教學課程:設定 SAP Cloud Platform Identity Authentication 以自動佈建使用者

本教學課程旨在示範將 Azure AD 設定為可對 SAP Cloud Platform Identity Authentication 自動佈建及取消佈建使用者和/或群組時,SAP Cloud Platform Identity Authentication 與 Azure Active Directory (Azure AD) 中須執行的步驟。

注意

本教學課程會說明建置在 Azure AD 使用者佈建服務之上的連接器。 如需此服務的用途、運作方式和常見問題等重要詳細資訊,請參閱使用 Azure Active Directory 對 SaaS 應用程式自動佈建和取消佈建使用者

此連接器目前為公開預覽版。 如需有關預覽功能的一般 Microsoft Azure 使用規定詳細資訊,請參閱 Microsoft Azure 預覽版增補使用規定

必要條件

本教學課程中概述的案例假設您已經具有下列必要條件:

注意

也可以在 Azure AD 美國政府雲端環境中使用此整合。 您可以在 Azure AD 美國政府雲端應用程式庫中找到此應用程式,並以與公用雲端相同的方式進行設定。

將使用者指派到 SAP Cloud Platform Identity Authentication

Azure Active Directory 使用所謂「指派」的概念,決定應該授權哪些使用者存取選取的應用程式。 在自動使用者佈建的內容中,只有已指派至 Azure AD 中應用程式的使用者和/或群組會進行同步處理。

設定並啟用自動使用者佈建之前,您應先決定 Azure AD 中的哪些使用者和/或群組需要存取 SAP Cloud Platform Identity Authentication。 一旦決定後,您可以依照此處的指示,將這些使用者和/或群組指派給 SAP Cloud Platform Identity Authentication:

將使用者指派到 SAP Cloud Platform Identity Authentication 的重要秘訣

  • 建議將單一 Azure AD 使用者指派給 SAP Cloud Platform Identity Authentication,以測試自動使用者佈建的設定。 其他使用者及/或群組可能會稍後再指派。

  • 將使用者指派給 SAP Cloud Platform Identity Authentication 時,您必須在 [指派] 對話方塊中選取任何有效的應用程式特有角色 (如果有)。 具有預設存取角色的使用者會從佈建中排除。

設定 SAP Cloud Platform Identity Authentication 以進行佈建

  1. 登入 SAP Cloud Platform Identity Authentication 管理主控台。 瀏覽至 [使用者和授權] > [管理員]。

    SAP Cloud Platform Identity Authentication 管理主控台

  2. 按下左側面板上的 [+ 新增] 按鈕,將新的管理員新增到清單中。 選擇 [新增系統],然後輸入系統的名稱。

注意

SAP Cloud Platform Identity Authentication 中的管理員使用者必須是系統類型。 建立一般管理員使用者可能會導致在佈建時出現「未經授權」的錯誤。

  1. 在設定授權底下,開啟管理使用者管理群組切換按鈕。

    SAP Cloud Platform Identity Authentication 新增 SCIM

  2. 您將會收到一封電子郵件,可啟用您的帳戶並設定 SAP Cloud Platform Identity Authentication 服務的密碼。

  3. 複製使用者識別碼密碼。 這些值會分別輸入到 Azure 入口網站中 SAP Cloud Platform Identity Authentication 應用程式 [佈建] 索引標籤中的 [管理員使用者名稱] 和 [管理員密碼] 欄位。

將 SAP Cloud Platform Identity Authentication 設定為可使用 Azure AD 自動佈建使用者之前,您必須將 SAP Cloud Platform Identity Authentication 從 Azure AD 應用程式庫新增至您的受控 SaaS 應用程式清單。

若要從 Azure AD 應用程式資源庫新增 SAP Cloud Platform Identity Authentication,請執行下列步驟:

  1. Azure 入口網站 的左方瀏覽窗格中,選取 [Azure Active Directory]。

    Azure Active Directory 按鈕

  2. 移至 [企業應用程式],然後選取 [所有應用程式]。

    企業應用程式刀鋒視窗

  3. 若要新增新的應用程式,請選取窗格頂端的 [新增應用程式] 按鈕。

    新增應用程式按鈕

  4. 在搜尋方塊中,輸入 SAP Cloud Platform Identity Authentication,在結果面板中選取 [SAP Cloud Platform Identity Authentication],然後按一下 [新增] 按鈕以新增應用程式。

