Microsoft Entra'yı, SAP kaynak ve hedef uygulamalarıyla kullanıcı sağlama için dağıtmayı planlama

Kuruluşunuz çeşitli Azure hizmetleri veya Microsoft 365 için Microsoft'a dayanır. SAP yazılımları ve hizmetleri, kuruluşunuz için insan kaynakları (İk) ve kurumsal kaynak planlaması (ERP) gibi kritik işlevler de sağlayabilir. Sap ve SAP dışı uygulamalarınızda çalışanlarınızın, yüklenicilerinizin ve diğer kişilerin kimliklerini ve bunların erişimini yönetmek için Microsoft Entra'yı kullanabilirsiniz.

Bu öğreticide, SAP İK kaynaklarından gelen kimliklerin niteliklerine göre SAP uygulamalarınızdaki kimlikleri yönetmek için Microsoft Entra özelliklerini nasıl kullanabileceğiniz gösterilmektedir. Bu öğreticide aşağıdakiler varsayılır:

Kuruluşunuzun ticari bulutta, bu kiracıda en az Microsoft Entra ID P1 lisansına sahip bir Microsoft Entra kiracısı bulunmaktadır. (Bazı adımlar Microsoft Entra Kimlik Yönetimi özellikleri kullanmayı da gösterir.)
Bu kiracının yöneticisisiniz.
Kuruluşunuzun SAP SuccessFactors veya SAP HCM gibi bir kayıt kaynağı sistemi vardır.
Kuruluşunuzda SAP ERP Central Component (ECC), SAP S/4HANA, diğer SAP uygulamaları, SAP BTP tabanlı uygulamalar ve isteğe bağlı olarak BAŞKA SAP olmayan uygulamalar vardır.
SAP ECC dışındaki tüm SAP uygulamalarına sağlama ve çoklu oturum açma (SSO) için SAP Cloud Identity Services kullanıyorsunuz.

Genel bakış

Bu kılavuzda, Microsoft Entra'nın SAP SuccessFactors gibi bir kuruluştaki çalışan listesi için yetkili kaynaklara nasıl bağlanacağı gösterilmektedir. Ayrıca bu çalışanlar için kimlikleri ayarlamak için Microsoft Entra'yı nasıl kullanacağınızı da gösterir. Daha sonra çalışanlara SAP ECC veya SAP S/4HANA gibi bir veya daha fazla SAP uygulamasında oturum açma erişimi sağlamak için Microsoft Entra'yı kullanmayı öğreneceksiniz.

Süreç şu şekildedir:

Plan: Kuruluşunuzdaki uygulamalar için kimlik ve erişim gereksinimlerini tanımlayın. Microsoft Entra Id ve ilgili Microsoft Online Services'ın bu senaryo için kurumsal önkoşulları karşıladığından emin olun.
Dağıt: Gerekli kullanıcıları Microsoft Entra Id'ye getirin ve bu kullanıcıları uygun kimlik bilgileriyle güncel tutmaya yönelik bir işleme sahip olun. Microsoft Entra'da gerekli erişim haklarına sahip kullanıcıları atayın. Kullanıcıları ve onların uygulamalara erişim haklarını tanımlayıp, bu uygulamalarda oturum açmalarını sağlayın.
İzleyici: Hataları izlemek ve ilkeleri ve işlemleri gerektiği gibi ayarlamak için kimlik akışlarını izleyin.

İşlem tamamlandıktan sonra kişiler, Microsoft Entra kullanıcı kimlikleriyle kullanma yetkisine sahip oldukları SAP ve SAP dışı uygulamalarda oturum açabilir.

Aşağıdaki diyagramda bu öğreticide kullanılan örnek topoloji gösterilmiştir. Bu topolojide, çalışanlar SuccessFactors'ta temsil edilir ve bir Windows Server Active Directory (Windows Server AD) etki alanında, Microsoft Entra'da, SAP ECC'de ve SAP bulut uygulamalarında hesaplara sahip olmaları gerekir. Bu öğreticide, Windows Server AD etki alanı olan bir kuruluş gösterilmektedir. Ancak, bu öğretici için Windows Server AD gerekli değildir.

Bu öğretici, çalışanları ve diğer çalışanları temsil eden kullanıcıların kimlik yaşam döngüsüne odaklanır. Konuklar için kimlik yaşam döngüsü ve rol atamaları, istekler ve incelemeler için erişim yaşam döngüsü bu öğreticinin kapsamı dışındadır.

SAP kaynakları ve hedefleri ile tümleştirmeleri planlama

Bu bölümde, kuruluşunuzdaki uygulamalar için kimlik ve erişim gereksinimlerini tanımlarsınız. Bu bölümde SAP uygulamalarıyla tümleştirme için gereken önemli kararlar vurgulanır. SAP olmayan uygulamalar için, bu uygulamalara erişimi idare etmek için kuruluş ilkeleri de tanımlayabilirsiniz.

SAP IDM kullanıyorsanız, kimlik yönetimi senaryolarınızı SAP IDM'den Microsoft Entra'ya geçirebilirsiniz. Daha fazla bilgi için bkz . Kimlik yönetimi senaryolarını SAP IDM'den Microsoft Entra'ya geçirme.

Uygulama ekleme sırasını ve uygulamaların Microsoft Entra ile nasıl tümleştirileceğini belirleme

Kuruluşunuz, kullanılabilir tümleştirme senaryolarının bir alt kümesi için bazı uygulamaları Microsoft Entra ile zaten tümleştirmiş olabilir. Örneğin, belki Koşullu Erişim'in avantajını elde etmek için SAP Cloud Identity Services'ı Microsoft Entra üzerinden SSO ile tümleştirdiniz, ama yine de el ile sağlama ve devre dışı bırakma işlemlerine güveniyorsunuz. Öte yandan, kuruluşunuzda henüz Microsoft Entra ile tümleştirilmemiş SAP ECC gibi uygulamalarınız da olabilir.

Uygulamaların SSO için Microsoft Entra ile tümleştirilmesi ve sağlanması için bir öncelik sırası oluşturun. Kuruluşlar genellikle modern protokolleri destekleyen hizmet olarak yazılım (SaaS) uygulamalarıyla tümleştirmeye başlar. SAP uygulamaları için SAP bulut uygulamalarına sahip kuruluşların SSO ile tümleştirmelerini başlatmalarını ve SAP Cloud Identity Services ile ara yazılım olarak tümleştirmeler sağlamalarını öneririz. Burada, Microsoft Entra ile kullanıcı sağlama ve SSO tümleştirmesi birden çok SAP uygulamasından yararlanabilir.
Her uygulamanın Microsoft Entra ile nasıl tümleştir edildiğini onaylayın. Uygulamanız SAP S/4HANA gibi SAP Cloud Identity Services sağlama hedef sistemleribiri olarak listeleniyorsa veya SAP BTP kullanıyorsa, SSO ile Microsoft Entra'dan uygulamaya sağlama arasında köprü sağlamak için SAP Cloud Identity Services'i ara yazılım olarak kullanabilirsiniz. Uygulamanız SAP ECC ise, Microsoft Entra'yı doğrudan SSO için SAP NetWeaver ile ve sağlama için SAP ECC'nin İş Uygulaması Programlama Arabirimleriyle (BAPI' ler) tümleştirebilirsiniz.

SAP olmayan uygulamalarda, SSO için desteklenen tümleştirme teknolojilerini ve uygulamalarınızın her biri için sağlamayı belirlemek üzere Uygulamayı Microsoft Entra Id ile tümleştirme başlığındaki yönergeleri izleyin.
Her uygulamanın sağladığı rolleri ve izinleri toplayın. Bazı uygulamaların tek bir rolü vardır. Örneğin, SAP Cloud Identity Services'ın atama için kullanılabilen tek bir rolü vardır: Kullanıcı. SAP Cloud Identity Services, uygulama atamasında kullanılmak üzere Microsoft Entra Id'den grupları okuyabilir. Diğer uygulamalar, Microsoft Entra Id aracılığıyla yönetilecek birden çok rol ortaya çıkabilir. Bu uygulama rolleri genellikle bu role sahip bir kullanıcının uygulama içinde sahip olduğu erişim üzerinde geniş kısıtlamalar getirir.

Diğer uygulamalar daha ayrıntılı rol denetimleri için grup üyeliklerine veya taleplere de güvenebilir. Bunlar, federasyon SSO protokolleri kullanılarak verilen sağlama veya taleplerde Microsoft Entra Id'den her uygulamaya sağlanabilir. Bunlar, güvenlik grubu üyeliği olarak Active Directory'ye de yazılabilir.

Not

Microsoft Entra uygulama galerisinden sağlamayı destekleyen bir uygulama kullanıyorsanız, Microsoft Entra ID uygulamadaki tanımlı rolleri içeri aktarabilir ve sağlama yapılandırıldıktan sonra uygulama bildirimini uygulamanın rolleriyle otomatik olarak güncelleştirebilir.
Microsoft Entra Id'de hangi rollerin ve grupların yönetilecek üyeliği olduğunu seçin. Uyumluluk ve risk yönetimi gereksinimlerine bağlı olarak kuruluşlar genellikle bu uygulama rollerine veya hassas bilgilere ayrıcalıklı erişim veya erişim sağlayan gruplara öncelik verir. Bu öğreticide erişim atamasını yapılandırma adımları yer almasa da, tüm üyelerinin uygulamalara sağlandığından emin olmak için uygun rolleri ve grupları tanımlamanız gerekebilir.

Bir uygulamaya erişim için kullanıcı önkoşulları ve diğer kısıtlamalarla kuruluşun ilkesini tanımlama

Bu bölümde, her uygulamaya erişimi belirlemek için kullanmayı planladığınız kuruluş ilkelerini belirlersiniz.

Bir kullanıcıya uygulamaya erişim verilmeden önce karşılaması gereken önkoşul gereksinimleri veya standartları olup olmadığını belirleyin. Uyumluluk gereksinimleri veya risk yönetimi planları olan kuruluşların hassas veya iş açısından kritik uygulamaları vardır. Microsoft Entra Id ile tümleştirmeden önce, bu uygulamalara erişimi olması gereken kişilere yönelik erişim ilkelerini zaten belgelediniz. Aksi takdirde uyumluluk ve risk yönetimi ekipleri gibi paydaşlara danışmanız gerekebilir. Erişim kararlarını otomatikleştirmek için kullanılan ilkelerin senaryonuza uygun olduğundan emin olmanız gerekir.

Örneğin, normal koşullarda, yalnızca tam zamanlı çalışanlar veya belirli bir departmandaki veya maliyet merkezindeki çalışanların varsayılan olarak belirli bir departmanın uygulamasına erişimi olmalıdır. Microsoft Entra ID Yönetimi Yönetişimi'nde Microsoft Entra yetkilendirme yönetimi kullanıyorsanız, başka bir bölümden erişim talebinde bulunan bir kullanıcı için, bu kullanıcıların özel durum kapsamında erişim elde edebilmesi amacıyla bir veya daha fazla onaylayana sahip olacak şekilde yetkilendirme yönetim politikasını yapılandırmayı seçebilirsiniz.

