Поделиться через


Настройка Microsoft Entra ID для предоставления пользователей в SAP ECC с помощью NetWeaver AS ABAP 7.0 или более поздней версии

В следующей документации содержатся сведения о конфигурации и обучающие материалы, показывающие, как настраивать пользователей из Microsoft Entra ID в компонент SAP ERP Central (SAP ECC, ранее SAP R/3) с NetWeaver 7.0 или более поздней версии. Если вы используете другие версии SAP R/3, вы по-прежнему можете использовать руководства, указанные в документации соединителей для Microsoft Identity Manager 2016, в качестве ссылки на создание собственного шаблона для предоставления. Если вы используете SAP S/4HANA или другие приложения SAP SaaS, следуйте инструкции по настройке SAP Cloud Identity Services для автоматического предоставления пользователей. Дополнительные сведения об интеграции SAP см. в статье об управлении доступом к приложениям SAP.

В следующем видео приведены общие сведения об обеспечении на месте.

Поддерживаемые возможности

  • Создание пользователей в SAP ECC.
  • Удалите пользователей в SAP ECC, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP ECC.

Вне сферы действия

  • Другие типы объектов, включая локальные группы действий, роли и профили, не поддерживаются. Используйте Microsoft Identity Manager, если эти объекты необходимы.
  • Операции паролей не поддерживаются. Используйте Microsoft Identity Manager, если требуется управление паролями.

Предварительные требования для развертывания в SAP ECC с помощью NetWeaver AS ABAP 7.51

Локальные предварительные требования

Компьютер, на котором запущен агент развертывания, должен иметь следующее:

  • По крайней мере 3 ГБ ОЗУ.
  • Windows Server 2016 или более поздней версии Windows Server.
  • Подключение к системе с помощью SAP ECC NetWeaver AS ABAP 7.51
  • Исходящее подключение к login.microsoftonline.com, другим веб-службам Майкрософт и доменам Azure . Примером является виртуальная машина Windows Server 2016, размещенная в Azure IaaS или за прокси-сервером.
  • .NET Framework 4.7.2

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с сравнением общедоступных функций Microsoft Entra ID.

  • Роль администратора гибридной идентификации для настройки агента подготовки и роли администратора приложений или администратора облачных приложений для настройки подготовки в центре администрирования Microsoft Entra.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к SAP ECC, должны быть заполнены любыми атрибутами, которые потребуются SAP ECC.

1. Установить и настроить агент предоставления Microsoft Entra Connect

Если вы уже загрузили агент конфигурирования и настроили его для другого локального приложения, тогда продолжайте чтение в следующем разделе.

  1. Войдите в Центр администрирования Microsoft Entra.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите внутренне расположенное приложение ECMA, дайте приложению имя и нажмите Создать, чтобы добавить его в вашу учетную запись арендатора.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Начать.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор опции «Автоматически».

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

  2. Выйдите из портала и запустите установщик агента, примите условия предоставления услуг и выберите Установить.

  3. Дождитесь мастера конфигурации агента обеспечения Microsoft Entra, а затем нажмите кнопку «Далее».

  4. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".

  5. Агент развертывания будет использовать веб-браузер операционной системы для отображения всплывающего окна, в котором вам потребуется выполнить аутентификацию в Microsoft Entra ID, а также, возможно, у поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.

  6. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется иметь по крайней мере роль администратора гибридной идентификации.

  7. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать Выйти, а также закрыть установщик пакета настройки агента.

2. Предоставление необходимых API SAP

Предоставите необходимые API в SAP ECC NetWeaver 7.51 для создания, обновления и удаления пользователей. В документе Deploy SAP NetWeaver AS ABAP 7.51 описывается, как предоставить необходимые API.

3. Создание шаблона соединителя веб-служб

Если вы не производите миграцию с существующего соединителя веб-служб в MIM, то вам необходимо создать шаблон соединителя веб-служб для хоста ECMA. Если у вас уже есть шаблон соединителя веб-служб из MIM, перейдите к следующему разделу.

