部署 Microsoft Entra 計劃,以使用 SAP 來源和目標應用程式佈建使用者
您的組織依賴 Microsoft 使用各種 Azure 服務或 Microsoft 365。 SAP 軟體和服務可能為您的組織提供重要功能,例如人力資源 (HR) 和企業資源規劃 (ERP)。 您可以使用 Microsoft Entra 來協調員工、承包商和其他人員的身分識別,以及 SAP 和非 SAP 應用程式的存取權。
本教學課程說明如何使用 Microsoft Entra 功能,根據源自 SAP HR 來源的身分識別屬性來管理 SAP 應用程式之間的身分識別。 本教學課程假設:
- 您的組織在商業雲端中有一個 Microsoft Entra 租用戶,該租用戶中至少有 Microsoft Entra ID P1 的授權。 (某些步驟也說明如何使用 Microsoft Entra ID 控管功能。)
- 您是租用戶的管理員。
- 您的組織有一個記錄員工來源的系統,也就是 SAP SuccessFactors。
- 您的組織具有 SAP ERP Central Component (ECC)、SAP S/4HANA 或其他 SAP 應用程式,並可能還擁有其他非 SAP 應用程式。
- 您正在使用 SAP 雲端識別服務佈建和單一登錄 (SSO) 至 SAP ECC 以外的任何 SAP 應用程式。
概觀
本教學課程說明如何連接 Microsoft Entra 與組織中背景工作角色清單的權威來源,例如 SAP SuccessFactors。 也會示範如何使用 Microsoft Entra 來設定這些背景工作角色的身分識別。 然後,您將了解如何使用 Microsoft Entra,為背景工作角色提供登入一或多個 SAP 應用程式的存取權,例如 SAP ECC 或 SAP S/4HANA。
程序:
- 計劃:定義組織中應用程式的身分識別和存取需求。 請確定此案例的 Microsoft Entra ID 和相關 Microsoft Online Services 符合組織必要條件。
- 部署:將必要的使用者帶入 Microsoft Entra ID,讓這些使用者保持最新狀態,並提供適當的認證。 在 Microsoft Entra 中指派具有必要存取權限的使用者。 佈建這些使用者及其應用程式的存取權限,讓他們能夠登入這些應用程式。
- 監視:視需要監視身分識別流程,以監看錯誤並調整原則和作業。
流程完成後,個人就可以使用 Microsoft Entra 使用者身分識別,登入獲得授權的 SAP 和非 SAP 應用程式。
下列圖表說明本教學課程中使用的範例拓撲: 在此拓撲中,背景工作角色會以 SuccessFactors 表示,且需要在 Microsoft Entra、SAP ECC 和 SAP 雲端應用程式中擁有 Windows Server Active Directory (Windows Server AD) 網域中的帳戶。 本教學課程說明具有 Windows Server AD 網域的組織。 不過,本教學課程不需要 Windows Server AD。
本教學課程著重於代表員工和其他背景工作角色的使用者身分識別生命週期。 來賓的身分識別生命週期和角色指派、要求和檢閱的存取生命週期不在本教學課程的範圍內。
計劃與 SAP 來源和目標整合
在本章節中,您會定義組織中應用程式的身分識別和存取需求。 本章節重點說明與 SAP 應用程式整合所需的重要決策。 針對非 SAP 應用程式,您也可以 定義組織原則,以控管這些應用程式的存取。
如果您一直使用 SAP IDM,則可以將身分識別管理案例從 SAP IDM 遷移至 Microsoft Entra。 如需詳細資訊,請參閱將身分識別管理案例從 SAP IDM 遷移至 Microsoft Entra。
決定應用程式上線的順序,以及應用程式如何與 Microsoft Entra 整合
也許您的組織已經將一些應用程式與 Microsoft Entra 整合,以取得可用整合案例的子集。 例如,您可能已將 SAP 雲端識別服務與 Microsoft Entra for SSO 整合,以取得條件式存取的優點,但您仍依賴手動佈建和取消佈建。 或者,組織中可能有 SAP ECC 之類的應用程式,但尚未與 Microsoft Entra 整合。
建立要與 Microsoft Entra for SSO 和佈建整合之應用程式的優先順序。 組織通常會從支援新式通訊協定的軟體即服務 (SaaS) 應用程式開始整合。 針對 SAP 應用程式,建議讓 SAP 雲端應用程式的組織開始與 SSO 整合,並將與 SAP 雲端識別服務的整合佈建為中介軟體。 在這裡,使用者佈建和 SSO 與 Microsoft Entra 整合可讓多個 SAP 應用程式受益。
確認每個應用程式與 Microsoft Entra 整合的方式。 如果您的應用程式被列為其中一個 SAP 雲端識別服務佈建目標系統,例如 SAP S/4HANA,您可以使用 SAP 雲端識別服務作為中介軟體,將 SSO 和佈建從 Microsoft Entra 橋接至應用程式。 如果您的應用程式是 SAP ECC,您可以直接整合 Microsoft Entra 與 SAP NetWeaver for SSO 和 SAP ECC 的商務應用程式開發介面 (BAPIs) 以進行佈建。
針對非 SAP 應用程式,請遵循 整合應用程式與 Microsoft Entra ID 中的指示,判斷每個應用程式的 SSO 和佈建支援的整合技術。
收集每個應用程式提供的角色和權限。 某些應用程式只有單一角色。 例如,SAP 雲端識別服務只有一個角色,也就是可供指派的使用者。 SAP 雲端識別服務可以從 Microsoft Entra ID 讀取群組,以用於應用程式指派。 其他應用程式可能會有多個角色需透過 Microsoft Entra ID 來管理。 這些應用程式角色通常會對具有該角色的使用者在應用程式內擁有的存取權施加廣泛的限制。
其他應用程式也可能依賴群組成員或宣告來進行更精細的角色檢查。 您可以在佈建或使用同盟 SSO 通訊協定所發出的宣告中,從 Microsoft Entra ID 提供給每個應用程式。 也可以寫入 Active Directory 作為安全性群組成員資格。
注意
如果您使用 Microsoft Entra 應用程式庫中支援佈建的應用程式,則 Microsoft Entra ID 可能會在應用程式中匯入已定義的角色,並在設定佈建之後,以應用程式的角色自動更新應用程式資訊清單。
選取哪些角色和群組具有要在 Microsoft Entra ID 中控管的成員資格。 根據合規性和風險管理需求,組織通常會優先處理提供特殊權限存取權或敏感性資訊存取權的應用程式角色或群組。 雖然本教學課程不包含設定存取指派的步驟,但您可能需要識別與確保所有成員都佈建至應用程式相關的角色和群組。
使用存取應用程式的使用者必要條件和其他條件約束來定義組織的原則
在本節中,您將決定預計要用來判定每個應用程式存取權的組織原則。
識別是否有必要條件需求或標準,即使用者為了獲得應用程式的存取權所須符合的需求或標準。 具有合規性需求或風險管理計劃的組織會有敏感性或業務關鍵性應用程式。 也許與 Microsoft Entra ID 整合之前,您已經記錄了誰能夠存取這些應用程式的存取原則。 如果沒有,您可能需要諮詢合規性和風險管理小組等項目利害關係人。 您必須確定用來自動執行存取決策的原則適用於您的案例。
例如,在正常情況下,只有全職員工、特定部門或成本中心的員工,會在預設情況下存取特定部門的應用程式。 如果您在 Microsoft Entra ID 控管中使用 Microsoft Entra 權利管理,您可以選擇為要求存取權的其他部門的使用者設定權利管理原則,讓這些使用者可以透過例外狀況取得存取權。
在某些組織中,員工存取的要求可能有兩個核准階段。 第一個階段是經過要求使用者的經理。 第二個階經過要求其中一個負責應用程式資料的資源擁有者。
決定使用者在通過存取核准後應具有多久的存取權,及該存取權何時應失效。 對於許多應用程式,使用者可能會無限期地保留存取權,直到他們與組織已無關聯為止。 在某些情況下,存取權可能會繫結至特定專案或里程碑,因此在專案結束後,存取權將自動移除。 或者,如果只有少數使用者透過原則使用應用程式,您可以透過該原則設定成每季或每年檢閱每個人的存取權,以便定期監督。 這些案例需要 Microsoft Entra ID 控管。