Bazı kuruluşlarda, bir çalışanın erişim istekleri iki onay aşamasına sahip olabilir. İlk aşama, kullanıcının yöneticisini istemektir. İkinci aşama, uygulamada tutulan verilerden sorumlu kaynak sahiplerinden birini istemektir.
Erişim için onaylanan bir kullanıcının ne kadar süreyle erişime sahip olması gerektiğine ve bu erişimin ne zaman ortadan kalkması gerektiğine karar verin. Birçok uygulama için, kullanıcı artık kuruluşa bağlı olmayana kadar erişimi süresiz olarak koruyabilir. Bazı durumlarda, erişim belirli projelere veya kilometre taşlarına bağlı olabilir, böylece proje sona erdiğinde erişim otomatik olarak kaldırılır. Ya da bir ilke aracılığıyla bir uygulamayı yalnızca birkaç kullanıcı kullanıyorsa, düzenli gözetim olması için ilke aracılığıyla herkesin erişimini üç aylık veya yıllık gözden geçirmeleri yapılandırabilirsiniz. Bu senaryolar Microsoft Entra Kimlik Yönetimi gerektirir.
Kuruluşunuz zaten bir kurumsal rol modeliyle erişimi yönetiyorsa, bu kuruluş rol modelini Microsoft Entra Kimliği'ne getirmeyi planlayın. Kullanıcının konumu veya departmanı gibi bir özelliğine göre erişim atayan bir kuruluş rol modeli tanımlanmış olabilir. Bu işlemler, önceden belirlenmiş bir proje bitiş tarihi olmasa bile erişim gerekli olmadığında kullanıcıların erişimi kaybetmesini sağlayabilir.

Zaten bir kuruluş rol tanımınız varsa, kuruluş rolü tanımlarını Microsoft Entra Kimlik Yönetimi geçirebilirsiniz.
Görev ayrımını temel alan kısıtlamalar olup olmadığını sorgula. Bu öğretici, bir kullanıcıya uygulamalara temel erişim sağlamak için kimlik yaşam döngüsüne odaklanır. Ancak, uygulama eklemeyi planlarken, zorunlu kılınacak görev ayrımlarına göre kısıtlamaları tanımlayabilirsiniz.

Örneğin, Batı Satışları ve Doğu Satışları olmak üzere iki uygulama rolüne sahip bir uygulama olduğunu varsayalım. Bir kullanıcının aynı anda yalnızca bir satış bölgesi rolüne sahip olduğundan emin olmak istiyorsunuz. Uygulamanız için uyumlu olmayan uygulama rolleri çiftlerinin listesini ekleyin. Bir kullanıcının tek bir rolü varsa ikinci rolü istemesine izin verilmez. Erişim paketlerindeki Microsoft Entra yetkilendirme yönetimi uyumsuzluk ayarları bu kısıtlamaları zorunlu kılabilir.
Her uygulamaya erişim için uygun Koşullu Erişim ilkesini seçin. Uygulamalarınızı analiz edip aynı kullanıcılar için aynı kaynak gereksinimlerine sahip uygulama koleksiyonları halinde düzenlemenizi öneririz.

Federasyon SSO uygulamasını Microsoft Entra Id ile ilk kez tümleştirdiğinizde, kısıtlamaları ifade etmek için yeni bir Koşullu Erişim ilkesi oluşturmanız gerekebilir. Bu uygulama ve sonraki uygulamalar için çok faktörlü kimlik doğrulaması (MFA) veya konum tabanlı erişim gereksinimlerini zorunlu kılmanız gerekebilir. Koşullu Erişim'de kullanıcıların kullanım koşullarını kabul etmesi gerektiğini de yapılandırabilirsiniz.

Koşullu Erişim ilkesi tanımlama hakkında daha fazla bilgi için bkz. Koşullu Erişim dağıtımı planlama.
Kriterlerinize yönelik istisnaların nasıl ele alınacağını belirleyin. Örneğin, bir uygulama genellikle yalnızca belirlenen çalışanlar için kullanılabilir olabilir, ancak bir denetçi veya satıcı belirli bir proje için geçici erişime ihtiyaç duyabilir. Öte yandan seyahat eden bir çalışan, kuruluşunuzun bu konumda varlığı olmadığından normalde engellenen bir konumdan erişim gerektirebilir.

Bu durumlarda, Microsoft Entra Kimlik Yönetimi varsa, onay için farklı aşamalara, farklı bir zaman sınırına veya farklı bir onaylayana sahip bir yetkilendirme yönetimi ilkesine de sahip olabilirsiniz. Microsoft Entra kiracınızda konuk kullanıcı olarak oturum açmış bir satıcının yöneticisi olmayabilir. Bunun yerine, kuruluş sponsoru, kaynak sahibi veya güvenlik görevlisi erişim isteklerini onaylayabilir.

Sağlama ve kimlik doğrulama topolojisine karar verme

Kullanıcı sağlama ve SSO için Microsoft Entra ile tümleştirecek uygulamaları belirlediğinize göre, yetkili kayıt kaynakları sisteminden kaynaklanan verilere dayanarak kullanıcı kimliklerinin ve özniteliklerinin bu uygulamalara nasıl sağlandığına ilişkin veri akışına karar verin.

Her kimlik ve öznitelikleri için yetkili kaynakları seçin. Bu öğreticide SuccessFactors'ın SAP uygulamalarına erişmesi gereken kullanıcılar için yetkili kayıt kaynağı sistemi olduğu varsayılır. ** SuccessFactors'tan Microsoft Entra ID'ye bulut İK temelli kullanıcı sağlama yapılandırmasını yapmak için farklı yönleri kapsayan bir planlama yapmanız gerekir. Bu faktörler eşleşen kimliği belirlemeyi ve öznitelik eşlemelerini, öznitelik dönüştürmeyi ve kapsam filtrelerini tanımlamayı içerir.

Bu konularla ilgili kapsamlı yönergeler için bulut İK dağıtım planına bakın. Desteklenen varlıklar, işlem ayrıntıları ve farklı İK senaryoları için tümleştirmeyi özelleştirme hakkında bilgi edinmek için SAP SuccessFactors tümleştirme referans kılavuzuna bakın. SAP HCM'si olan ve SuccessFactors'a sahip olmayan kuruluşlar için diğer tümleştirme seçenekleri SAP insan sermayesi yönetiminden (HCM) Microsoft Entra Id'ye kullanıcı sağlama bölümünde listelenmiştir. Ayrıca, bazı kimlikleriniz Microsoft Entra ID'yi yetkili kaynak olarak kullanırken, diğer kimlikler için farklı yetkili kaynaklarınız da olabilir. Bunlar arasında acil çıkış hesapları veya diğer BT yöneticileri yer alabilir.
Kullanıcıların Var olup olmadığını veya Microsoft Entra Id'ye ek olarak Windows Server AD'de sağlanması gerekip gerekmediğini belirleyin. Yetkili İk kaynağınızdaki çalışanlarınıza karşılık gelen Windows Server AD'de zaten mevcut kullanıcılarınız olabilir. Veya SAP ECC'yi veya diğer uygulamaları Basit Dizin Erişim Protokolü (LDAP) veya Kerberos aracılığıyla Windows Server'a güvenmek üzere yapılandırmış da olabilirsiniz. Bu durumlarda, kullanıcıları Windows Server AD'ye sağlarsınız. Bu kullanıcılar daha sonra Microsoft Entra Id ile eşitlenir.
Microsoft Entra Connect sağlama aracısı dağıtım topolojisini tasarla. SuccessFactors kullanıyorsanız ve Windows Server AD kullanıyorsanız, kullanıcıları bu etki alanlarına sağlamak için sağlama aracısını yüklemeniz gerekir. Microsoft Entra Connect provisioning agent dağıtım topolojisi, entegre etmeyi planladığınız bulut İK uygulama kiracıları ve Active Directory alt etki alanlarının sayısına bağlıdır. Birden çok Active Directory etki alanınız varsa, Active Directory etki alanlarının bitişik mi yoksa kopuk mu olduğuna bağlıdır. Daha fazla bilgi için Microsoft Entra Connect sağlama aracısı dağıtım topolojisini tasarlama sayfasına bakın.
Windows Server AD'de birden çok kapsayıcı kullanıp kullanmayabileceğinizi belirleyin. SuccessFactors kullanıyorsanız ve Windows Server AD'ye sahipseniz, her etki alanında çalışanları temsil eden kullanıcıların bir kapsayıcı hiyerarşisinde düzenlenip düzenlenmediğini belirlemeniz gerekir. Bazı kuruluşlar tek tek organizationalUnitçalışanları temsil eden tüm kullanıcıları oluşturabilir; diğer kuruluşlarda birden çok kullanıcı olabilir. Daha fazla bilgi için bkz . Active Directory OU kapsayıcı atamasını yapılandırma.
SAP Cloud Identity Services'e sağlamak için Microsoft Entra Id kullanmak mı yoksa Microsoft Entra Id'den okumak için SAP Cloud Identity Services'ı mı kullanmak istediğinize karar verin. Microsoft Entra sağlama yetenekleri hakkında daha fazla bilgi için bkz Microsoft Entra ID ile SAP Cloud Identity Services'a kullanıcı sağlama ve sağlama kaldırmayı otomatikleştirme. SAP Cloud Identity Services ayrıca Microsoft Entra Id'den kullanıcıları ve grupları okumak için kendi ayrı bağlayıcısına sahiptir. Daha fazla bilgi için SAP Cloud Identity Services - Kimlik Sağlama Hizmetleri - Kaynak sistem olarak Microsoft Entra ID bölümüne bakınız.
SAP ECC'ye kullanıcı sağlamanız gerekip gerekmediğini belirleyin. Kullanıcıları Microsoft Entra Id'den SAP ECC (eski adıyla SAP R/3) NetWeaver 7.0 veya sonraki sürümlere sağlayabilirsiniz. SAP R/3'ün diğer sürümlerini kullanıyorsanız, sağlama için kendi şablonunuzu oluşturmak üzere, referans olarak Microsoft Identity Manager 2016 bağlayıcıları indirmesinde sağlanan kılavuzları kullanmaya devam edebilirsiniz.

Microsoft Entra Id'yi yapılandırmadan önce kuruluş önkoşullarının karşılandığından emin olun

Microsoft Entra Id'den iş açısından kritik uygulama erişimi sağlama işlemine başlamadan önce, Microsoft Entra ortamınızın uygun şekilde yapılandırıldığından emin olun.

Microsoft Entra Id ve Microsoft Online Services ortamınızın uygulamalar için uyumluluk gereksinimleri içinhazır olduğundan emin olun. Uyumluluk, Microsoft, bulut hizmeti sağlayıcıları ve kuruluşlar arasında paylaşılan bir sorumluluktır.
Microsoft Entra Id kiracınızın düzgün şekilde lisanslandığından emin olun. ** Kiracınızın, sağlamayı otomatikleştirmek için Microsoft Entra ID'yi kullanırken, sağlanan kaynak İK uygulamasından ya da üye (misafir olmayan) kullanıcılardan gelen çalışan sayısı kadar, en az Microsoft Entra ID P1 lisanslarına sahip olması gerekmektedir.