Вы можете использовать документ создания шаблона соединителя веб-службы SAP ECC 7.51 для ECMA2Host в качестве примера для создания собственного шаблона. Соединители для Microsoft Identity Manager 2016 также предоставляют шаблон sapecc.wsconfig в качестве примера. Перед развертыванием в рабочей среде необходимо настроить шаблон в соответствии с потребностями конкретной среды. Убедитесь, что имя_службы, имя_конечной_точки и имя_операции правильные.

4. Настройка локального приложения ECMA

  1. На портале в разделе "Локальное подключение" выберите агента, которого вы развернули, и выберите "Назначить агент(ов)".

    Скриншот, отображающий, как выбрать и назначить оператора.

  2. Откройте это окно браузера, выполнив следующий шаг настройки с помощью мастера настройки.

5. Настройте сертификат хоста соединителя ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши на Microsoft ECMA2Host Configuration Wizard в меню «Пуск» и запустите от имени администратора. Запуск от имени администратора Windows необходим, чтобы мастер мог создать необходимые журналы событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если вы запускаете мастер впервые, он предложит вам создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверенным как часть доверенной корневой цепочки. Сертификат SAN соответствует имени хоста.

    снимок экрана, показывающий настройку параметров.

  3. Нажмите кнопку "Сохранить".

6. Настройка соединителя универсальных веб-служб

В этом разделе вы создадите конфигурацию соединителя для SAP ECC.

Настройка подключения к SAP ECC выполняется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

6.1 Подключение агента управления к SAP ECC

Чтобы подключить агент подготовки Microsoft Entra к SAP ECC, выполните следующие действия.

  1. Скопируйте файл sapecc.wsconfig шаблона соединителя веб-службы в папку C:\Program Files\Microsoft ECMA2Host\Service\ECMA .

  2. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Минимальное количество символов — 12, и их нужно сделать уникальными для каждого приложения.

  3. Если вы еще не сделали этого, запустите Microsoft ECMA2Host Configuration Wizard из меню Windows.

  4. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  5. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Недвижимость Ценность
    Имя Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только один экземпляр SAP, SAPECC7
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    DLL-расширение Для соединителя веб-служб выберите Microsoft.IdentityManagement.MA.WebServices.dll.
  6. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Недвижимость Описание
    Проект веб-службы Имя вашего шаблона SAP ECC sapecc.
    Хозяин Имя узла конечной точки SOAP SAP ECC, напр., vhcalnplci.dummy.nodomain
    Порт Порт конечной точки SOAP SAP ECC, например: 8000
  7. На странице "Возможности" введите поля со значениями, указанными в таблице ниже, и нажмите кнопку "Далее".

    Недвижимость Ценность
    Стиль отличительного имени Общий
    Тип экспорта ObjectReplace (Замена объектов)
    Нормализация данных Отсутствует
    Подтверждение объекта Нормальный
    Включить импорт Проверено
    Включение разностного импорта Не проверено
    Включить экспорт Проверено
    Включить полный экспорт Не проверено
    Включение экспорта пароля в первом проходе Проверено
    Отсутствуют контрольные значения на первом этапе экспорта. Не проверено
    Включить переименование объекта Не проверено
    Удалить-добавить как заменить Не проверено

Замечание

Если шаблон sapecc.wsconfig соединителя веб-служб открыт для редактирования в средстве настройки веб-службы, появится сообщение об ошибке.

  1. На глобальной странице заполните поля значениями, указанными в таблице, следующей за изображением, и нажмите кнопку "Далее".

    Недвижимость Ценность
    ТипУчетныхДанныхКлиента Базовый
    Имя пользователя Имя пользователя учетной записи с правами на вызов BAPIs, используемых в шаблоне SAP ECC.
    Пароль Пароль предоставленного имени пользователя.
    Проверить подключение Снимите флажок, если в шаблоне не реализован рабочий процесс тестового подключения
  2. На странице Секции нажмите кнопку Далее.