如果您的組織已經使用組織角色模型來管理存取權,請計劃將該組織角色模型帶入 Microsoft Entra ID。 您可能擁有組織角色模型定義,根據使用者的屬性指派存取權,例如其職位或部門。 這些程序可確保使用者最終會在不再需要存取時失去存取權,即使沒有預先決定的專案結束日期亦然。
如果您已經有組織角色定義,您可以遷移組織角色定義至 Microsoft Entra ID 控管。
詢問是否有基於職責區分條件的約束。 本教學課程著重於身分識別生命週期,為使用者提供應用程式的基本存取權。 不過,當您計劃應用程式上線時,您可以根據要強制執行的職責區分條件來識別約束。
例如,假設有一個應用程式具有兩個應用程式角色:西部銷售和東部銷售。 您想要確保使用者一次只有一個銷售領域的角色。 請包括一份清單,列出與應用程式不相容的應用程式角色。 然後,如果使用者有一個角色,則不允許他們要求第二個角色。 Microsoft Entra 權利管理不相容設定可以強制執行這些條件約束。
選取適當的條件式存取原則,以存取每個應用程式。 建議您分析您的應用程式,並將其組織為應用程式集合,各應用程式組別對於相同的使用者具備相同的資源需求。
第一次整合同盟 SSO 應用程式與 Microsoft Entra ID 時,您可能需要建立新的條件式存取原則來表示條件約束。 您可能需要針對該應用程式和後續應用程式強制執行多重要素驗證 (MFA) 或位置型存取的需求。 您也可以在條件式存取中設定使用者必須同意 使用規定。
如需如何定義條件式存取原則的詳細資訊,請參閱規劃條件式存取部署。
決定應如何處理準則的例外狀況。 例如,應用程式通常僅適用於指定的員工,但稽核者或廠商可能需要特定專案的暫時存取權。 或者,出差的員工可能需要從通常會遭到封鎖的位置 (因為您的組織在該處沒有據點) 存取。
在這些情況下,如果您擁有 Microsoft Entra ID 控管,您也可以選擇使用具有不同階段、不同時間限制,或不同核准者的權利管理原則來進行核准。 在您 Microsoft Entra 租用戶中以來賓使用者身分登入的廠商可能沒有管理員身分。 而其組織的贊助者、資源擁有者或安全性人員可以核准其存取要求。
決定佈建和驗證拓撲
現在,您已決定應用程式與 Microsoft Entra 整合以進行使用者佈建和 SSO,請根據記錄來源授權系統的資料,決定使用者身分識別及其屬性提供給這些應用程式的資料流程。
選取每個身分識別及其屬性的授權來源。 本教學課程假設 SuccessFactors 是記錄來源的權威系統,供使用者存取 SAP 應用程式所需。 設定從 SuccessFactors 到 Microsoft Entra ID 且由雲端 HR 驅動的使用者佈建,需要涵蓋不同層面的規劃。 這些因素包括判斷比對識別碼和定義屬性對應、屬性轉換和範圍篩選。
如需這些主題的完整指導方針,請參閱雲端 HR 部署計劃。 若要了解支援的實體、處理詳細資料,以及如何自訂不同 HR 案例的整合,請參閱 SAP SuccessFactors 整合參考。 您可能也有其他身分識別用於其他身分,以及某些身分識別,例如緊急使用者帳戶或其他 IT 管理員,其具有 Microsoft Entra ID 作為其權威來源。
決定除了 Microsoft Entra ID 之外,使用者是否存在或需要佈建到 Windows Server AD 中。 您可能在 Windows Server AD 中已經有現有使用者,其對應至權威 HR 來源中的背景工作角色。 或者,您可能已設定 SAP ECC 或其他應用程式透過輕量型目錄存取通訊協定 (LDAP) 或 Kerbers 依賴 Windows Server。 在這些情況下,您會將使用者佈建到 Windows Server AD。 然後,這些使用者會同步到 Microsoft Entra ID。
設計 Microsoft Entra Connect 布建代理程式部署拓撲。 如果您使用 SuccessFactors 並擁有 Windows Server AD,則必須安裝布建代理程式,將使用者布建到這些網域。 Microsoft Entra Connect 佈建代理程式部署拓撲會視您計劃整合的雲端 HR 應用程式租用戶和 Active Directory 子網域數目而定。 如果您有多個 Active Directory 網域,則會取決於 Active Directory 網域是否為連續或不相鄰。 如需詳細資訊,請參閱 設計 Microsoft Entra Connect 布建代理程式部署拓撲。
判斷您是否將在 Windows Server AD 中使用多個容器。 如果您使用 SuccessFactors 並具有 Windows Server AD,則必須在每個網域中判斷代表背景工作角色的使用者是否組織成容器階層。 某些組織可能會建立代表單
organizationalUnit
一員工的所有使用者;其他組織可能會有多個。 如需詳細資訊,請參閱 設定 Active Directory OU 容器指派。決定是否要使用 Microsoft Entra ID 來佈建至 SAP 雲端識別服務,或使用 SAP 雲端識別服務從 Microsoft Entra ID 讀取。 如需 Microsoft Entra 佈建功能的詳細資訊,請參閱 使用 Microsoft Entra ID 將使用者佈建和取消佈建至 SAP 雲端識別服務。 SAP 雲端識別服務也有自己的個別連接器,可從 Microsoft entra ID 讀取使用者和群組。 如需詳細資訊,請參閱 SAP 雲端識別服務 - 身分識別佈建 - 以 Microsoft Entra ID 作為來源系統。
決定是否需要將使用者佈建到 SAP ECC。 您可以將使用者從 Microsoft Entra ID 佈建到 SAP ECC (先前稱為 SAP R/3) NetWeaver 7.0 或更新版本。 如果您使用其他版本的 SAP R/3,您仍然可以使用 Connectors for Microsoft Identity Manager 2016 中提供的指南,下載作為建置您自己的範本以進行佈建的參考。
在設定 Microsoft Entra ID 之前,請確定組織符合必要條件
開始佈建來自 Microsoft Entra ID 的業務關鍵應用程式存取流程之前,請確定是否已適當地設定 Microsoft Entra 環境。
請確定您的Microsoft Entra ID 和 Microsoft Online Services 環境已準備好滿足應用程式的合規性需求。 合規性是Microsoft、雲端服務提供者和組織的共同責任。
請確定您的 Microsoft Entra ID 租用戶已獲得適當授權。 若要使用 Microsoft Entra ID 來自動佈建,您的租用戶必須擁有 Microsoft Entra ID P1的授權數目,因為至少有來自 HR 應用程式的背景工作角色或是已佈建的成員 (非來賓) 使用者來源。
此外,使用生命週期工作流程和其他Microsoft Entra ID 控管功能,例如佈建流程中的 Microsoft Entra 權利管理自動指派原則,您的背景工作角色需要 Microsoft Entra ID 控管授權。 這些授權是 Microsoft Entra ID 控管或 Microsoft Entra ID P2 的 Microsoft Entra ID 控管設定。
檢查 Microsoft Entra ID 是否已將其稽核記錄和其他記錄 (選擇性) 傳送至 Azure 監視器。 Azure 監視器是選擇性的,但對於治理應用程式的存取權很有用,因為 Microsoft Entra 只會在其稽核記錄中儲存最多 30 天的稽核事件。 您可以將保留稽核資料的時間超過此預設保留期限。 如需詳細資訊,請參閱 Microsoft Entra ID 將報告資料儲存多久?。