Buna ek olarak, Yaşam Döngüsü İş Akışlarının ve sağlama sürecinde Microsoft Entra yetkilendirme yönetimi otomatik atama ilkeleri gibi diğer Microsoft Entra Kimlik Yönetimi özelliklerinin kullanılması, çalışanlarınız için Microsoft Entra Kimlik Yönetimi lisansları gerektirir. Bu lisanslar ya Microsoft Entra ID Yönetimi ya da Microsoft Entra ID P2 için Microsoft Entra ID Yönetimi Step Up'tır.
Microsoft Entra Id'nin denetim günlüğünü ve isteğe bağlı olarak diğer günlükleri Azure İzleyici'ye gönderdiğinden emin olun. Microsoft Entra denetim olaylarını denetim günlüğünde yalnızca 30 güne kadar depoladığı için Azure İzleyici isteğe bağlıdır ancak uygulamalara erişimi idare etmek için kullanışlıdır. Denetim verilerini bu varsayılan saklama süresinden daha uzun süre tutabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra ID raporlama verilerini ne kadar süreyle depolar?.

Ayrıca Azure İzleyici çalışma kitaplarını, geçmiş denetim verileriyle ilgili özel sorguları ve raporları da kullanabilirsiniz. Microsoft Entra yapılandırmasını, Microsoft Entra yönetim merkezinde Microsoft Entra ID'sinde, Çalışma Kitapları'nı seçerek Azure Monitor kullanıp kullanmadığını denetleyebilirsiniz. Bu tümleştirme yapılandırılmamışsa ve bir Azure aboneliğiniz varsa ve en azından Güvenlik Yöneticisiyseniz, Microsoft Entra Id'yi Azure İzleyici'yi kullanacak şekilde yapılandırabilirsiniz.
Microsoft Entra kiracınızdaki yüksek ayrıcalıklı yönetim rollerinde yalnızca yetkili kullanıcıların olduğundan emin olun. En az Kimlik İdaresi Yöneticisi, Kullanıcı Yöneticisi, Uygulama Yöneticisi, Bulut Uygulaması Yöneticisi veya Ayrıcalıklı Rol Yöneticisi olan yöneticiler, kullanıcılarda ve uygulama rolü atamalarında değişiklik yapabilir. Bu rollerin üyeliklerini yakın zamanda gözden geçirmediyseniz, bu dizin rollerinin erişim gözden geçirmesinin başlatıldığından emin olmak için en azından Ayrıcalıklı Rol Yöneticisi olan bir kullanıcıya ihtiyacınız vardır.

Ayrıca Azure İzleyici, Logic Apps ve Microsoft Entra yapılandırmanızın çalıştırılması için gereken diğer kaynakları barındıran aboneliklerdeki Azure rollerindeki kullanıcıları da gözden geçirmeniz gerekir.
Kiracınızın uygun yalıtıma sahip olup olmadığını denetleyin. Kuruluşunuz şirket içinde Active Directory kullanıyorsa ve bu Active Directory etki alanları Microsoft Entra Id'ye bağlıysa, bulutta barındırılan hizmetler için yüksek ayrıcalıklı yönetim işlemlerinin şirket içi hesaplardan yalıtıldığından emin olmanız gerekir. Microsoft 365 bulut ortamınızı şirket içi riskten korumak için yapılandırdığınızdan emin olun.
Ortamınızı en iyi güvenlik yöntemlerine göre değerlendirin. Microsoft Entra ID kiracınızın güvenliğini sağlamayı değerlendirmek için Tüm yalıtım mimarileri için en iyi yöntemler'i gözden geçirin.
Belirteç ömrünü ve uygulamanın oturum ayarlarını belgeleyin. Bu öğreticinin sonunda SAP ECC veya SAP Cloud Identity Services uygulamalarını SSO için Microsoft Entra ile tümleştireceksiniz. Erişimi reddedilen bir kullanıcının federasyon uygulamasını ne kadar süreyle kullanmaya devam edebildiği, uygulamanın kendi oturum ömrüne ve erişim belirteci ömrüne bağlıdır. Bir uygulamanın oturum ömrü uygulamanın kendisine bağlıdır. Erişim belirteçlerinin kullanım ömrünü denetleme hakkında daha fazla bilgi edinmek için bkz . Yapılandırılabilir belirteç ömrü.

SAP Cloud Identity Services'ın uygulamalarınız için gerekli şema eşlemelerine sahip olduğunu onaylayın

Kuruluşunuzun SAP uygulamalarının her birinin, bu uygulamaların kullanıcılarının uygulamaya sağlandığında belirli özniteliklerin doldurulmasıyla ilgili kendi gereksinimleri olabilir.

SAP S/4HANA veya diğer SAP uygulamalarına sağlamak için SAP Cloud Identity Services kullanıyorsanız, SAP Cloud Identity Services'ın BU öznitelikleri SAP Cloud Identity Services aracılığıyla Microsoft Entra ID'den bu uygulamalara gönderecek eşlemelere sahip olduğundan emin olun. SAP Cloud Identity Services kullanmıyorsanız sonraki bölüme geçin.

SAP bulut dizininizde SAP bulut uygulamalarınız için gereken kullanıcı şemasının olduğundan emin olun. SAP Cloud Identity Services'da, yapılandırılan her hedef sistem SAP Cloud Identity Services'e sağlanan kimlikler için kaynağın veri modelinden hedefin gereksinimlerine dönüştürmeler ekler. SAP Cloud Identity Services'daki bu dönüşümleri, özellikle birden çok hedef sisteminiz yapılandırılmışsa, kimliği modellemeyi nasıl planladığınıza karşılık gelen şekilde değiştirmeniz gerekebilir. Ardından Microsoft Entra'nın SAP Cloud Identity Services aracılığıyla SAP bulut uygulamalarına sağlaması için gerekli şemayı kaydedin.

Microsoft Entra'da kayıt kaynakları sisteminizdeki çalışan kayıtları ile kullanıcılar arasındaki ilişkiyi tanımlama

Uygulamalarınız için gereken her özniteliğin kuruluşunuzdaki bir kaynaktan kaynaklanması gerekir. Bazı özniteliklerde sabit olan veya diğer özniteliklerden dönüştürülen değerler olabilir. Kullanıcının e-posta adresi gibi diğer değerler bir Microsoft çevrimiçi hizmeti tarafından atanabilir. Kullanıcının adı, departmanı veya diğer kurumsal nitelikler gibi diğer öznitelikler genellikle yetkili bir İK kayıt sisteminden kaynaklanır. Doğru İK kayıtlarının Microsoft Entra ID'deki kullanıcılara eşlendiğinden emin olmak için, İK ve BT ekiplerinizle birlikte çalışarak veri tutarlılığını sağlayın ve gerekirse veri temizleme görevlerini planlayın.

Kayıt sistemi kaynağındaki değişiklikleri katılma ve ayrılma olaylarına nasıl eşleyeceğinizi belirleyin. Çalışan katılımı ve ayrılma işlemlerini otomatikleştirmek istiyorsanız, bir çalışanın durum bilgilerini Microsoft Entra'daki özniteliklerle ilişkilendirmeniz gerekir. Detaylı bilgi için kullanıcı hesabı durumunu belirleme kısmına bakın.
IK kaynağınızın, bu SAP uygulamaları için gereken çalışan şemasını sağlayabildiğinden emin olun. Microsoft Entra veya başka bir Microsoft çevrimiçi hizmetinden kaynaklanmamış bir SAP bulutunun veya şirket içi uygulamanın gerekli her özniteliğinin, kaynağınızdan edinilebilen SuccessFactors gibi bir özelliğe izlenebildiğinden emin olun. Kaynağınızda gerekli şema yoksa veya öznitelikler uygulamalara erişim verilecek bir veya daha fazla kimlikte doldurulmuyorsa veya Microsoft Entra tarafından okunamıyorsa, sağlamayı etkinleştirmeden önce bu şema gereksinimlerini karşılamanız gerekir.
Microsoft Entra Id ile kayıt sistemleriniz arasındaki bağıntı için kullanılan şemayı kaydedin. Windows Server AD veya Microsoft Entra Id'de SAP SuccessFactors'taki çalışanlara karşılık gelen mevcut kullanıcılarınız olabilir. Bu kullanıcılar Microsoft Entra Id tarafından değil başka bir işlem tarafından oluşturulmadıysa SAP SuccessFactors öznitelik başvurusuna ve Windows Server veya Microsoft Entra kullanıcı şemanıza bakarak kullanıcı nesnelerindeki hangi özniteliklerin SAP SuccessFactors'ta çalışan için benzersiz bir tanımlayıcı içerdiğini seçin.

Microsoft Entra gelen sağlamanın çalışanlar için mevcut olan kullanıcıları belirleyebilmesi ve yinelenen kullanıcılar oluşturmaktan kaçınabilmesi için, bu öznitelik her kullanıcıda bir çalışana karşılık gelen benzersiz bir değerle bulunmalıdır. Varsayılan eşleşen öznitelik, Çalışan Kimliği'ni temel alır. Çalışanları İK kaynağından içeri aktarmadan önce, bu özniteliğin değeri (örneğin, çalışan kimliği) Microsoft Entra ID (yalnızca bulut kullanıcıları için) ve Windows Server AD'de (hibrit kullanıcılar için) doldurulduğundan ve bu değerin her kullanıcıyı benzersiz olarak tanımladığından emin olmanız gerekir. Daha fazla bilgi için bkz . Eşleşen öznitelikleri belirleme ve benzersiz bir öznitelik değeri oluşturma.
Artık ilgili olmayan İK kayıtlarını görmezden gelmek için kapsam filtrelerini seçin. İK sistemleri, yıllardır çalışan olmayan kişiler de dahil olmak üzere, birkaç yıllık istihdam verilerine sahiptir. Öte yandan, BT ekibiniz yalnızca şu anda etkin çalışanlar, yeni işe alımlar ve canlı yayından sonra gelen sonlandırma kayıtlarının listesiyle ilgilenebilir. BT ekibinizin perspektifinden artık geçerli olmayan İK kayıtlarını filtrelemek için, İK ekibinizle birlikte çalışarak Microsoft Entra sağlama kapsamı filtrelerinde kullanılabilecek İK kaydına bayraklar ekleyin. Daha fazla bilgi için bkz kapsam filtrelerini tanımlama.
Yeni bir kullanıcının kullanıcı adını oluşturabilecek özel karakterleri işlemeyi planlayın. Kullanıcı için benzersiz userPrincipalName bir ad oluşturmak için çalışanın adını ve soyadını veya aile adını kullanmak yaygın bir uygulamadır. Windows Server AD ve Microsoft Entra Id'de, userPrincipalName vurgu karakterlerine izin vermez ve yalnızca aşağıdaki karakterlere izin verilir A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~. NormalizeDiacritics işlevini vurgu karakterlerini işlemek ve uygun oluşturmak için kullanın.
İK kaynağınızdan gelen uzun dizeleri işlemeyi planlayın. İK verilerinizin, Microsoft Entra ID ve Windows Server AD özniteliklerini doldurmak için kullanacağınız İK alanlarıyla ilişkilendirilmiş uzun dize değerleri olup olmadığını kontrol edin. Her Microsoft Entra ID özniteliğinin maksimum dize uzunluğu vardır. Microsoft Entra ID özniteliğine eşlenen İK alanındaki değer gereğinden fazla karakter içeriyorsa, öznitelik güncelleştirmesi başarısız olabilir. Bir seçenek, öznitelik eşlemenizi gözden geçirmek ve İK sisteminde uzun metin/string değerlerinin kesilmesi/güncellenmesi olasılığı olup olmadığını kontrol etmektir. Bu bir seçenek değilse, uzun dizeleri kesmek için Orta gibi işlevleri kullanabilir veya uzun değerleri daha kısa değerlere/kısaltmalara eşlemek için Switch gibi işlevleri kullanabilirsiniz.
Zorunlu öznitelikler için boş olabilecek değerleri ele alın. Microsoft Entra Id veya Windows Server AD'de hesap oluştururken , firstName, lastNameveya CN gibi UPNbazı özniteliklerin doldurulmak zorunlu olur. Bu tür özniteliklerle eşleşen ilgili İK alanlarından herhangi biri null ise, kullanıcı oluşturma işlemi başarısız olur. Örneğin, AD CN özniteliğini "görünen ad" ile eşlerseniz ve "görünen ad" tüm kullanıcılar için ayarlanmadıysa bir hatayla karşılaşırsınız. Bir seçenek, bu tür zorunlu öznitelik eşlemelerini gözden geçirmek ve ilgili alanların İK'da doldurulmasını sağlamaktır. İfade eşlemesinde null değerleri denetleme seçeneğini de göz önünde bulundurabilirsiniz. Örneğin, görünen ad boşsa, görünen adı oluşturmak için ad ve soyadını birleştirin.