  3. На странице Профили запуска оставьте галочку в флажке Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее. Профиль выполнения экспорта будет использоваться, когда узлу соединителя ECMA нужно отправлять изменения из Microsoft Entra ID в SAP ECC для вставки, обновления и удаления записей. Профиль запуска полного импорта будет использоваться при запуске службы на хосте соединителя ECMA, чтобы прочитать текущее содержимое SAP ECC.

    Недвижимость Ценность
    Экспорт Запустите профиль для экспорта данных в систему SAP ECC. Этот профиль исполнения является обязательным.
    Полный импорт Запустите профиль, который импортирует все данные из экземпляра SAP ECC, указанного ранее.
    Дельта импорт Запустите профиль, который импортирует только изменения из экземпляра SAP ECC с момента последнего полного или разностного импорта.
  4. На странице Типов объектов заполните поля и выберите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка : значения этого атрибута должны быть уникальными для каждого объекта в целевой системе. Служба подготовки Microsoft Entra будет запрашивать сервер соединителя ECMA с помощью этого атрибута после начального цикла. Это значение определяется в шаблоне соединителя веб-служб.

    • DN : параметр автогенерации должен быть выбран в большинстве случаев. Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Для получения дополнительной информации о привязках и отличительных именах см. Атрибуты привязки и отличительные имена.

      Недвижимость Ценность
      Целевой объект User
      Привязка userName
      ДН userName
      Созданный автоматически Проверено
  5. Узел подключения ECMA определяет атрибуты, которые поддерживаются SAP ECC. Затем можно выбрать, какие из обнаруженных атрибутов вы хотите предоставить идентификатору Microsoft Entra. Эти атрибуты можно настроить в Центре администрирования Microsoft Entra для предоставления. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка. В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в SAP ECC и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

    Снимок экрана: страница выбора атрибутов

  6. На странице Деактивация в разделе Отключение потока выберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице депровизирования. Нажмите Готово.

Замечание

Если вы используете атрибут , установите значение. Помните, что разрешены только логические значения.

На странице отмены предоставления в разделе Отключение потока выберите "Ничего". Вы будете контролировать состояние учетной записи пользователя с помощью свойства expirationTime. В потоке "Удаление" выберите "Нет", если вы не хотите удалять пользователей SAP, или "Удалить", если хотите. Нажмите Готово.

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. В списке служб убедитесь, что Microsoft ECMA2Host присутствует и работает. Если нет, выберите Пуск.

    Снимок экрана c запущенной службой.

  4. Если вы недавно запустили службу и имеете много объектов пользователей в SAP ECC, подождите несколько минут, пока соединитель установит подключение к SAP ECC.

8. Настройка подключения приложения в Центре администрирования Microsoft Entra

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Замечание

    Если время ожидания окна истекло, вам нужно будет выбрать агента повторно.

    1. Войдите в Центр администрирования Microsoft Entra.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите Настройка.
    4. Выберите "Начать работу", а затем измените режим на "Автоматически", в разделе "Локальное подключение" выберите агента, которого вы развернули, и выберите "Назначить агента(ов)". В противном случае перейдите к Изменению конфигурации.
  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SAPECC7. Имя соединителя чувствительно к регистру и должно быть в том же регистре, что и в мастере настройки. Вы также можете заменить localhost, указав имя хоста вашей машины.

    Недвижимость Ценность
    URL-адрес арендатора https://localhost:8585/ecma2host_SAPECC7/scim
  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Замечание

    Если вы только что назначили агента для приложения, подождите 10 минут, пока регистрация завершится. Тест подключения не будет работать до завершения регистрации. Принудительное завершение регистрации агента путем перезапуска агента подготовки на сервере может ускорить процесс регистрации. Перейдите на сервер, найдите службы в строке поиска Windows, найдите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши на службу и перезапустите её.

  4. Нажмите Проверить соединение и подождите одну минуту.