您也可以使用 Azure 監視器活頁簿,以及有關歷程記錄稽核資料的自訂查詢和報告。 您可以選取 [活頁簿],檢查 Microsoft Entra 設定,以查看其是否使用 Azure 監視器,在 Microsoft Entra 系統管理中心的 [Microsoft Entra ID] 中。 如果尚未設定此整合,而且您擁有 Azure 訂閱和至少一個安全性系統管理員,您可以設定 Microsoft Entra ID 以使用 Azure 監視器。
請確定只有授權使用者可擔任 Microsoft Entra 租用戶中具有高度特殊權限的系統管理角色。 至少為身分識別治理管理員、使用者管理員、應用程式管理員、雲端應用程式管理員和特殊權限角色管理員中的系統管理員可以變更使用者及其應用程式角色指派。 如果最近尚未檢閱這些角色的成員資格,您需要一個至少具有[特殊權限角色管理員]身分的使用者,以確保已啟動這些目錄角色的存取權檢閱。
您也應檢閱訂用中具有 Azure 角色,並保留 Azure 監視器、Logic Apps 和其他 Microsoft Entra 設定作業所需資源的使用者。
檢查您的租用戶是否有適當隔離。 如果您的組織使用 Active Directory 內部部署,且這些 Active Directory 網域已連線至 Microsoft Entra ID,則您必須確保雲端託管服務的高度特殊權限管理作業會與內部部署帳戶隔離。 請確定您已設定,以保護 Microsoft 365 雲端環境免於遭受內部部署入侵。
根據安全性最佳做法評估您的環境。 若要評估如何保護您的 Microsoft Entra ID 租用戶,請檢閱所有隔離架構的最佳做法。
記錄權杖存留期和應用程式的工作階段設定。 在本教學課程結束時,您會整合 SAP ECC 或 SAP 雲端識別服務應用程式與 Microsoft Entra for SSO。 遭到拒絕持續存取的使用者,可繼續使用同盟應用程式的時間長度,取決於應用程式自己的工作階段存留期,以及存取權杖存留期。 應用程式的工作階段存留期視應用程式本身而訂。 若要深入了解如何控制存取權杖的存留期,請參閱可設定的權杖存留期。
確認 SAP 雲端識別服務具有應用程式所需的結構描述對應
每個組織的 SAP 應用程式可能都有自己的需求,這些應用程式的使用者在布建至應用程式時會填入特定屬性。
如果您使用 SAP 雲端識別服務佈建至 SAP S/4HANA 或其他 SAP 應用程式,請確定 SAP 雲端識別服務具有對應,以透過 SAP 雲端識別服務將這些屬性從 Microsoft Entra ID 傳送至這些應用程式。 如果您未使用 SAP 雲端識別服務,請跳至下一節。
- 確定您的 SAP 雲端目錄具有 SAP 雲端應用程式所需的使用者結構描述。 在 SAP 雲端識別服務中,所設定的每個目標系統都會將提供給 SAP 雲端識別服務之身分識別的資料模型轉換新增至目標的需求。 您可能需要變更 SAP 雲端識別服務中的這些轉換,以對應至您計劃建立身分識別模型的方式,特別是如果您已設定多個目標系統。 然後,記錄 Microsoft Entra 的必要結構描述,以透過 SAP 雲端識別服務提供給 SAP 雲端應用程式。
在您的記錄來源系統中定義背景工作記錄與 entra 中Microsoft使用者之間的關聯性
應用程式所需的每個屬性都必須源自您組織中的某些來源。 某些屬性可能會有常數或從其他屬性轉換的值。 其他值可能由 Microsoft 線上服務,例如使用者的電子郵件地址。 其他屬性,例如使用者的名稱、部門或其他組織屬性,通常源自具有權威性的記錄系統。 為了確保適當的 HR 記錄會對應至 Microsoft Entra ID 中的使用者,請與您的 HR 和 IT 小組合作,以確保數據一致性,並規劃任何數據清理工作。
決定如何對應記錄來源系統中的變更,以聯結和離開事件。 如果您想要將背景工作角色聯結和離開的程式自動化,您必須將背景工作角色的狀態資訊與 entra Microsoft 中的屬性相互關聯。 如需詳細資訊,se 決定使用者帳戶狀態。
請確定您的 HR 來源具有背景工作角色架構,能夠為這些 SAP 應用程式提供所需的架構。 請確定 SAP 雲端或內部部署應用程式的每個必要屬性都不是源自 Microsoft Entra 或其他Microsoft在線服務,都可以追蹤到來源可用的屬性,例如 SuccessFactors。 如果您的來源沒有必要的結構描述,或屬性未填入一或多個將授與應用程式存取權的身分識別,或不可供 Microsoft Entra 讀取,則您必須先解決這些架構需求,才能啟用佈建。
記錄用於 Microsoft Entra ID 與記錄系統之間的相互關聯結構描述。 您可能在 Windows Server AD 或 Microsoft Entra ID 中有現有的使用者,對應至 SAP SuccessFactors 中的背景工作角色。 如果這些使用者不是由 Microsoft Entra ID 所建立,但是由某些其他程式所建立,請參閱 SAP SuccessFactors 屬性參考 和您的 Windows Server 或 Microsoft Entra 使用者結構描述,以選取使用者物件上哪些屬性包含 SAP SuccessFactors 中背景工作角色的唯一識別碼。
此屬性必須具有對應至背景工作角色的每位使用者的唯一值,以便 Microsoft Entra 輸入佈建可以判斷背景工作角色已存在哪些使用者,並避免重複建立使用者。 預設對應屬性取決於員工識別碼。 從 HR 來源匯入背景工作角色之前,您必須先確定此屬性的值,例如員工標識元,會填入 Microsoft Entra ID(僅限雲端使用者)和 Windows Server AD(適用於混合式使用者),再起始完整同步處理,且其值可唯一識別每個使用者。 如需詳細資訊,請參閱 判斷比對 屬性併 產生唯一的屬性值。
選取範圍篩選,以略過不再相關的 HR 記錄。 人力資源系統有幾年的就業數據,包括多年沒有員工的員工。 另一方面,您的IT小組可能只對目前作用中的員工、新進員工和終止記錄清單感興趣,這些記錄會在上線後通過。 若要從 IT 小組的觀點篩選出不再相關的 HR 記錄,請與您的 HR 小組合作,在可用於 Microsoft Entra 佈建範圍篩選的 HR 記錄中新增旗標。 如需詳細資訊,請參閱 定義範圍篩選。
規劃處理可能構成新用戶用戶名稱的特殊字元。 使用背景工作角色的名字和姓氏或姓氏來為使用者建立唯
userPrincipalName
一的作法是常見的做法。 在 Windows Server AD 和 Microsoft Entra ID 中userPrincipalName
,不允許強調字元,而且只允許A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~
下列字元。 請使用函式 NormalizeDiacritics 來處理重音字元,並建構適當的userPrincipalName
。規劃處理源自 HR 來源的長字串。 檢查您的 HR 數據是否有與 HR 字段相關聯的長字串值,您將用來填入Microsoft Entra ID 和 Windows Server AD 屬性。 每個Microsoft Entra ID 屬性都有最大字串長度。 如果對應至 Microsoft Entra ID 屬性的 HR 欄位中的值包含更多字元,則屬性更新可能會失敗。 一種辦法是檢查您的屬性對應,確認是否有可能截斷/更新 HR 系統中的長字串值。 如果無法採取上述做法,您可以使用如 Mid 等函式來截斷長字串,或使用如 Switch 等函式將長值對應到較短的值/縮寫。
解決強制屬性的可能空白值。 在 entra ID 或 Windows Server AD Microsoft 中建立帳戶時,必須填入 、
lastName
、CN
或UPN
等firstName
特定屬性。 如果對應至這類屬性的任何對應 HR 字段都是 Null,則使用者建立作業會失敗。 例如,如果將 ADCN
屬性對應到「顯示名稱」,並且沒有為所有使用者設定「顯示名稱」,便會發生錯誤。 一種辦法是檢查此類強制屬性的對應情況,確保在 HR 中的相應欄位有填入內容。 您也可以考慮檢查運算式對應中的 null 值。 例如,如果顯示名稱是空的,請串連名字和姓氏或姓氏,以形成顯示名稱。
確認 SAP ECC 的必要 BAPI 已可供 Microsoft Entra 使用