SAP ECC için gerekli BAPI'lerin Microsoft Entra tarafından kullanıma hazır olduğunu onaylayın

Microsoft Entra sağlama aracısı ve genel web hizmetleri bağlayıcısı, SAP BAPI'leri de dahil olmak üzere şirket içi SOAP uç noktalarına bağlantı sağlar.

SAP ECC kullanmıyorsanız ve yalnızca SAP bulut hizmetlerine erişim sağlıyorsanız, sonraki bölüme geçin.

Sağlama işlemi için gereken BAPI'lerin yayımlandığını teyit edin. Kullanıcıları oluşturmak, güncelleştirmek ve silmek için SAP ECC NetWeaver 7.51'de gerekli API'leri kullanıma sunma. Bağlayıcıları dosyası, gerekli API'leri nasıl kullanıma açabileceğinizi gösterir.
Mevcut SAP kullanıcıları için kullanılabilen şemayı kaydedin. SAP ECC'de yetkili kayıt kaynağınızdaki çalışanlara karşılık gelen mevcut kullanıcılarınız olabilir. Ancak bu kullanıcılar Microsoft Entra Id tarafından oluşturulmadıysa, bu kullanıcılarda çalışanın benzersiz tanımlayıcısı olarak kullanılabilecek bir alanın doldurulmuş olması gerekir. Bu alanın, bir çalışana karşılık gelen her kullanıcıda benzersiz bir değerle mevcut olması gerekir. Daha sonra Microsoft Entra sağlama hizmeti, çalışanlar için hangi kullanıcıların mevcut olduğunu belirleyebilir ve yinelenen kullanıcılar oluşturmaktan kaçınabilir.

Örneğin, SAP BAPI'lerini BAPI_USER_GETLIST ve BAPI_USER_GETDETAILkullanıyor olabilirsiniz. tarafından BAPI_USER_GETDETAIL döndürülen alanlardan biri, kaynakla bağıntı için benzersiz tanımlayıcı olarak seçilmelidir. Kaynaktan benzersiz bir tanımlayıcıya karşılık gelen bir alanınız yoksa, farklı bir benzersiz tanımlayıcı kullanmanız gerekebilir. Örneğin, değerleri her SAP kullanıcısı için benzersizse ve Microsoft Entra ID kullanıcılarında da mevcutsa SAP alanını address.e_mail kullanmanız gerekebilir.
MICROSOFT Entra'nın SAP BAPI'lerine sağlaması için gerekli şemayı kaydedin. Örneğin, kullanıcı oluşturmak için ,BAPI_USER_CREATE1,ADDRESSCOMPANYDEFAULTSLOGONDATA ve PASSWORD alanları gerektiren SELF_REGISTERSAP BAPI USERNAMEkullanıyor olabilirsiniz. Microsoft Entra ID kullanıcı şemasından SAP ECC gereksinimlerine eşlemeyi yapılandırdığınızda, Microsoft Kimliği kullanıcı özniteliklerini veya sabitlerini bu alanların her birine eşleyin.

Uçtan uca öznitelik akışını ve dönüşümlerini belgele

Uygulamalarınızın şema gereksinimlerini ve kayıt kaynakları sisteminizdeki kullanılabilir çalışan alanlarını belirlediniz. Şimdi bu alanların Microsoft Entra ve isteğe bağlı olarak Windows Server AD ve SAP Cloud Identity Services aracılığıyla uygulamalara nasıl aktığını gösteren yolları belgeleyin.

Bazı durumlarda, uygulamaların gerektirdiği öznitelikler doğrudan kaynaktan sağlanan veri değerlerine karşılık gelmez. Ardından, bu değerlerin hedef uygulamaya sağlanabilmesi için önce değerlerin dönüştürülmesi gerekir.

Dönüşümün uygulanabileceği birkaç işlem aşaması vardır.

Aşama	Dikkat edilmesi gereken noktalar	Daha fazla bilgi için bağlantılar
Kayıt sisteminin kendisinde	Microsoft Entra kimlik yaşam döngüsü yönetimi, bir kayıt sistemi kaynağından okuma yapan tek çözüm olmayabilir. Verileri Microsoft Entra'ya göstermeden önce veri normalleştirmeyi gerçekleştirmek, benzer verilere ihtiyaç duyan diğer çözümlere de fayda sağlayabilir.	Kayıt sistemi belgelerine bakın
Gelen sağlama akışında, kayıt sisteminden Microsoft Entra veya Windows Server AD'ye	Bir veya daha fazla SuccessFactors özniteliğini temel alarak bir Windows Server AD kullanıcı özniteliğine veya Microsoft Entra ID kullanıcı özniteliğine özel bir değer yazabilirsiniz.	Özelleştirme işlevleriyle ifade
Windows Server AD'den Microsoft Entra Id'ye eşitleme yaptığınızda	Windows Server AD'de kullanıcılarınız zaten varsa, bu kullanıcıların özniteliklerini Microsoft Entra ID'ye getirilirken dönüştürüyor olabilirsiniz.	Microsoft Entra Connect'te eşitleme kuralını özelleştirme ve Microsoft Entra Cloud Sync ile ifade oluşturucuyu kullanma
Microsoft Entra ID'den SAP Cloud Identity Services, SAP ECC veya SAP olmayan diğer uygulamalara giden sağlama akışında	Bir uygulamaya sağlamayı yapılandırırken, belirtebileceğiniz öznitelik eşlemesi türlerinden biri, Microsoft Entra ID'deki özniteliklerden birini veya daha fazlasını hedefteki bir öznitelikle eşleyen bir ifadedir.	Özelleştirme işlevleriyle ifade
Giden federasyon SSO'sunda	Varsayılan olarak, Microsoft kimlik platformu kullanıcının kullanıcı adı (kullanıcı asıl adı olarak da bilinir) değerine sahip bir talep içeren bir uygulamaya saml belirteci verir ve bu da kullanıcıyı benzersiz olarak tanımlayabilir. SAML belirteci, kullanıcının e-posta adresini veya görünen adını içeren diğer talepleri de içerir ve talep dönüştürme işlevlerini kullanabilirsiniz.	SAML belirteci taleplerini ve Müşteri JSON web belirteci beyanlarını özelleştirme
SAP Cloud Identity Services'da	SAP Cloud Identity Services'da, yapılandırılan her hedef sistem SAP Cloud Identity Services'e sağlanan kimlikler için kaynağın veri modelinden hedefin gereksinimlerine dönüştürmeler ekler. SAP Cloud Identity Services'daki bu dönüşümleri, özellikle birden çok hedef sisteminiz yapılandırılmışsa, kimliği modellemeyi nasıl planladığınıza karşılık gelen şekilde değiştirmeniz gerekebilir. Öznitelik gereksinimi SAP Cloud Identity Services'e bağlı bir veya daha fazla SAP uygulamasına özgü olduğunda bu yaklaşım uygun olabilir.	SAP Cloud Identity Services - Dönüşümü yönetme

Yeni kimlik doğrulama kimlik bilgileri vermeye hazırlanın

Windows Server AD kullanıyorsanız, uygulama erişimine ihtiyacı olan ve daha önce Windows Server AD kullanıcı hesabı olmayan çalışanlar için Windows Server AD kimlik bilgilerini yayınlamayı planlayın. Geçmişte bazı kuruluşlarda kullanıcılar doğrudan uygulama depolarına sağlandı. Çalışanlar yalnızca Microsoft Exchange posta kutusuna veya Windows Server AD ile tümleşik uygulamalara erişime ihtiyaç duyduklarında Windows Server AD kullanıcı hesaplarını aldılar.

Bu senaryoda, Windows Server AD'ye gelen sağlamayı yapılandırıyorsanız Microsoft Entra, Windows Server AD'de hem daha önce Windows Server AD kullanıcı hesapları olmayan mevcut çalışanlar hem de yeni çalışanlar için kullanıcılar oluşturur. Kullanıcılar Windows etki alanında oturum açıyorsa, kullanıcıların yalnızca paroladan daha güçlü kimlik doğrulaması için İş İçin Windows Hello kaydolmalarını öneririz.
Windows Server AD kullanmıyorsanız, uygulama erişimine ihtiyacı olan ve daha önce Microsoft Entra ID kullanıcı hesapları olmayan çalışanlar için Microsoft Entra Id kimlik bilgilerini yayınlamayı planlayın. Microsoft Entra ID'ye gelen sağlama yapılandırmasını yapıyorsanız, doğrudan Windows Server AD'ye gitmeden, Microsoft Entra, hem önceden Microsoft Entra ID kullanıcı hesapları olmayan mevcut çalışanlar hem de yeni çalışanlar için Microsoft Entra'da kullanıcılar oluşturur.

Kullanıcıların parolalara ihtiyacı varsa, kullanıcının parolasını sıfırlaması için Microsoft Entra ID self servis parola sıfırlama (SSPR) özelliğini dağıtabilirsiniz. Mobil Numara özelliğini bulut İK uygulamasından sağlayabilirsiniz. Cep Telefonu Numarası özniteliği Microsoft Entra Id'ye geldikten sonra, kullanıcının hesabı için SSPR'yi etkinleştirebilirsiniz. Daha sonra, yeni kullanıcı kimlik doğrulaması için kayıtlı ve doğrulanmış cep telefonu numarasını kullanabilir. Kimlik doğrulaması iletişim bilgilerini önceden doldurma hakkında ayrıntılı bilgi için SSPR belgelerine bakın.