    結果清單中的 SAP Cloud Platform Identity Authentication

設定 SAP Cloud Platform Identity Authentication 以自動佈建使用者

本節將引導您逐步設定 Azure AD 佈建服務,以根據 Azure AD 中的使用者和/或群組指派,在 SAP Cloud Platform Identity Authentication 中建立、更新和停用使用者和/或群組。

提示

建議您選擇為 SAP Cloud Platform Identity Authentication 啟用 SAML 型單一登入,請遵循 SAP Cloud Platform Identity Authentication 單一登入教學課程中提供的指示。 單一登入和自動使用者佈建可以分開設定,但這兩個功能是互補的

要在 Azure AD 中設定 SAP Cloud Platform Identity Authentication 以自動佈建使用者:

  1. 登入 Azure 入口網站。 選取 [企業應用程式],然後選取 [所有應用程式]。

    企業應用程式刀鋒視窗

  2. 在應用程式清單中,選取 SAP Cloud Platform Identity Authentication

    應用程式清單中的 SAP Cloud Platform Identity Authentication 連結

  3. 選取 [佈建] 索引標籤。

    [管理] 選項的螢幕擷取畫面,並已指出 [佈建] 選項。

  4. 將 [佈建模式] 設定為 [自動]。

    [佈建模式] 下拉式清單的螢幕擷取畫面,並已指出 [自動] 選項。

  5. 在 [管理員認證] 區段下的 [租用戶 URL] 中輸入 https://<tenantID>.accounts.ondemand.com/service/scim 。 輸入稍早分別在管理員使用者名稱管理員密碼中取得的使用者識別碼密碼值。 按一下 [測試連線],以確保 Azure AD 可連線到 SAP Cloud Platform Identity Authentication。 如果連線失敗,請確定您的 SAP Cloud Platform Identity Authentication 帳戶具有管理員權限並再試一次。

    租用戶 URL + 權杖

  6. 在 [通知電子郵件] 欄位中,輸入應該收到佈建錯誤通知的個人或群組電子郵件地址,然後選取 [發生失敗時傳送電子郵件通知] 核取方塊。

    通知電子郵件

  7. 按一下 [檔案] 。

  8. 在 [對應] 區段中,選取 [將 Azure Active Directory 使用者同步至 SAP Cloud Platform Identity Authentication]。

    SAP Cloud Platform Identity Authentication 使用者對應

  9. 在 [屬性對應] 區段中,檢閱從 Azure AD 同步至 SAP Cloud Platform Identity Authentication 的使用者屬性。 選取為 [比對] 屬性 (Property) 的屬性 (Attribute) 會用來比對 SAP Cloud Platform Identity Authentication 中的使用者帳戶,以進行更新作業。 選取 [儲存] 按鈕以認可所有變更。

    SAP Cloud Platform Identity Authentication 使用者屬性

  10. 若要設定範圍篩選,請參閱範圍篩選教學課程中提供的下列指示。

  11. 若要對 SAP Cloud Platform Identity Authentication 啟用 Azure AD 佈建服務,請在 [設定] 區段中,將 [佈建狀態] 變更為 [開啟]。

    佈建狀態已切換為開啟

  12. 透過在 [設定] 區段的 [範圍] 中選擇需要的值,可定義要佈建到 SAP Cloud Platform Identity Authentication 的使用者和/或群組。

    佈建範圍

  13. 當您準備好要佈建時,按一下 [儲存]。

    儲存雲端佈建設定

此作業會對在 [設定] 區段的 [範圍] 中定義的所有使用者和/或群組,啟動首次同步處理。 初始同步處理會比後續同步處理花費更多時間執行,只要 Azure AD 佈建服務正在執行,這大約每 40 分鐘便會發生一次。 您可以使用 [同步詳細資料] 區段來監視進度,並遵循連結來取得佈建活動報告;當中會描述 SAP Cloud Platform Identity Authentication 上 Azure AD 佈建服務所執行的所有動作。

如需如何讀取 Azure AD 佈建記錄的詳細資訊,請參閱關於使用者帳戶自動佈建的報告

連接器限制

  • SAP Cloud Platform Identity Authentication 的 SCIM 端點需要特定格式的某些屬性。 您可以在這裡深入了解這些屬性及其特定格式。

其他資源

後續步驟