Microsoft Entra 佈建代理程式和一般 Web 服務連接器提供內部部署 SOAP 端點的連線,包括 SAP BAPI。
如果您未使用 SAP ECC,而且只佈建至 SAP 雲端服務,請跳至下一節。
確認佈建所需的 BAPI 已發行。 在 SAP ECC NetWeaver 7.51 中公開必要的 API,以建立、更新和刪除使用者。 檔案名稱為
Deploying SAP NetWeaver AS ABAP 7.pdf
的 適用於 Microsoft Identity Manager 2016 的連接器,會逐步解說如何公開必要的 API。記錄現有 SAP 使用者可用的結構描述。 或許您在 SAP ECC 中擁有現有的使用者,其對應至您記錄來源授權系統中的背景工作角色。 但是,如果這些使用者不是由 Microsoft Entra ID 所建立,您必須在那些使用者上填寫欄位,才能做為背景工作角色的唯一識別碼。 每個對應至背景工作角色的使用者都必須有唯一值,才能顯示此欄位。 然後,Microsoft Entra 佈建可以判斷背景工作角色已存在哪些使用者,並避免建立重複的使用者。
例如,您可能使用 SAP BAPI
BAPI_USER_GETLIST
和BAPI_USER_GETDETAIL
。BAPI_USER_GETDETAIL
所傳回的其中一個欄位應選擇為與來源相互關聯的唯一識別碼。 如果您沒有對應至來源唯一識別碼的欄位,您可能需要使用不同的唯一識別碼。 例如,如果每個 SAP 使用者的值是唯一的,而且也會出現在 Microsoft Entra ID 使用者上,您可能需要使用 SAP 欄位address.e_mail
。記錄 Microsoft Entra 的必要結構描述,以提供給 SAP BAPI。 例如,您可能使用 SAP BAPI
BAPI_USER_CREATE1
,其需要ADDRESS
、COMPANY
、DEFAULTS
、LOGONDATA
、PASSWORD
、SELF_REGISTER
和USERNAME
欄位來建立使用者。 當您設定從 Microsoft Entra ID 使用者結構描述對應至 SAP ECC 需求時,請將 Microsoft ID 使用者屬性或常數對應至每個欄位。
記錄端對端屬性流程和轉換
您已從記錄來源系統識別應用程式的結構描述需求和可用的背景工作欄位。 現在,請記錄這些欄位如何流經 Microsoft Entra 路徑,以及選擇性地將 Windows Server AD 和 SAP 雲端身分識別服務流向應用程式。
在某些情況下,應用程式所需的屬性不會直接對應至來源可用的資料值。 然後,必須先轉換值,才能將這些值提供給目標應用程式。
有數個可套用轉換的處理階段。
階段 | 考量 | 詳細資訊連結 |
---|---|---|
在記錄本身的系統中 | Microsoft Entra 身分識別生命週期管理可能不是從記錄來源系統讀取的唯一解決方案。 在將資料公開至 Microsoft Entra 之前執行資料正規化,可能有利於其他需要類似資料的解決方案。 | 請參閱記錄系統文件 |
在輸入布建流程中,從記錄系統到 Microsoft Entra 或 Windows Server AD | 您可以根據一或多個 SuccessFactors 屬性,將自訂值寫入 Windows Server AD 使用者屬性,或 Microsoft Entra ID 使用者屬性。 | 使用函式表示自訂運算式 |
當您從 Windows Server AD 同步處理至 Microsoft Entra ID 時 | 如果您已經有 Windows Server AD 中的使用者,您可能會在將使用者帶入Microsoft Entra ID 時,轉換這些使用者的屬性。 | 如何在 Entra Connect Microsoft 和 使用運算式產生器搭配 Microsoft Entra Cloud Sync |
在輸出佈建流程中,從 Microsoft Entra ID 到 SAP 雲端識別服務、SAP ECC 或其他非 SAP 應用程式 | 當您設定佈建至應用程式時,您可以指定的其中一種屬性對應類型是表達式,Microsoft Entra ID 中的一或多個屬性對應至目標中的屬性。 | 使用函式表示自訂運算式 |
在輸出同盟 SSO 中 | 根據預設,Microsoft 身分識別平台會將 SAML 權杖核發給應用程式,該權杖包含宣告,其中具有使用者的使用者名稱 (亦稱為使用者主體名稱) 值,可唯一識別該使用者。 SAML 權杖也包含包含使用者電子郵件地址或顯示名稱的其他宣告,而且您可以使用宣告轉換函式。 | 自訂 SAML 權杖宣告和客戶 JSON Web 權杖宣告 |
在 SAP 雲端識別服務中 | 在 SAP 雲端識別服務中,所設定的每個目標系統都會將提供給 SAP 雲端識別服務之身分識別的資料模型轉換新增至目標的需求。 您可能需要變更 SAP 雲端識別服務中的這些轉換,以對應至您計劃建立身分識別模型的方式,特別是如果您已設定多個目標系統。 如果屬性需求是連線至 SAP 雲端識別服務的一或多個 SAP 應用程式所特有,則此方法可能適用。 | SAP 雲端識別服務 - 管理轉換 |
準備發行新的驗證認證
如果您使用 Windows Server AD,請計劃為需要應用程式存取且先前沒有 Windows Server AD 使用者帳戶的背景工作角色發行 Windows Server AD 認證。 在過去,某些組織中的使用者會直接佈建到應用程式存放庫。 背景工作角色只有在需要 Microsoft Exchange 信箱或存取 Windows Server AD 整合式應用程式時,才會收到 Windows Server AD 使用者帳戶。
在此案例中,如果您要設定 Windows Server AD 的輸入佈建,Microsoft Entra 會在 Windows Server AD 中建立使用者,這兩者都是針對先前沒有 Windows Server AD 使用者帳戶和任何新背景工作角色的現有背景工作角色。 如果使用者登入 Windows 網域,建議使用者註冊 Windows Hello 企業版,以取得比密碼更強的驗證。
如果您沒有使用 Windows Server AD,請計劃為需要應用程式存取且先前沒有 Microsoft Entra ID 使用者帳戶的背景工作角色發行 Microsoft Entra ID 認證。 如果您要設定 Microsoft Entra ID 的輸入佈建,而不是先進入 Windows Server AD,Microsoft Entra 會在 Microsoft Entra 中建立使用者,這兩者都是針對先前沒有 Microsoft Entra ID 使用者帳戶和任何新背景工作角色的現有背景工作角色。
如果使用者需要密碼,您可以推出 Microsoft Entra ID 自助式密碼重設 (SSPR) 功能,讓使用者重設其密碼。 您可以從雲端 HR 應用程式佈 建 Mobile Number 屬性。 在 [行動電話號碼] 屬性處於 Microsoft Entra ID 後,您可以為使用者的帳戶啟用 SSPR。 然後在第一天使用時,新的使用者可以使用已註冊和已驗證的行動電話號碼進行驗證。 如需如何預先填入驗證連絡人資訊的詳細資訊,請參閱 SSPR 文件。
如果使用者將使用更強大的驗證,請啟用 暫時存取傳遞原則 ,讓您可以為新用戶產生暫時存取通行證。
驗證使用者已準備好 Microsoft Entra MFA。 對於透過同盟整合的業務關鍵應用程式,建議要求使用 Microsoft Entra MFA。 對於這些應用程式,原則應該要求使用者符合 MFA 需求才能使用 Microsoft Entra ID,進而允許他們登入應用程式。 某些組織也可能會依位置封鎖存取,或要求使用者從已註冊的裝置存取。
如果還沒有適當的原則包含驗證、位置、裝置和使用條款的必要條件,請將原則新增至條件式存取部署。
準備為新的背景工作角色發行臨時存取密碼。 如果您有 Microsoft Entra ID 控管,且正在設定至 Microsoft Entra ID 的輸入佈建,請計劃設定生命週期工作流程,以針對新背景工作角色發出臨時存取密碼。