Kullanıcılar daha güçlü kimlik doğrulaması kullanacaksa, yeni kullanıcılar için Geçici Erişim Geçişleri oluşturabilmeniz için Geçici Erişim Geçişi ilkesini etkinleştirin.

Kullanıcıların Microsoft Entra MFA için hazır olduğunu doğrulayın. Federasyon aracılığıyla tümleştirilmiş iş açısından kritik uygulamalar için Microsoft Entra MFA gerektirmenizi öneririz. Bu uygulamalar için bir ilke, kullanıcının bir uygulamada oturum açmasına izin veren Microsoft Entra Kimliği'nden önce bir MFA gereksinimini karşılamasını gerektirmelidir. Ayrıca bazı kuruluşlar konumlara göre erişimi engelleyebilir veya kullanıcının kayıtlı bir cihazdan erişmesini gerektirebilir.

Kimlik doğrulaması, konum, cihaz ve kullanım koşulları için gerekli şartları içeren uygun bir politika yoksa Koşullu Erişim dağıtımınıza birpolitika ekleyin.
Yeni çalışanlar için Geçici Erişim Kartı düzenlemeye hazırlanın. Microsoft Entra ID Yönetimi'ne sahipseniz ve Microsoft Entra ID'ye gelen sağlamayı yapılandırıyorsanız, yeni çalışanlar için Geçici Erişim Geçidi düzenleyerek Yaşam Döngüsü İş Akışlarını yapılandırmayı planlayın.

Pilot planlama

İK kaynaklarından gelen İK iş süreçlerini ve kimlik iş akışlarını hedef sistemlere entegre etmek için, çözümü üretime dağıtabilmeniz adına önemli miktarda veri doğrulama, veri dönüştürme, veri temizleme ve uçtan uca test gerekir.

İlk yapılandırmayı üretimdeki tüm kullanıcılara ölçeklendirmeden önce bir pilot ortamda çalıştırın.

Microsoft Entra tümleştirmelerini dağıtma

Bu bölümde şunları yapacaksınız:

Kullanıcıları yetkili bir kaynak sisteminden Microsoft Entra Id'ye getirin.
SAP Cloud Identity Services veya SAP ECC'ye bu kullanıcıların kimlik doğrulamalarını atayarak, onların SAP uygulamalarına veya SAP BTP üzerindeki uygulamalara oturum açmalarını sağlayın.

Windows Server AD kullanıcı şemasını güncelleştirme

Kullanıcıları Windows Server AD ve Microsoft Entra ID'ye sağlıyorsanız, Windows Server AD ortamınızın ve ilişkili Microsoft Entra aracılarınızın SAP uygulamalarınız için gerekli şemayla kullanıcıları Windows Server AD'ye içeri ve dışarı aktarmaya hazır olduğundan emin olun.

Windows Server AD kullanmıyorsanız sonraki bölüme geçin.

Gerekirse Windows Server AD şemasını genişletin. Microsoft Entra ve uygulamalarınız tarafından talep edilen, zaten Windows Server AD kullanıcı şemasının bir parçası olmayan her kullanıcı özniteliği için, yerleşik bir Windows Server AD kullanıcı uzantısı özniteliği seçmeniz gerekir. Veya Windows Server AD'nin bu özniteliği barındıracak bir yeri olması için Windows Server AD şemasını genişletmeniz gerekir. Bu gereksinim, bir çalışanın katılma tarihi ve izin tarihi gibi otomasyon için kullanılan öznitelikleri de içerir.

Örneğin, bazı kuruluşlar öznitelikleri extensionAttribute1extensionAttribute2 ve bu özellikleri barındırmak için kullanabilir. Yerleşik uzantı özniteliklerini kullanmayı seçerseniz, bu özniteliklerin Windows Server AD'nin diğer LDAP tabanlı uygulamaları veya Microsoft Entra Id ile tümleştirilmiş uygulamalar tarafından zaten kullanılmadığından emin olun. Diğer kuruluşlar, gibi contosoWorkerIdkendi gereksinimlerine özgü adlarla yeni Windows Server AD öznitelikleri oluşturur.
Mevcut Windows Server AD kullanıcılarının İnsan Kaynakları kaynağıyla ilişkilendirme için gerekli özniteliklere sahip olduğunu onaylayın. Windows Server AD'de çalışanlara karşılık gelen mevcut kullanıcılarınız olabilir. Bu kullanıcıların, değeri benzersiz olan ve bu çalışanlar için yetkili kayıt kaynağı sistemindeki bir özelliğe karşılık gelen bir özniteliği olmalıdır.

Örneğin, bazı kuruluşlar Windows Server AD gibi employeeId bir öznitelik kullanır. Bu özniteliğe sahip olmayan kullanıcılar varsa, sonraki tümleştirme sırasında bunlar dikkate alınamayabilir. Ardından, otomatik sağlama Windows Server AD'de mükerrer kullanıcılar oluşturur. Bir kullanıcı ayrıldığında, özgün kullanıcılar güncelleştirilmez veya kaldırılmaz. Şunları kullanabilirsiniz:
- Etki alanına katılmış bir bilgisayardaki PowerShell işlem hattı, Get-ADUser komutuyla çalışır.
- where-object gibi {$_.employeeId -eq $null}bir filtreyle özniteliği eksik olan kullanıcılara filtre uygulamak için komutu.
- Sonuçta export-csv elde edilen kullanıcıları CSV dosyasına dışarı aktarma komutu.
Bu özniteliği eksik olan çalışanlara hiçbir kullanıcının karşılık vermediğinden emin olun. Varsa, devam etmeden önce eksik özniteliği eklemek için bu kullanıcıları Windows Server AD'de düzenlemeniz gerekir.
Microsoft Entra Id şemasını genişletin ve Windows Server AD şemasından Microsoft Entra ID kullanıcı şemasına eşlemeleri yapılandırın. Microsoft Entra Connect Sync kullanıyorsanız, Microsoft Entra Connect Sync: Dizin uzantıları'ndaki adımları gerçekleştirerek Microsoft Entra Id kullanıcı şemasını özniteliklerle genişletin. Windows Server AD öznitelikleri için Microsoft Entra Connect Eşitleme eşlemelerini bu özniteliklerle yapılandırın.

Microsoft Entra Cloud Sync kullanıyorsanız Microsoft Entra Cloud Sync dizin uzantılarındaki adımları ve özel öznitelik eşlemesini gerçekleştirerek Microsoft Entra Id kullanıcı şemasını gerekli diğer özniteliklerle genişletin. Windows Server AD öznitelikleri için Microsoft Entra Cloud Sync eşlemelerini bu özniteliklerle yapılandırın. Yaşam Döngüsü İş Akışları için gereken öznitelikleri eşitlediğinizden emin olun.
Windows Server AD'den Microsoft Entra Id'ye eşitleme işleminin tamamlanmasını bekleyin. Windows Server AD'den daha fazla öznitelik sağlamak için eşlemelerde değişiklik yaptıysanız, kullanıcıların Microsoft Entra Id gösteriminin Windows Server AD'den tam öznitelik kümesine sahip olması için, kullanıcılar için bu değişikliklerin Windows Server AD'den Microsoft Entra Id'ye geçmesini bekleyin.

Microsoft Entra Cloud Sync kullanıyorsanız, Microsoft Entra Cloud Sync'i temsil eden hizmet sorumlusunun steadyStateLastAchievedTime alarak eşitleme durumu özelliğini izleyebilirsiniz. Hizmet sorumlusu kimliğiniz yoksa Eşitleme şemasını görüntüleme bölümüne bakın.
Windows Server AD'de gerekli kapsayıcıları oluşturun. Kullanıcıları etki alanı içindeki kuruluş birimlerine yerleştirmeyi planlıyorsanız, sağlama aracını etkinleştirmeden önce bu kapsayıcıların organizationalUnit mevcut olduğundan emin olun.

Microsoft Entra Id kullanıcı şemasını güncelleştirme

Windows Server AD kullanıyorsanız, Windows Server AD'den eşlemeleri yapılandırmanın bir parçası olarak Microsoft Entra ID kullanıcı şemasını zaten genişletmişsinizdir. Bu adım tamamlandıysa sonraki bölüme geçin.

Windows Server AD kullanmıyorsanız, Microsoft Entra Id kullanıcı şemasını genişletmek için bu bölümdeki adımları izleyin.

Microsoft Entra şema uzantılarını tutmak için bir uygulama oluşturun. Windows Server AD'den eşitlenmemiş kiracılar için şema uzantıları yeni bir uygulamanın parçası olmalıdır. Henüz yapmadıysanız şema uzantılarını temsil eden bir uygulama oluşturun. Bu uygulamada herhangi bir kullanıcı atanmayacak.
Kayıt sistemiyle bağıntı özniteliğini tanımlayın. Microsoft Entra Id'de çalışanlara karşılık gelen mevcut kullanıcılarınız olabilir. Daha sonra bu kullanıcıların değeri benzersiz olan ve bu çalışanlar için yetkili kayıt kaynağı sistemindeki bir özelliğe karşılık gelen bir özniteliği olmalıdır.

Örneğin, bazı kuruluşlar Microsoft Entra Id kullanıcı şemalarını bu amaçla yeni bir özniteliği olacak şekilde genişletir. Bu amaçla henüz bir öznitelik oluşturmadıysanız, bunu bir sonraki adıma öznitelik olarak ekleyin.
Yeni öznitelikler için Microsoft Entra Id kullanıcı şemasını genişletin. Microsoft Entra Id kullanıcı şemasının parçası olmayan SAP uygulamaları için gereken her öznitelik için dizin şeması uzantıları oluşturun. Bu öznitelikler, Microsoft Entra'nın kullanıcılar hakkında daha fazla veri depolaması için bir yol sağlar. Uzantı özniteliği oluşturarak şemayı genişletebilirsiniz.

Microsoft Entra ID'deki kullanıcıların İK kaynağındaki çalışan kayıtlarıyla ilişkilendirilebildiğinden emin olun

Microsoft Entra Id'de çalışanlara karşılık gelen mevcut kullanıcılarınız olabilir. Daha sonra bu kullanıcıların değeri benzersiz olan ve bu çalışanlar için yetkili kayıt kaynağı sistemindeki bir özelliğe karşılık gelen bir özniteliği olmalıdır.

Örneğin, bazı kuruluşlar Microsoft Entra Id kullanıcı şemalarını bu amaçla yeni bir özniteliği olacak şekilde genişletebilir. Bu özniteliğe sahip olmayan kullanıcılar varsa, sonraki tümleştirme sırasında bunlar dikkate alınamayabilir. Ardından otomatik sağlama, Windows Server Active Directory'de yinelenen kullanıcıların oluşturulmasına neden olur. Bir kullanıcı ayrıldığında, özgün kullanıcılar güncelleştirilmez veya kaldırılmaz.