  5. После успешного тестирования подключения и подтверждения того, что предоставленные учетные данные авторизованы для активации процесса настройки, нажмите Сохранить.

    Снимок экрана, на котором показано тестирование агента.

9. Настройка сопоставлений атрибутов

Теперь вы будете сопоставлять атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в SAP ECC.

Вы будете использовать Центр администрирования Microsoft Entra для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra включает атрибуты, необходимые SAP ECC. Если требуется, чтобы у пользователей был атрибут, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение ECMA, а затем страницу подготовки ресурсов.

  3. Выберите Изменить настройку, подождите 10 секунд.

  4. Разверните Mappings и выберите Подготовка пользователей Microsoft Entra. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

    Снимок экрана, на котором показана настройка пользователя.

  5. Чтобы убедиться, что схема SAP ECC доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, затем закройте эту страницу, чтобы вернуться в список сопоставлений.

  6. Теперь щелкните на сопоставлении для userPrincipalName PLACEHOLDER. Это сопоставление добавляется автоматически при первой настройке локального предоставления ресурсов.

Снимок экрана заполнителя.

Измените значение, соответствующее следующему:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую ИмяОсновногоПользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName
  1. Теперь выберите "Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Атрибут Microsoft Entra Атрибут ScimOnPremises Приоритет сопоставления Примените это сопоставление
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Только во время создания объекта
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Только во время создания объекта
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Всегда
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Всегда
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Всегда
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Всегда
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Всегда
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:Пользователь:имя Всегда
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Фамилия Всегда
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:номерТелефона Всегда
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:должность Всегда
  3. После добавления всех сопоставлений нажмите кнопку "Сохранить".

Назначьте пользователей к приложению

Теперь, когда у вас есть компонент Microsoft Entra ECMA Connector Host, который взаимодействует с Microsoft Entra ID, и настроено сопоставление атрибутов, можно перейти к настройке, определяющей, кто подлежит подготовке.

Это важно

Если вы вошли, используя роль администратора гибридных удостоверений, вам нужно выйти и войти с учетной записью, которая обладает как минимум ролью администратора приложений для этого раздела. Роль администратора гибридных идентификаторов не имеет разрешений назначать приложениям пользователей.

Если в SAP ECC есть существующие пользователи, необходимо создать назначения ролей приложения для этих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управление существующими пользователями приложения в Microsoft Entra ID.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что пользователь, которого вы выберете, имеет все свойства, которые будут сопоставлены с необходимыми атрибутами SAP ECC.

  2. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  3. Выберите локальное приложение ECMA.

  4. Слева в разделе "Управление" выберите "Пользователи и группы".

  5. Выберите Добавить пользователя или группу.

    снимок экрана, показывающий добавление пользователя.

  6. В разделе "Пользователи" выберите "Не выбрано".

    Снимок экрана, на котором показано:

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана, на котором показано

  8. Теперь выберите Назначить.

    Скриншот, на котором показано «Назначить пользователей».

11. Настройка тестирования

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  2. Выберите локальное приложение ECMA.

  3. Слева выберите Настройка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Настроить.

    Снимок экрана, показывающий тестирование настройки.

  6. Через несколько секунд появится сообщение Успешно создан пользователь в целевой системе со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешного автоматического развертывания по запросу вернитесь на страницу конфигурации развертывания. Убедитесь, что область настроена только для назначенных пользователей и групп, включите предоставление Включено и нажмите Сохранить.

    Снимок экрана: начало подготовки.

  2. Ожидайте до 40 минут, пока начнется запуск службы подготовки. После завершения задания настройки, как описано в следующем разделе, если вы закончили тестирование, вы можете изменить статус настройки на Выкл и выберите Сохранить. Это действие останавливает работу службы предоставления и предотвращает её запуск в будущем.

Устранение ошибок конфигурирования

Если отображается сообщение об ошибке, выберите Просмотреть журналы предоставления ресурсов. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ".

Дальнейшие шаги