規劃試驗
將 HR 商務程式和身分識別工作流程從 HR 來源整合到目標系統時,需要大量的數據驗證、數據轉換、數據清理和端對端測試,才能將解決方案部署到生產環境。
先在試驗環境中執行初始設定,然後將其調整為實際執行環境中的所有使用者。
部署 Microsoft Entra 整合
在本節中,您會:
更新 Windows Server AD 使用者結構描述
如果您要將使用者佈建到 Windows Server AD,和 Microsoft Entra ID,請確定您的 Windows Server AD 環境和相關聯的 Microsoft Entra 代理程式已準備好將使用者傳送至 Windows Server AD,並以 SAP 應用程式所需的結構描述移入和移出 Windows Server AD。
如果您沒有使用 Windows Server AD,請跳至下一節。
視需要擴充 Windows Server AD 結構描述。 針對 Microsoft Entra 所需的每個使用者屬性,以及不屬於 Windows Server AD 使用者結構描述的應用程式,您需要選取內建的 Windows Server AD 使用者擴充屬性。 或者,您需要擴充 Windows Server AD 結構描述,讓 Windows Server AD 保留該屬性的放置。 此需求也包含用於自動化的屬性,例如背景工作角色的加入日期和離開日期。
例如,某些組織可能會使用屬性
extensionAttribute1
和extensionAttribute2
來保存這些內容。 如果您選擇使用內建擴充屬性,請確定這些屬性尚未由 Windows Server AD 的任何其他 LDAP 型應用程式使用,或由 Microsoft Entra ID 整合的應用程式使用。 其他組織會建立具有其需求特定名稱的新 Windows Server AD 屬性,例如contosoWorkerId
。請確認任何現有的 Windows Server AD 使用者都有與 HR 來源相互關聯的必要屬性。 或許您在 Windows Server AD 中有對應至背景工作角色的現有使用者。 這些使用者必須具有屬性,其值是唯一的,且對應至這些背景工作角色記錄來源授權系統中的屬性。
例如,某些組織會使用屬性,如 Windows Server AD 中的
employeeId
。 如果有沒有該屬性的使用者,則後續整合期間可能不會考慮這些使用者。 然後自動佈建會導致在 Windows Server AD 中重複建立使用者。 當使用者離開時,不會更新或移除原始使用者。 您可以使用:- 已加入網域之電腦上的 PowerShell 管線,使用命令
Get-ADUser
以 取得 Active Directory 容器中的所有使用者。 where-object
命令,可篩選至具有類似{$_.employeeId -eq $null}
篩選之遺漏屬性的使用者。export-csv
命令,將產生的用戶匯出至 CSV 檔案。
請確定沒有任何使用者與遺失該屬性的背景工作角色對應。 如果有的話,您必須先編輯 Windows Server AD 中的這些使用者,才能繼續新增遺漏的屬性。
- 已加入網域之電腦上的 PowerShell 管線,使用命令
擴充 Microsoft Entra ID 結構描述,並將 Windows Server AD 架結構描述的對應設定為 Microsoft Entra ID 使用者結構描述。 如果您使用 Microsoft Entra Connect Sync,請執行 Microsoft Entra Connect Sync:目錄延伸模組 ,以使用屬性擴充 Microsoft Entra ID 使用者結構描述。 設定 Windows Server AD 屬性與這些屬性的 Microsoft Entra Connect Sync 對應。
如果您使用 Microsoft Entra Connect Sync,請執行 Microsoft Entra Connect Sync:目錄延伸模組和自訂屬性對應中的步驟 ,以使用屬性擴充 Microsoft Entra ID 使用者結構描述和其他必要屬性。 設定 Windows Server AD 屬性與這些屬性的 Microsoft Entra Cloud Sync 對應。 請確定您正在同步處理生命週期工作流程所需的屬性。
等待從 Windows Server AD 同步處理至 Microsoft Entra ID 完成。 如果您變更對應以從 Windows Server AD 佈建更多屬性,請等到使用者從 Windows Server AD 變更為 Microsoft Entra ID,讓使用者的 Microsoft Entra ID 表示法具有 Windows Server AD 的完整屬性集。
如果您使用 Microsoft Entra 雲端同步,您可以透過擷取代表 Microsoft Entra 雲端同步的服務主體同步處理作業,以監視同步處理狀態的
steadyStateLastAchievedTime
屬性。如果您沒有服務主體識別碼,請參閱 檢視同步處理架構。在 Windows Server AD 中建立任何必要的容器。 如果您要將使用者布建到網域中的組織單位,請在啟用布建代理程式之前,先確定這些
organizationalUnit
容器存在。
更新 Microsoft Entra ID 使用者結構描述
如果您使用 Windows Server AD,則已經擴充 Microsoft Entra ID 使用者結構描述,作為設定 Windows Server AD 對應一部分。 如果已完成此步驟,請跳至下一節。
如果您沒有使用 Windows Server AD,請遵循本節中的步驟來擴充 Microsoft Entra ID 使用者結構描述。
建立應用程式來保存 Microsoft Entra 結構描述延伸模組。 對於沒有從 Windows Server AD 同步處理的租用戶,結構描述延伸模組必須是新應用程式的一部分。 如果您尚未這麼做,請建立應用程式來代表結構描述延伸模組。 不會有任何使用者指派至該應用程式。
識別屬性以便與記錄系統相互關聯。 或許您在 Microsoft Entra ID 中有對應至背景工作角色的現有使用者。 則這些使用者必須具有屬性,其值是唯一的,且對應至這些背景工作角色記錄來源授權系統中的屬性。
例如,某些組織會擴充其 Microsoft Entra ID 使用者結構描述,使其具有新的屬性以供此用途使用。 如果您尚未針對該目的建立屬性,請在下一個步驟中包含該屬性。
擴充 Microsoft Entra ID 使用者結構描述用於新屬性。 針對尚未屬於 Microsoft Entra ID 使用者結構描述之 SAP 應用程式所需的每個屬性,建立目錄結構描述延伸模組。 這些屬性提供一種讓 Microsoft Entra 儲存更多使用者相關資料的方式。 您可以藉由建立擴充屬性來擴充結構描述。
確定 Microsoft Entra 識別碼中的使用者可以與 HR 來源中的背景工作記錄相互關聯
或許您在 Microsoft Entra ID 中有對應至背景工作角色的現有使用者。 則這些使用者必須具有屬性,其值是唯一的,且對應至這些背景工作角色記錄來源授權系統中的屬性。
例如,某些組織會可能擴充其 Microsoft Entra ID 使用者結構描述,使其具有新的屬性以供此用途使用。 如果有沒有該屬性的使用者,則後續整合期間可能不會考慮這些使用者。 然後自動佈建會導致在 Windows Server AD 中的使用者被重複建立。 當使用者離開時,不會更新或移除原始使用者。
從 Microsoft Entra ID 擷取使用者。 請確認 Microsoft Entra ID 中的任何使用者都已擁有代表背景工作角色的屬性,以便相互關聯。 一般而言,Microsoft Entra ID 中的少數使用者不會對應至您記錄來源授權系統中的員工。 這些使用者包括緊急系統管理存取的緊急帳戶、IT 廠商的帳戶,以及商務來賓的帳戶。 其餘的使用者必須已經擁有唯一值的屬性,才能用於相互關聯。