Kullanıcıları Microsoft Entra Id'den alın. Microsoft Entra ID'de bir çalışanı temsil eden herhangi bir kullanıcının ilişkilendirilebilir bir özniteliğe sahip olduğundan emin olun. Genellikle, Microsoft Entra ID'deki birkaç kullanıcı yetkili kayıt kaynağı sisteminizdeki çalışanlara karşılık gelmez. Bu kullanıcılar arasında acil durum yönetim erişimi için hesap, BT hizmet sağlayıcıları için hesaplar ve işletme konukları yer alır. Kullanıcıların geri kalanı, bağıntı için kullanılacak benzersiz değere sahip bir özniteliğine sahip olmalıdır.

Eğer bazı kullanıcılar ilişkilendirilmemişse, güncellemeler ve erişim iptalleri gözden kaçabilir. Microsoft Entra yinelenen kullanıcılar bile oluşturabilir. Örneğin, tüm üye kullanıcıların (break-glass hesabı dışında) bir employeeid özniteliği olması gerekiyorsa, bu kullanıcıları aşağıdaki betike benzer bir PowerShell komut işlem hattıyla tanımlayabilirsiniz:
```
$u = get-mguser -all -property id,displayname,userprincipalname,usertype,employeeid | Where-Object {$_.UserType -ne 'Guest' -and $_.EmployeeId -eq $null}
```

Kimlik idaresi özellikleri için önkoşulları ayarlama

Microsoft Entra yetkilendirme yönetimi veya Microsoft Entra Yaşam Döngüsü İş Akışları gibi bir Microsoft Entra Id idare özelliğine ihtiyacınız olduğunu belirlediyseniz, çalışanları Microsoft Entra ID'ye kullanıcı olarak eklemeden önce bu özellikleri dağıtın.

Gerekirse kullanım koşulları belgesini karşıya yükleyin. Kullanıcıların bir uygulamaya erişebilmeleri için kullanım koşullarını kabul etmelerini istiyorsanız, koşullu erişim ilkesine eklenebilmesi için kullanım koşulları belgesini oluşturun ve karşıya yükleyin.
Gerekirse bir katalog oluşturun. Varsayılan olarak, bir yönetici Microsoft Entra yetkilendirme yönetimiyle ilk etkileşim kurduğunda, varsayılan katalog otomatik olarak oluşturulur. Ancak, yönetilen uygulamalar için erişim paketleri belirlenmiş bir katalogda olmalıdır. Microsoft Entra yönetim merkezinde katalog oluşturmak için Katalog oluşturma bölümündeki adımları izleyin.

PowerShell kullanarak katalog oluşturmak için Microsoft Entra Id kimlik doğrulaması ve Katalog oluşturma bölümlerindeki adımları izleyin.
Bir birleştirici iş akışı oluşturun. Microsoft Entra ID'ye gelen sağlamayı yapılandırıyorsanız, yeni çalışanlar için bir Geçici Erişim Geçişi çıkartma göreviyle bir Yaşam Döngüsü İş Akışı birleştirici iş akışı yapılandırın.
Oturum açmaları engelleyen bir terk eden iş akışı oluşturun. Microsoft Entra Yaşam Döngüsü İş Akışları'nda, kullanıcıların oturum açmasını engelleyen bir görevle bir terk eden iş akışı yapılandırın. Bu iş akışı isteğe bağlı olarak çalıştırılabilir. Eğer kayıt kaynaklarından gelen ve çalışanların zamanlanan ayrılış tarihlerinden sonra oturum açmalarını engelleyen bir sağlamayı yapılandırmadıysanız, bu çalışanların planlanan ayrılış tarihlerinde çalışacak bir ayrılış iş akışı yapılandırın.
Kullanıcı hesaplarını silmek için bir terk eden iş akışı oluşturun. İsteğe bağlı olarak, kullanıcıyı silme görevi içeren bir ayrılma iş akışı yapılandırın. Bu iş akışını, çalışanın zamanlanan izin tarihinden sonra 30 veya 90 gün gibi belirli bir süre çalışacak şekilde zamanlayın.

Microsoft Entra ID'deki kullanıcıları İK sistemindeki çalışan kayıtlarına bağlama

Bu bölümde, Microsoft Entra ID'nin, kayıt insan kaynakları sistemi olarak SAP SuccessFactors ile nasıl bütünleştirileceği gösterilmektedir.

Kayıt sistemini bir hizmet hesabıyla yapılandırın ve Microsoft Entra Id için uygun izinleri verin. SAP SuccessFactors kullanıyorsanız Tümleştirme için SuccessFactors'ı yapılandırma bölümündeki adımları izleyin.
Kayıt sisteminizden Windows Server AD veya Microsoft Entra ID'ye gelen eşlemeleri yapılandırın. SAP SuccessFactors kullanıyorsanız ve kullanıcıları Windows Server AD ve Microsoft Entra ID'ye hazırlarsanız SuccessFactors'tan Active Directory'ye kullanıcı sağlamayı yapılandırma bölümündeki adımları izleyin.

SAP SuccessFactors kullanıyorsanız ve Windows Server AD'ye sağlama yapmıyorsanız, SuccessFactors'tan Microsoft Entra ID'ye kullanıcı sağlamayı yapılandırma bölümündeki adımları izleyin.

Eşlemeleri yapılandırırken, Windows Server AD özniteliği için bu özniteliği veya bağıntı için kullanılan Microsoft Entra Id kullanıcı özniteliğini kullanarak Nesneleri eşleştir ile bir eşleme yapılandırdığınızdan emin olun. Ayrıca, işe başlama ve ayrılma tarihleri için gerekli olan özniteliklerin yanı sıra İK kaynağından gelen ve hedef uygulamalar tarafından gerektiren tüm özniteliklerin eşlemelerini yapılandırın.
Kayıt sisteminden ilk gelen sağlamayı gerçekleştirin. SAP SuccessFactors kullanıyorsanız ve kullanıcıları Windows Server AD ve Microsoft Entra ID'ye sağlıyorsanız Sağlamayı etkinleştirme ve başlatma bölümündeki adımları izleyin. SAP SuccessFactors kullanıyorsanız ve Windows Server AD'ye sağlama yapmıyorsanız, Sağlamayı etkinleştirme ve başlatma bölümündeki adımları izleyin. Büyük bulut İK uygulaması kiracıları (>30.000 kullanıcı) için ilk döngüyü, ilk döngü planında açıklandığı gibi aşamalı aşamalarda çalıştırın.
Kayıt sistemi tarafından yapılan ilk eşitlemenin tamamlanmasını bekleyin. SAP SuccessFactors'tan Windows Server AD'ye veya Microsoft Entra Id'ye eşitlediyseniz, dizinle ilk eşitleme tamamlandıktan sonra Microsoft Entra, Microsoft Entra yönetim merkezindeki SAP SuccessFactors uygulamasının Sağlama sekmesindeki denetim özeti raporunu güncelleştirir.
Windows Server AD sağlıyorsanız, Windows Server AD'de oluşturulan yeni kullanıcıların veya Windows Server AD'de güncellenen kullanıcıların Windows Server AD'den Microsoft Entra ID'ye eşitlenmesini bekleyin. Windows Server AD'deki kullanıcılar için yapılan değişikliklerin Microsoft Entra Id'ye geçmesini bekleyin, böylece kullanıcıların Microsoft Entra ID gösterimi, Windows Server AD'den tüm kullanıcı ve özniteliklerine sahip olur.

Microsoft Entra Cloud Sync kullanıyorsanız, Microsoft Entra Cloud Sync'i temsil eden hizmet sorumlusunun steadyStateLastAchievedTime alarak izleyebilirsiniz. Hizmet sorumlusu kimliğiniz yoksa Eşitleme şemasını görüntüleme'ye bakın.

Kullanıcıların Microsoft Entra ID'ye sağlandığından emin olun. Bu noktada, kullanıcıların hedef uygulamaların gerektirdiği özniteliklerle Microsoft Entra ID'de mevcut olması gerekir. Örneğin, kullanıcıların , givennameve surname özniteliklerine sahip employeeIDolmasını isteyebilirsiniz. Belirli öznitelikleri olan veya öznitelikleri eksik olan kullanıcıların sayısını görüntülemek için aşağıdaki betiklere benzer PowerShell komutlarını kullanabilirsiniz:

$u = get-mguser -all -property id,displayname,userprincipalname,usertype,givenname,surname,employeeid
$u2 = $u | where-object {$_.usertype -ne 'Guest' -and $_.employeeid -ne $null}
$u2c = $u2.Count
write-output "member users with employeeID attribute: $u2c"
$u3 = $u| Where-Object {$_.UserType -ne 'Guest' -and ($_.EmployeeId -eq $null -or $_.GivenName -eq $null -or $_.Surname -eq $null)}
$u3c = $u3.Count
write-output "member users missing employeeID, givenname or surname attributes: $u3c"

Microsoft Entra Id'de beklenmeyen, birbiriyle ilgisiz hesap olmadığından emin olun. Genellikle, Microsoft Entra ID'deki birkaç kullanıcı yetkili kayıt kaynağı sisteminizdeki çalışanlara karşılık gelmez. Acil durum yönetim erişimi için acil hesap, BT satıcıları için hesaplar ve iş konukları dahildir.

Ancak, Microsoft Entra'da geçerli çalışanların hesaplarına benzeyen ancak bir çalışan kaydıyla eşitlenmemiş yetim hesaplar da olabilir. Sahipsiz hesaplar, artık İnsan Kaynakları sisteminde olmayan eski çalışanlardan kaynaklanabilir. Bunlar eşleşme hatalarından da gelebilir. Ya da adını değiştiren veya yeniden işe alınan bir kişi gibi veri kalitesi sorunlarından kaynaklanabilir.
Kayıt sisteminin yukarı akış aşamalarındaki birleştirme, güncelleştirme ve ayrılma işlemlerini Microsoft Entra'da doğru şekilde test edin. Daha fazla bilgi için bkz. plan testi.

Artık kullanıcılar Microsoft Entra Id'de var olduğuna göre, sonraki bölümlerde bunları hedef uygulamalara sağlarsınız.

SAP Cloud Identity Services'a kullanıcı sağlama

Bu bölümdeki adımlar, Microsoft Entra Id'den SAP Cloud Identity Services'e sağlamayı yapılandırıyor. Varsayılan olarak, Microsoft Entra ID'yi, SAP Cloud Identity Services'a kullanıcıların otomatik olarak sağlanması ve kaldırılması için ayarlayın. Daha sonra bu kullanıcılar SAP Cloud Identity Services'da kimlik doğrulaması yapabilir ve SAP Cloud Identity Services ile tümleştirilmiş diğer SAP iş yüklerine erişebilir. SAP Cloud Identity Services, yerel kimlik dizininden diğer SAP uygulamalarına sağlamayı hedef sistemler olarak destekler.

