назначения ролей приложения для этих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управление существующими пользователями приложения в Microsoft Entra ID.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что пользователь, которого вы выберете, имеет все свойства, которые будут сопоставлены с необходимыми атрибутами SAP ECC.

  2. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана, показывающий

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана, на котором показано

  8. Теперь нажмите Назначить.

    Снимок экрана, показывающий назначение пользователей.

11. Тестовая настройка ресурсов

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Настроить.

    Скриншот, показывающий тестирование процесса подготовки.

  6. Через несколько секунд появится сообщение Пользователь успешно создан в целевой системе со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешного автоматического развертывания по запросу вернитесь на страницу конфигурации развертывания. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, включите провижининг и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Ожидайте до 40 минут, пока начнется запуск службы подготовки. После завершения задания по подготовке, как описано в следующем разделе, вы можете изменить статус подготовки на Выкл и нажать Сохранить. Это действие остановит работу службы предоставления в будущем.

Устранение ошибок конфигурирования

Если отображается сообщение об ошибке, выберите команду Просмотреть журналы подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ".

Следующие шаги