如果部分使用者沒有相互關聯,則更新和取消佈建可能會遺失。 Microsoft Entra 甚至可能會重複建立使用者。 例如,如果需求是所有成員使用者 (除了緊急帳戶) 都有
employeeid
屬性,您可以使用類似下列腳本的 PowerShell 命令管道來識別這些使用者:$u = get-mguser -all -property id,displayname,userprincipalname,usertype,employeeid | Where-Object {$_.UserType -ne 'Guest' -and $_.EmployeeId -eq $null}
設定身分識別控管功能的必要條件
如果您識別出 Microsoft Entra ID 控管功能的需求,例如 Microsoft Entra 權利管理或Microsoft Entra 生命週期工作流程,請先部署這些功能,再將背景工作角色作為使用者帶入Microsoft Entra ID。
視需要上傳使用規定文件。 如果要求使用者必須先接受使用規定才能存取應用程式,請建立並上傳使用規定文件,使其可包含在條件式存取原則中。
是需要建立類別目錄。 根據預設,當系統管理員第一次與 Microsoft Entra 權利管理互動時,系統會自動建立預設目錄。 但是,受控管應用程式的存取套件應位於指定的目錄中。 若要在 Microsoft Entra 系統管理中心建立目錄,請遵循建立目錄一節中的步驟。
若要使用 PowerShell 建立目錄,請遵循驗證 Microsoft Entra ID 和建立目錄一節中的步驟。
建立加入工作流程。 如果正在設定至 Microsoft Entra ID 的輸入佈建,請設定生命週期工作流程,使用加入工作流程以針對新背景工作角色發出臨時存取密碼。
建立離開人員工作流程,其會封鎖登入。在 Microsoft Entra 生命週期工作流程中,使用封鎖使用者登入的工作來設定離開人員工作流程。 此工作流程可以視需要執行。 如果您未設定來自記錄來源的輸入佈建,以阻止背景工作人員在排定的休假日期之後登入,請設定一個離開人員工作流程,以在這些背景工作人員的排程休假日期上執行。
建立離開人員工作流程以刪除使用者帳戶。 或者,使用工作設定離開人員工作流程以刪除使用者。 排程此工作流程,在背景工作角色離開日期一段時間之後執行,例如 30 或 90 天。
將 Microsoft Entra ID 中的使用者連線到 HR 來源的背景工作角色記錄
本節說明如何將 Microsoft Entra ID 與 SAP SuccessFactors 整合為 HR 來源系統記錄。
使用服務帳戶設定記錄系統,並授與 Microsoft Entra ID 適當權限。 如果您使用 SAP SuccessFactors,請遵循整合 SuccessFactors 設定一節中的步驟。
設定從記錄系統到 Windows Server AD 或Microsoft Entra ID 的輸入對應。 如果您使用 SAP SuccessFactors 並將使用者佈建到 Windows Server AD 和 Microsoft Entra ID,請遵循 設定從 SuccessFactors 到 Active Directory 的使用者佈建一節中的步驟。
如果您使用 SAP SuccessFactors 並沒有將使用者佈建到 Windows Server AD,請遵循設定從 SuccessFactors 到 Microsoft Entra ID 的使用者佈建一節中的步驟。
當您設定對應時,請確定您已使用此屬性對應物件進行設定,以便用於 Windows Server AD 屬性或 Microsoft Entra ID 使用者屬性的相互關聯。 同時設定背景工作角色加入和離開日期所需的屬性對應,以及源自 HR 來源之目的地應用程式所需的所有屬性。
從記錄系統執行初始輸入佈建。 如果您使用 SAP SuccessFactors 並將使用者佈建到 Windows Server AD 和 Microsoft Entra ID,請遵循啟用和啟動佈建一節中的步驟。 如果您使用 SAP SuccessFactors 並沒有將使用者佈建到 Windows Server AD,請遵循啟用和啟動佈建一節中的步驟。 對於大型雲端 HR 應用程式租使用者(>30,000 位使用者),請以漸進式階段執行初始迴圈,如規劃初始週期中所述。
等候記錄系統的初始同步處理完成。 如果您要從 SAP SuccessFactors 同步至 Windows Server AD 或 Microsoft Entra ID,在初始同步至目錄完成之後,Microsoft Entra 會在 Microsoft Entra 系統管理中心的 [佈建] 索引標籤上更新稽核摘要報告。
如果您要佈建到 Windows Server AD 中,請等候在 Windows Server AD 中建立的新使用者,或 Windows Server AD 中更新的使用者,從 Windows Server AD 同步處理至 Microsoft Entra ID。 等候 Windows Server AD 中的使用者變更進入 Microsoft Entra ID,讓使用者的 Microsoft Entra ID 表示法具有 Windows Server AD 的完整使用者集及其屬性。
如果您使用 Microsoft Entra 雲端同步,您可以透過擷取代表 Microsoft Entra 雲端同步的服務主體同步處理作業,以監視同步處理狀態的
steadyStateLastAchievedTime
狀態。如果您沒有服務主體識別碼,請參閱 檢視同步處理架構。確定使用者已佈建到 Microsoft Entra ID 中。 此時,使用者應該出現在 Microsoft Entra ID 中,且具有目標應用程式所需屬性。 例如,您可能需要使用者擁有
givenname
、surname
和employeeID
屬性。 若要顯示具有特定屬性或遺失屬性的使用者數目,您可以使用類似下列指令碼的 PowerShell 命令:$u = get-mguser -all -property id,displayname,userprincipalname,usertype,givenname,surname,employeeid $u2 = $u | where-object {$_.usertype -ne 'Guest' -and $_.employeeid -ne $null} $u2c = $u2.Count write-output "member users with employeeID attribute: $u2c" $u3 = $u| Where-Object {$_.UserType -ne 'Guest' -and ($_.EmployeeId -eq $null -or $_.GivenName -eq $null -or $_.Surname -eq $null)} $u3c = $u3.Count write-output "member users missing employeeID, givenname or surname attributes: $u3c"
請確定 Microsoft Entra ID 中沒有未預期的不相關帳戶。 一般而言,Microsoft Entra ID 中的少數使用者不會對應至您記錄來源授權系統中的員工。 其中包括緊急系統管理存取的緊急帳戶、IT 廠商的帳戶,以及商務來賓的帳戶。
不過,它們也可能是 Microsoft Entra 中的孤立帳戶,其與目前背景工作角色的帳戶類似,但未與背景工作記錄同步處理。 孤立帳戶可能來自不再是人力資源系統中的前員工產生。 也可能來自比對錯誤。 或者,可能來自資料品質的問題,例如變更其名稱或重新擷取的人員。
測試記錄流程上游系統中的聯結、更新及離開活動,以Microsoft Entra。 如需詳細資訊,請參閱 計劃測試。
佈建這些使用者及其應用程式的存取權限,讓他們能夠登入這些應用程式
現在使用者已存在於 Microsoft Entra ID 中,接下來幾節會將使用者佈建至目標應用程式。
將使用者佈建至 SAP 雲端識別服務務