Alternatif olarak, SAP Cloud Identity Services'ı Microsoft Entra Id'den okuyacak şekilde yapılandırabilirsiniz. Kullanıcıları ve isteğe bağlı olarak Microsoft Entra Id'den grupları okumak için SAP Cloud Identity Services kullanıyorsanız SAP Cloud Identity Services'ı yapılandırma hakkındaki SAP kılavuzunu izleyin. Ardından sonraki bölüme geçin.

SAP Cloud Identity Services kullanmıyorsanız sonraki bölüme geçin.

YÖNETICI izinlerine sahipSAP Cloud Identity Services'da kullanıcı hesabı olan bir SAP Cloud Identity Services kiracınızolduğundan emin olun.
Hazırlama için SAP Cloud Identity Services'i ayarlayın. SAP Cloud Identity Services Yönetici Konsolunuzda oturum açın ve SAP Cloud Identity Services'ı sağlama için ayarlama bölümündeki adımları izleyin.
Galeriden SAP Cloud Identity Services ekleyin ve SAP Cloud Identity Services'e otomatik kullanıcı sağlamayı yapılandırın. Galeriden SAP Cloud Identity Services ekleme ve SAP Cloud Identity Services'a otomatik kullanıcı sağlamayı yapılandırma bölümlerindeki adımları izleyin.
Microsoft Entra Id'den SAP Cloud Identity Services'a bir test kullanıcısı sağlayın. Microsoft Entra ID'den SAP Cloud Identity Services'e yeni bir test kullanıcısı sağlama bölümündeki adımları izleyerek sağlama tümleştirmesinin hazır olduğunu doğrulayın.
Hem Microsoft Entra hem de SAP Cloud Identity Services içindeki mevcut kullanıcıların bağıntılı olduğundan emin olun. Microsoft Entra ID'deki kullanıcıları SAP Cloud Identity Services'da bulunan kullanıcılarla karşılaştırmak için şu bölümlerdeki adımları izleyin:
- Mevcut SAP Cloud Identity Services kullanıcılarının gerekli eşleşen özniteliklere sahip olduğundan emin olun
- Mevcut Microsoft Entra kullanıcılarının gerekli özniteliklere sahip olduğundan emin olun
Sap Cloud Identity Services'ın mevcut kullanıcılarını Microsoft Entra Id'de uygulamaya atayın. Microsoft Entra Id'de SAP Cloud Identity Services uygulamasına kullanıcı atama bölümündeki adımları izleyin. Bu adımlarda şunları yapmalısınız:
- Tedarikin karantinaya alınmaması için tedarik sorunlarını giderin.
- SAP Cloud Identity Services'da mevcut olan ve Microsoft Entra Id'de uygulamaya henüz atanmamış kullanıcıları denetleyin.
- Kalan kullanıcıları atayın.
- İlk eşitlemeyi izleyin.
Microsoft Entra Id'den SAP Cloud Identity Services'a eşitlemeyi bekleyin. Uygulamaya atanan tüm kullanıcılar hazır hâle getirilene kadar bekleyin. İlk döngü 20 dakika ile birkaç saat arasında sürer. Zamanlama, Microsoft Entra dizininin boyutuna ve sağlama kapsamındaki kullanıcı sayısına bağlıdır. SAP Cloud Identity Services'i temsil eden hizmet sorumlusunun steadyStateLastAchievedTime alarak eşitleme durumunun özelliğini izleyebilirsiniz.
Sağlama hatalarını denetleyin. Microsoft Entra yönetim merkezi veya Graph API'leri aracılığıyla sağlama günlüğünü denetleyin. Günlüğü Hata durumuna göre filtreleyin.

Hata kodu DuplicateTargetEntries ile ilgili hatalar varsa, bu kod sağlama eşleştirme kurallarınızda bir belirsizlik olduğunu gösterir. Her Microsoft Entra kullanıcısının bir uygulama kullanıcısı ile eşleştiğinden emin olmak için Microsoft Entra kullanıcılarını veya eşleştirme için kullanılan eşlemeleri güncelleştirmeniz gerekir. Ardından günlüğü Oluştur eylemine ve Atlandı durumuna göre filtreleyin.

Kullanıcılar *SkipReason koduyla NotEffectivelyEntitled atlandıysa, bu günlük olayı, kullanıcı hesabı durumu Devre Dışı olduğu için Microsoft Entra Kimliği'ndeki kullanıcı hesaplarının eşleşmemiş olabileceğini gösterebilir.
SAP Cloud Identity Services'daki kullanıcıları Microsoft Entra Id'deki kullanıcılarla karşılaştırın. SAP Cloud Identity Services kullanıcılarını SAP Cloud Identity Services'ten yeniden dışarı aktarmak için mevcut SAP Cloud Identity Services kullanıcılarının gerekli eşleşen özniteliklere sahip olduğundan emin olun bölümündeki adımları yineleyin. Ardından, dışarı aktarılan kullanıcıların SAP uygulamaları için gerekli özelliklere sahip olup olmadığını denetleyin. PowerShell where-object komutunu kullanarak kullanıcı listesini, gibi {$_.employeeId -eq $null}bir filtreyle yalnızca özniteliği eksik olan kullanıcılara göre filtreleyebilirsiniz.
Microsoft Entra'dan SAP Cloud Identity Services'a federasyonlu SSO yapılandırın. SAP Cloud Identity Services için SAML tabanlı SSO'yu etkinleştirin. SAP Cloud Identity Services çoklu oturum açma öğreticisinde sağlanan yönergeleri izleyin.
SAP BTP uygulama rolleri için gruplar oluşturun ve BTP rol koleksiyonuna gruplar atayın. BTP'de uygulamalarınız varsa Microsoft Entra güvenlik grupları oluşturabilir ve bu grup kimliklerini uygulama rolleriyle eşleyebilirsiniz. Daha fazla bilgi için bkz. SAP BTP erişimini yönetme .
Uygulama web uç noktasını uygun Koşullu Erişim ilkesinin kapsamına getirin. Aynı idare gereksinimlerine tabi başka bir uygulama için oluşturulmuş bir Koşullu Erişim ilkeniz olabilir. Ardından, çok sayıda ilkeye sahip olmaması için bu ilkeyi bu uygulama için de geçerli olacak şekilde güncelleştirebilirsiniz.

Güncelleştirmeleri yaptıktan sonra beklenen ilkelerin uygulandığından emin olun. Koşullu Erişim varsayımsal aracıile bir kullanıcıya hangi ilkelerin uygulanacağını görebilirsiniz.
Test kullanıcısının SAP uygulamalarına bağlanabildiğini doğrulayın. Uygulama SSO'sunu test etmek için Microsoft Uygulamalarım kullanabilirsiniz. Bir test kullanıcısının SAP Cloud Identity Services uygulamasına atandığından ve Microsoft Entra ID'den SAP Cloud Identity Services'a sağlandığından emin olun. Ardından, Microsoft Entra'da bu kullanıcı olarak oturum açın ve adresine myapps.microsoft.comgidin.

Uygulamalarım SAP Cloud Identity Services kutucuğunu seçtiğinizde, tümleştirmeyi hizmet sağlayıcısı (SP) modunda yapılandırdıysanız, oturum açma akışını başlatmaya yönelik uygulama oturum açma sayfasına yönlendirilirsiniz. Kimlik sağlayıcısı (IDP) modunda yapılandırdıysanız, SSO'nun ayarlandığı SAP Cloud Identity Services'da otomatik olarak oturum açarsınız.

SAP ECC'ye kullanıcı sağlama

Artık kullanıcıları Microsoft Entra Id'de kullandığınıza göre, bunları şirket içi SAP'ye sağlayabilirsiniz.

SAP ECC kullanmıyorsanız sonraki bölüme geçin.

Sağlamayı yapılandırın. Kullanıcıları NetWeaver AS ABAP 7.0 veya üzeri sürümlerle SAP ECC'ye sağlamak için Microsoft Entra Kimliğini Yapılandırma başlığındaki yönergeleri izleyin.
Microsoft Entra Id'den SAP ECC'ye eşitlemeyi bekleyin. SAP ECC uygulamasına atanan tüm kullanıcıların sağlanmasını bekleyin. İlk döngü 20 dakika ile birkaç saat arasında sürer. Zamanlama, Microsoft Entra dizininin boyutuna ve sağlama kapsamındaki kullanıcı sayısına bağlıdır. Hizmet sorumlusunun steadyStateLastAchievedTime eşitleme işini alarak eşitleme durumunun özelliğini izleyebilirsiniz.
Sağlama hatalarını denetleyin. Microsoft Entra yönetim merkezi veya Graph API'leri aracılığıyla sağlama günlüğünü denetleyin. Günlüğü Hata durumuna göre filtreleyin.

hata koduyla DuplicateTargetEntriesilgili hatalar varsa, bu günlük olayı sağlama eşleştirme kurallarınızda bir belirsizlik olduğunu gösterir. Her Microsoft Entra kullanıcısının bir uygulama kullanıcısı ile eşleştiğinden emin olmak için Microsoft Entra kullanıcılarını veya eşleştirme için kullanılan eşlemeleri güncelleştirmeniz gerekir. Ardından günlüğü Oluştur eylemine ve Atlandı durumuna göre filtreleyin.

Kullanıcılar SkipReasonNotEffectivelyEntitled koduyla atlandıysa, bu kod, Microsoft Entra ID'deki kullanıcı hesaplarının, kullanıcı hesabı durumu Devre Dışı olduğundan eşleşmediğini gösterebilir.
SAP ECC'deki kullanıcıları Microsoft Entra ID'deki kullanıcılarla karşılaştırın. SAP ECC'ye sağlama yapan sağlama aracısını barındıran Windows Server'da Microsoft ECMA2Host Windows hizmetini yeniden başlatın. Hizmet yeniden başlatıldığında, SAP ECC'den kullanıcıların tam içeri aktarmasını gerçekleştirir.
SAP için Microsoft Entra'dan federe SSO'yu yapılandırın. SAP uygulamaları için SAML tabanlı SSO'yu etkinleştirin. SAP NetWeaver kullanıyorsanız SAP NetWeaver SSO öğreticisinde sağlanan yönergeleri izleyin.
Uygulama web uç noktasını uygun Koşullu Erişim ilkesinin kapsamına getirin. Aynı idare gereksinimlerine tabi başka bir uygulama için oluşturulmuş bir Koşullu Erişim ilkeniz olabilir. Ardından, çok sayıda ilkeye sahip olmaması için bu ilkeyi bu uygulama için de geçerli olacak şekilde güncelleştirebilirsiniz.

Güncelleştirmeleri yaptıktan sonra beklenen ilkelerin uygulandığından emin olun. Koşullu Erişim varsayımsal aracıile bir kullanıcıya hangi ilkelerin uygulanacağını görebilirsiniz.
Test kullanıcılarının sağlanabildiğini doğrulayın ve SAP NetWeaver'da oturum açın. Koşullu Erişim yapılandırıldıktan sonra kullanıcıların oturum açabilmesini sağlamak için SSO Test bölümündeki yönergeleri izleyin.