本節中的步驟會設定從 Microsoft Entra ID 到 SAP 雲端識別服務的佈建。 根據預設,將 Microsoft Entra ID 設定為自動佈建和取消佈建使用者至 SAP 雲端識別服務。 然後,這些使用者可以向 SAP 雲端識別服務進行驗證,並存取與 SAP 雲端識別服務整合的其他 SAP 工作負載。 SAP 雲端識別服務支援從本機身分識別目錄佈建至其他 SAP 應用程式作為目標系統。
或者,您可以將 SAP 雲端識別服務設定為從 Microsoft Entra ID 讀取。 如果您使用 SAP 雲端識別服務從 Microsoft Entra ID 讀取使用者和選擇性群組,請遵循 SAP 指引,了解如何設定 SAP 雲端識別服務。 接著,移至下一節。
如果您未使用 SAP 雲端識別服務,請跳至下一節。
請確定您有 SAP Cloud Identity Services 租使用者,其中包含具有系統管理員許可權的 SAP Cloud Identity Services 中的用戶帳戶。
SAP 雲端識別服務 - 身分識別佈建服務。 登入您的 SAP 雲端識別服務管理控制台,並遵循 設定 SAP 雲端識別服務進行佈建一節中的步驟。
從資源庫新增 SAP 雲端識別服務,並將自動使用者佈建設定至 SAP 雲端識別服務。 遵循章節中的下列步驟,從資源庫新增 SAP 雲端識別服務,並將自動使用者佈建設定至 SAP 雲端識別服務。
從 Microsoft Entra ID 將測試使用者佈建到 SAP 雲端識別服務。 遵循將新的測試使用者從 Microsoft Entra ID 佈建至 SAP 雲端識別服務一節中的步驟,驗證佈建整合是否已就緒。
確定 Microsoft Entra 和 SAP 雲端識別服務中的現有使用者都可以相互關聯。 若要比較 Microsoft Entra 識別符中的使用者與 SAP 雲端識別服務中已有的使用者,請遵循下列各節中的步驟:
將 SAP 雲端識別服務的現有使用者指派給 Microsoft Entra ID 中的應用程式。 請遵循本章節中的步驟,將使用者指派給 Microsoft Entra ID 中 SAP 雲端識別服務應用程。 在這些步驟中,您應該:
- 解決任何佈建問題,讓佈建不會遭到隔離。
- 檢查 SAP 雲端識別服務中的使用者,且尚未在 Microsoft Entra ID 指派給應用程式。
- 指派剩餘的使用者。
- 監視初始同步處理。
等待從 Microsoft Entra ID 將同步至 SAP 雲端識別服務。 等到已指派給應用程式的所有使用者都佈建為止。 初始週期需要 20 分鐘到數小時。 時間取決於 Microsoft Entra 目錄的大小,以及佈建範圍中的使用者人數。 您可以透過擷取代表 SAP 雲端識別服務的服務主體同步處理作業,以監視同步處理狀態的
steadyStateLastAchievedTime
屬性。檢查佈建錯誤。 透過 Microsoft Entra 系統管理中心或 Graph API 檢查佈建記錄。 將記錄篩選為失敗狀態。
如果出現錯誤碼
DuplicateTargetEntries
的故障,則此代碼表示佈建對應規則模棱兩可。 若要確保每個 Microsoft Entra 使用者都對應至一個應用程式使用者,您必須更新 Microsoft Entra 使用者或用於比對的對應。 然後將記錄篩選為建立動作和已略過狀態。如果已略過使用者,
SkipReason
且代碼為*NotEffectivelyEntitled
,此記錄事件可能表示因為使用者帳戶狀態為已停用,導致未比對 Microsoft Entra ID 中的使用者帳戶。比較 SAP 雲端識別服務中的使用者與 Microsoft Entra ID 中的使用者。 重複確定現有 SAP 雲端識別服務務使用者具有必要的相符屬性一節中的步驟, 從 SAP 雲端識別服務重新匯出使用者。 然後,檢查匯出的使用者是否具有 SAP 應用程式的必要屬性。 您可以使用 PowerShell
where-object
命令,將使用者清單篩選為只有遺漏屬性的使用者,篩選條件看起來像{$_.employeeId -eq $null}
。從 Microsoft Entra 設定同盟 SSO 到 SAP 雲端識別服務。 為 SAP 雲端識別服務啟用 SAML 型 SSO。 請遵循 SAP 雲端識別服務單一登錄教學課程中提供的指示。
將應用程式 Web 端點納入適當條件式存取原則的範圍內。 或許您有針對另一個應用程式建立的現有條件式存取原則,但受限於相同的治理需求。 則您可以更新該原則,使其也適用於此應用程式,以避免擁有大量原則。
更新之後,請確認預期的原則已套用。 您可以使用條件式存取 What If 工具,查看哪些原則適用於使用者。
驗證測試使用者可以連線到 SAP 應用程式。 您也可以使用 Microsoft[我的應用程式],以任何 SSO 測試應用程式。 請確定已將測試使用者指派給 SAP 雲端識別服務應用程式,並從 Microsoft Entra ID 佈建至 SAP 雲端識別服務。 然後,以該使用者身分登入 Microsoft Entra,然後移至
myapps.microsoft.com
。當您在 我的應用程式 中選取 [SAP Cloud Identity Services] 圖格時,如果您已設定服務提供者 (SP) 模式的整合,系統會將您重新導向至應用程式登入頁面以起始登入流程。 如果您已在識別提供者 (IDP) 模式中設定,則會自動登入您已設定 SSO 的 SAP 雲端身分識別服務。
將使用者佈建至 SAP ECC
現在,您已擁有 Microsoft Entra ID 中的使用者,您可以將使用者佈建到 SAP 內部部署。
如果您不使用 SAP ECC,請跳至下一節。
設定佈建。 請遵循設定 Microsoft Entra ID 中的指示,將使用者佈建至具有 NetWeaver AS ABAP 7.0 或更新版本的 SAP ECC。
等待同步處理從 Microsoft Entra ID 同步至 SAP ECC。 等到已指派給 SAP ECC 應用程式的所有使用者都佈建為止。 初始週期需要 20 分鐘到數小時。 時間取決於 Microsoft Entra 目錄的大小,以及佈建範圍中的使用者人數。 您可以透過擷取服務主體同步處理作業,以監視同步處理狀態的
steadyStateLastAchievedTime
屬性。檢查佈建錯誤。 透過 Microsoft Entra 系統管理中心或 Graph API 檢查佈建記錄。 將記錄篩選為失敗狀態。
如果出現錯誤碼
DuplicateTargetEntries
的故障,則此記錄事件表示佈建對應規則模棱兩可。 您必須更新 Microsoft Entra 使用者或用於比對的對應,以確保每個 Microsoft Entra 使用者都對應至一個應用程式使用者。 然後將記錄篩選為建立動作和已略過狀態。如果已略過使用者,
SkipReason
代碼為NotEffectivelyEntitled
,此代碼可能表示因為使用者帳戶狀態為已停用,導致未比對 Microsoft Entra ID 中的使用者帳戶。比較 SAP ECC 中的使用者與 Microsoft Entra ID 中的使用者。 在託管佈建代理程式以佈建至 SAP ECC 的 Windows Server 上,重新啟動
Microsoft ECMA2Host
Windows 服務。 服務重新啟動時,它會從 SAP ECC 執行使用者的完整匯入。從 Microsoft Entra 設定同盟 SSO 到 SAP。 啟用 SAP 應用程式的 SAML 型 SSO。 如果您使用 SAP NetWeaver,請遵循 SAP NetWeaver SSO 教學課程中提供的指示。
將應用程式 Web 端點納入適當條件式存取原則的範圍內。 或許您有針對另一個應用程式建立的現有條件式存取原則,但受限於相同的治理需求。 則您可以更新該原則,使其也適用於此應用程式,以避免擁有大量原則。
更新之後,請確認預期的原則已套用。 您可以使用條件式存取 What If 工具,查看哪些原則適用於使用者。
驗證測試使用者是否可以佈建並登入 SAP NetWeaver。 請遵循測試 SSO 一節中的指示,確保使用者可以在設定條件式存取之後登入。
將佈建設定為 SuccessFactors 和其他應用程式
您可以將 Microsoft Entra 設定為將特定屬性從 Microsoft Entra ID 寫入 SAP SuccessFactors Employee Central,包括工作電子郵件。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中設定 SAP SuccessFactors 回寫。
Microsoft Entra 也可以佈建到許多其他應用程式,包括那些使用標準的應用程式,例如 OpenID Connect、SAML、SCIM、SQL、LDAP、SOAP 和 REST。 如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID。
在 Microsoft Entra 中指派具有必要應用程式存取權限的使用者
除非您設定的租用戶是專為 SAP 應用程式存取而特別設定的完全隔離租用戶,否則租使用者中的每個人都不需要存取 SAP 應用程式。 租使用者中的 SAP 應用程式會設定為只將具有應用程式角色指派的使用者佈建至應用程式,而且可以從 Microsoft Entra ID 登入該應用程式。
當指派給應用程式的使用者在 Microsoft Entra ID 中更新時,這些變更會自動佈建至該應用程式。
如果您有 Microsoft Entra ID 控管,您可以在 Microsoft Entra ID 中自動變更 SAP 雲端識別服務或 SAP ECC 的應用程式角色指派。 當人員加入組織、離開或變更角色時,您可以使用自動化來新增或移除指派。
檢視現有的指派。 選用,執行應用程式角色指派的一次性存取權檢閱。 當此檢閱完成時,存取權檢閱會移除不再需要的指派。
設定讓應用程式角色指派保持在最新狀態的程式。 如果您使用 Microsoft Entra 權利管理,請參閱使用 PowerShell 為具有單一角色的應用程式建立權利管理中的存取套件,以設定代表 SAP 雲端識別服務或 SAP ECC 的應用程式指派。
在該存取套件中,您可以有讓使用者在要求存取時獲指派存取權的原則。 指派可以透過系統管理員、根據規則 自動指派,或透過生命週期工作流程產生。
如果您沒有 Microsoft Entra ID 控管,您可以在 Microsoft Entra 系統管理中心將個別使用者指派給應用程式。 您可以透過 PowerShell Cmdlet New-MgServicePrincipalAppRoleAssignedTo
將個別使用者指派給應用程式。
將認證散發至新建立 Microsoft Entra 使用者或 Windows Server AD 使用者
此時,所有使用者都會出現在 Microsoft Entra ID 中,並佈建至相關的 SAP 應用程式。 在此程式中建立的任何使用者,對於先前未出現在 Windows Server AD 或 Microsoft Entra ID 中的背景工作角色,都需要新的認證。
如果 Microsoft Entra 輸入佈建是在 Windows Server AD 中建立使用者,請散發新建立使用者的 Windows Server AD 初始認證。 您可以使用 get-MgAuditLogProvisioning 命令,擷取 Microsoft Entra 與 Windows Server AD 互動的事件清單。
您可以使用
Set-ADAccountPassword
命令搭配已加入網域的計算機上的-Reset
參數,為使用者設定新的 Windows Server AD 密碼。 然後使用Set-ADUser
命令搭配-ChangePasswordAtLogon
參數,要求使用者在下一次登入時選取新的密碼。如果 Microsoft Entra 輸入佈建是在 Microsoft Entra ID 中建立使用者,請散發新建立使用者的 Microsoft Entra ID 初始認證。 您可以使用 Get-MgAuditLogDirectoryAudit 命令擷取新建立的使用者清單,搭配如
Get-MgAuditLogDirectoryAudit -Filter "category eq 'UserManagement' and activityDisplayName eq 'Add user' and result eq 'success' and activityDateTime+ge+2024-05-01" -all
參數。若要為使用者產生臨時存取密碼,您可以使用 New-MgUserAuthenticationTemporaryAccessPassMethod 和 Get-MgUserAuthenticationTemporaryAccessPassMethod 命令,如建立臨時存取密碼所示。
確認使用者都已註冊 MFA。 您可以在 PowerShell 報告已註冊 MFA 的使用者一節中執行 PowerShell 命令,以識別未註冊 MFA 的使用者。
如果有任何使用者需要暫時性原則排除項目,請建立週期性存取權檢閱。 在某些情況下,可能無法立即為每個授權使用者強制執行條件式存取原則。 例如,某些使用者可能沒有適當的已註冊裝置。 如果需要從條件式存取原則中排除一或多個使用者,並允許他們存取,請為排除於條件式存取原則外的使用者群組設定存取權檢閱。
監視身分識別流程
現在,您已使用應用程式設定輸入和輸出佈建,您可以在 Microsoft Entra 中使用自動化功能,監視從記錄授權系統持續佈建到目標應用程式。
監視輸入佈建
佈建服務所執行的所有活動都會記錄在 Microsoft Entra 佈建記錄中。 您可以在 Microsoft Entra 系統管理中心存取佈建記錄。 您可以根據使用者的名稱或識別碼,在來源系統或目標系統中搜尋佈建資料。 如需詳細資訊,請參閱佈建記錄。
監視 Windows Server AD 中的變更
如 Windows Server 審核策略建議中所述,請確定所有網域控制器上都已啟用 [使用者帳戶管理] 成功稽核事件,並收集以供分析。
監視應用程式角色指派
如果您將 Microsoft Entra ID 設定為 將稽核事件傳送至 Azure 監視器,您可以使用 Azure 監視器活頁簿來取得使用者如何接收其存取權的深入解析。
如果您使用 Microsoft Entra 權利管理,名為 [存取套件活動] 的活頁簿會顯示與特定存取套件相關的每個事件。
若要查看因為存取套件指派而未建立之應用程式的應用程式角色指派是否變更,請選取名為「應用程式角色指派活動」的活頁簿。 如果您選擇省略權利活動,則只會顯示不是由權利管理進行的應用程式角色變更。 例如,如果另一位管理員直接將使用者指派給一個應用程式角色,您就會看到一個資料列。
監視輸出佈建
針對每個使用 Microsoft Entra 的應用程式整合,您可以使用 [同步處理詳細資料] 區段來監視進度,並循著連結取得佈建活動報告。 此報告說明 Microsoft Entra 佈建服務在應用程式上執行的所有動作。 您也可以透過 Microsoft Graph API監視佈建專案。
如需如何讀取 Microsoft Entra 佈建記錄的詳細資訊,請參閱關於使用者帳戶自動佈建的報告。
監視 SSO
您可以在 Microsoft Entra 系統管理中心或透過 Microsoft Graph,在登入報表中檢視過去 30 天登入應用程式的情況。 您也可以將登入記錄傳送至 Azure 監視器,以封存登入活動長達兩年。
在 Microsoft Entra ID 控管中監視指派
如果您使用 Microsoft Entra ID 控管,您可以報告使用者如何使用 Microsoft Entra ID Governance 功能來取得存取權。 例如:
- 系統管理員或目錄擁有者可透過 Microsoft Entra 系統管理中心、Microsoft Graph 或 PowerShell 來擷取具有存取套件指派的使用者清單。
- 您也可以在 Microsoft Entra 系統管理中心中或透過 PowerShell 將稽核記錄傳送至 Azure 監視器,以及檢視存取套件變更的歷程記錄。
如需這些案例和其他身分識別治理案例的詳細資訊,請參閱如何監視,視需要調整權利管理原則和存取權。