SuccessFactors ve diğer uygulamalara hizmet sağlama yapılandırması

Microsoft Entra'yı, iş e-postası da dahil olmak üzere Microsoft Entra Id'den SAP SuccessFactors Employee Central'a belirli öznitelikler yazacak şekilde yapılandırabilirsiniz. Daha fazla bilgi için, Microsoft Entra ID'de SAP SuccessFactors geri yazmayı yapılandırma belgesine bakın.

Microsoft Entra, OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP ve REST gibi standartları kullanan uygulamalar da dahil olmak üzere diğer birçok uygulamaya da sağlama yapabilir. Daha fazla bilgi için bkz . Uygulamaları Microsoft Entra ID ile tümleştirme.

Microsoft Entra'da kullanıcılara gerekli uygulama erişim haklarını atama

Yapılandırdığınız kiracı, SAP uygulama erişimi için özel olarak yapılandırılmış tamamen yalıtılmış bir kiracı değilse, kiracıdaki herkesin SAP uygulamalarına erişmesi pek olası değildir. Kiracıdaki SAP uygulamaları, uygulamaya yalnızca uygulama rolü ataması olan kullanıcıların uygulamaya sağlanması ve Microsoft Entra Id'den bu uygulamada oturum açabilmesi için yapılandırılır.

Bir uygulamaya atanan kullanıcılar Microsoft Entra Id'de güncelleştirildikçe, bu değişiklikler otomatik olarak bu uygulamaya sağlanır.

SAP BTP'de uygulamalarınız varsa, SAP Cloud Identity Services'da bu uygulamanın rollerine Microsoft Entra'da yönetilen gruplar da atayabilirsiniz.

Microsoft Entra ID İdaresi'ne sahipseniz, SAP Cloud Identity Services veya SAP ECC için uygulama rolü atamalarında ve gruplarında yapılan değişiklikleri Microsoft Entra Id'de otomatikleştirebilirsiniz. Kişiler kuruluşa katıldığında veya rolleri terk ettikçe ya da değiştirerek atamaları eklemek veya kaldırmak için otomasyonu kullanabilirsiniz.

Mevcut atamaları gözden geçirin. İsteğe bağlı olarak, uygulama rolü atamaları veya grup üyeliği için tek seferlik erişim gözden geçirmesi gerçekleştirin. Bu gözden geçirme tamamlandığında, erişim gözden geçirmesi artık gerekli olmayan atamaları veya grubun üyelerini kaldırır.
Uygulama rolü atamalarını güncel tutmak için işlemi yapılandırın. Microsoft Entra yetkilendirme yönetimini kullanıyorsanız ve SAP uygulamalarınız varsa, SAP bulut kimlik hizmetlerini veya SAP ECC'yi temsil eden uygulamaya atamaları yapılandırmak için PowerShell kullanarak tek bir role sahip bir uygulama için yetkilendirme yönetiminde erişim paketi oluşturmayla ilgili olarak 'a ve 'e bakınız. SAP BTP'de uygulamalarınız varsa, kullanıcıları Microsoft Entra güvenlik gruplarına atamak için yetkilendirme yönetimini yapılandırabilirsiniz. Daha fazla bilgi için bkz. SAP BTP erişimini yönetme .

Bu erişim paketinde, kullanıcılar erişim talep ettiklerinde atama yapılacak politikalar tanımlayabilirsiniz. Atamalar yönetici tarafından, kurallara göre otomatik olarak yapılabilir veya Yaşam Döngüsü İş Akışları aracılığıyla oluşturulabilir.

Microsoft Entra Kimlik Yönetimi yoksa, her kullanıcıyı Microsoft Entra yönetim merkezinde uygulamaya atayabilirsiniz. Uygulamaya PowerShell cmdlet'i New-MgServicePrincipalAppRoleAssignedToaracılığıyla tek tek kullanıcılar atayabilirsiniz.

Kimlik bilgilerini yeni oluşturulan Microsoft Entra kullanıcılarına veya Windows Server AD kullanıcılarına dağıtma

Bu noktada, tüm kullanıcılar Microsoft Entra Id'de bulunur ve ilgili SAP uygulamalarına sağlanır. Windows Server AD veya Microsoft Entra Id'de daha önce mevcut olmayan çalışanlar için bu işlem sırasında oluşturulan tüm kullanıcılar yeni kimlik bilgileri gerektirir.

Microsoft Entra gelen sağlama işlemi, Windows Server AD'de kullanıcı oluşturuyorsa, yeni oluşturulan kullanıcılar için Windows Server AD başlangıç kimlik bilgilerini dağıtın. Get-MgAuditLogProvisioning komutunu kullanarak Windows Server AD ile Microsoft Entra etkileşimlerinin olay listesini alabilirsiniz.

Etki alanına katılmış bir bilgisayarda Set-ADAccountPassword komutunu -Reset parametresiyle kullanarak bir kullanıcı için yeni bir Windows Server AD parolası ayarlayabilirsiniz. Ardından, kullanıcının bir sonraki oturum açmada yeni bir parola seçmesini istemek için parametresiyleSet-ADUser-ChangePasswordAtLogon.
Microsoft Entra gelen sağlama, Microsoft Entra ID'de kullanıcı oluşturuyorsa, yeni oluşturulan kullanıcılar için Microsoft Entra ID ilk kimlik bilgilerini dağıtın. Get-MgAuditLogDirectoryAudit komutuyla, gibi Get-MgAuditLogDirectoryAudit -Filter "category eq 'UserManagement' and activityDisplayName eq 'Add user' and result eq 'success' and activityDateTime+ge+2024-05-01" -allparametrelerle yeni oluşturulan kullanıcıların listesini alabilirsiniz.

Bir kullanıcıya Geçici Erişim Geçişi oluşturmak için, Geçici Erişim Geçişi Oluşturma bölümünde gösterildiği gibi New-MgUserAuthenticationTemporaryAccessPassMethod ve Get-MgUserAuthenticationTemporaryAccessPassMethod komutlarını kullanabilirsiniz.
Kullanıcıların MFA'ya kaydolduğunu onaylayın. MFA'ya kayıtlı kullanıcılar hakkında PowerShell raporlama bölümündeki PowerShell komutlarını çalıştırarak MFA'ya kayıtlı olmayan kullanıcıları tanımlayabilirsiniz.
Herhangi bir kullanıcının geçici ilke dışlamalarına ihtiyacı varsa yinelenen bir erişim gözden geçirmesi oluşturun. Bazı durumlarda, her yetkili kullanıcı için Koşullu Erişim ilkelerini hemen zorunlu kılmak mümkün olmayabilir. Örneğin, bazı kullanıcılar uygun bir kayıtlı cihaza sahip olmayabilir. Koşullu Erişim ilkesinden bir veya daha fazla kullanıcıyı dışlamak ve erişim izni vermek gerekiyorsa, Koşullu Erişim ilkelerinin dışında tutulankullanıcı grubu için bir erişim gözden geçirmesi yapılandırın.

Kimlik akışlarını izleme

Uygulamalarınızla yapılandırılmış gelen ve giden sağlama özelliğine sahip olduğunuza göre, yetkili kayıt sistemlerinden hedef uygulamalara sürekli sağlamayı izlemek için Microsoft Entra'da otomasyonu kullanabilirsiniz.

Gelen sağlamayı izleme

Sağlama hizmeti tarafından gerçekleştirilen etkinlikler Microsoft Entra sağlama günlüklerine kaydedilir. Sağlama günlüklerine Microsoft Entra yönetim merkezinden erişebilirsiniz. Sağlama verilerinde kullanıcının adına veya kaynak sistemdeki veya hedef sistemdeki tanımlayıcıya göre arama yapabilirsiniz. Daha fazla bilgi için Sağlama günlükleri sayfasına bakın.

Windows Server AD'de değişiklikleri izleme

Windows Server denetim ilkesi önerilerinde açıklandığı gibi, Kullanıcı Hesabı Yönetimi başarı denetim olaylarının tüm etki alanı denetleyicilerinde etkinleştirildiğinden ve analiz için toplandığından emin olun.

Uygulama rolü atamalarını izleme

Microsoft Entra Id'yi denetim olaylarını Azure İzleyici'ye gönderecek şekilde yapılandırdıysanız, kullanıcıların erişimlerini nasıl aldığına ilişkin içgörüler elde etmek için Azure İzleyici çalışma kitaplarını kullanabilirsiniz.

Microsoft Entra yetkilendirme yönetimini kullanıyorsanız, Access Package Activity adlı çalışma kitabı belirli bir erişim paketiyle ilgili her olayı görüntüler.
Bir uygulamanın uygulama rolü atamalarında yapılan değişikliklerin erişim paketi atamaları nedeniyle oluşturulmamış olup olmadığını görmek için Uygulama rolü atama etkinliği adlı çalışma kitabını seçin. Yetkilendirme etkinliğini atla'yı seçerseniz, yalnızca yetkilendirme yönetimi tarafından yapılmayan uygulama rollerinde yapılan değişiklikler gösterilir. Örneğin, başka bir yönetici bir kullanıcıyı bir uygulama rolüne doğrudan atadıysa bir satır görürsünüz.

Giden tedariği izleme

Microsoft Entra ile tümleştirilmiş her uygulama için Eşitleme Ayrıntıları bölümünü kullanarak ilerleme durumunu izleyebilir ve sağlama etkinliği raporunun bağlantılarını izleyebilirsiniz. Raporda, uygulama üzerinde Microsoft Entra sağlama hizmeti tarafından gerçekleştirilen tüm eylemler açıklanır. Sağlama projesini Microsoft Graph API'leri aracılığıyla da izleyebilirsiniz.

Microsoft Entra sağlama günlüklerini okuma hakkında daha fazla bilgi için, bkz Otomatik kullanıcı hesabı sağlama hakkında raporlama.

SSO'ları izleme

Bir uygulamada son 30 günlük oturum açma bilgilerini Microsoft Entra yönetim merkezindeki oturum açmalar raporunda veya Microsoft Graph aracılığıyla görüntüleyebilirsiniz. Oturum açma etkinliğini iki yıla kadar arşivleyebilmek için oturum açma günlüklerini Azure İzleyici'ye de gönderebilirsiniz.

Microsoft Entra Kimlik Yönetimi'de atamaları izleme

Microsoft Entra Kimlik Yönetimi kullanıyorsanız, Microsoft Entra Kimlik Yönetimi özelliklerini kullanarak kullanıcıların nasıl erişim sağladığını bildirebilirsiniz. Örneğin:

Yönetici veya katalog sahibi, microsoft Entra yönetim merkezi, Microsoft Graph veya PowerShell aracılığıyla erişim paketi atamalarına sahip kullanıcıların listesini alabilir.
Ayrıca denetim günlüklerini Azure İzleyici'ye gönderebilir ve Microsoft Entra yönetim merkezinde veya PowerShell aracılığıyla erişim paketinde yapılan değişikliklerin geçmişini görüntüleyebilirsiniz.

Bu senaryolar ve diğer kimlik idaresi senaryoları hakkında daha fazla bilgi için yetkilendirme yönetimi ilkelerini ve erişimi ihtiyaç duyulduğunda ayarlamak için izleme konusuna bakın.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-03-04