Поделиться через


Настройка идентификатора Записи Майкрософт для подготовки пользователей в SAP ECC с помощью NetWeaver AS ABAP 7.0 или более поздней версии

В следующей документации содержатся сведения о конфигурации и руководстве по подготовке пользователей из идентификатора Microsoft Entra в компонент SAP ERP Central (SAP ECC, ранее SAP R/3) с netWeaver 7.0 или более поздней версии. Если вы используете другие версии SAP R/3, вы по-прежнему можете использовать руководства, указанные в соединителях для Microsoft Identity Manager 2016 , в качестве ссылки на создание собственного шаблона для подготовки. Если вы используете SAP S/4HANA или другие приложения SAP SaaS, следуйте инструкциям по настройке sap Cloud Identity Services для автоматической подготовки пользователей. Дополнительные сведения об интеграции SAP см. в статье об управлении доступом к приложениям SAP.

В следующем видео приведены общие сведения о локальной подготовке.

Поддерживаемые возможности

  • Создание пользователей в SAP ECC.
  • Удалите пользователей в SAP ECC, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP ECC.

Вне области

  • Другие типы объектов, включая локальные группы действий, роли и профили, не поддерживаются. Используйте Microsoft Identity Manager, если эти объекты необходимы.
  • Операции паролей не поддерживаются. Используйте Microsoft Identity Manager, если требуется управление паролями.

Предварительные требования для подготовки к SAP ECC с помощью NetWeaver AS ABAP 7.51

Предварительные требования для локальной среды

Компьютер, на котором запущен агент подготовки, должен иметь следующее:

  • По крайней мере 3 ГБ ОЗУ.
  • Windows Server 2016 или более поздней версии Windows Server.
  • Подключение к системе с помощью SAP ECC NetWeaver AS ABAP 7.51
  • Исходящее подключение к login.microsoftonline.com, другим веб-службам Майкрософт и доменам Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • .NET Framework 4.7.2.

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль администратора гибридного удостоверения для настройки агента подготовки и ролей администратора приложений или администратора облачных приложений для настройки подготовки в Центре администрирования Microsoft Entra.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к SAP ECC, должны быть заполнены любыми атрибутами, которые потребуются SAP ECC.

1. Установка и настройка агента подготовки Microsoft Entra Connect

Если вы уже скачали агент подготовки и настроили его для другого локального приложения, перейдите к следующему разделу.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Приступая к работе.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор автоматического.

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

  2. Оставьте портал и запустите установщик агента подготовки, примите условия обслуживания и выберите " Установить".

  3. Дождитесь мастера настройки агента подготовки Microsoft Entra, а затем нажмите кнопку "Далее".

  4. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".

  5. Агент подготовки будет использовать веб-браузер операционной системы для отображения всплывающего окна для проверки подлинности в идентификаторе Microsoft Entra, а также поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.

  6. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется по крайней мере роль администратора гибридных удостоверений.

  7. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать " Выйти", а также закрыть установщик пакета агента подготовки.

2. Предоставление необходимых API SAP

Предоставите необходимые API в SAP ECC NetWeaver 7.51 для создания, обновления и удаления пользователей. В документе Deploy SAP NetWeaver AS ABAP 7.51 описывается, как предоставить необходимые API.

3. Создание шаблона соединителя веб-служб

Если вы не переносите существующий соединитель веб-служб в MIM, необходимо создать шаблон соединителя веб-служб для узла ECMA. Если у вас уже есть шаблон соединителя веб-служб из MIM, перейдите к следующему разделу.

Вы можете использовать шаблон соединителя веб-службы SAP ECC 7.51 для документа ECMA2Host в качестве ссылки на сборку шаблона. Соединители для Microsoft Identity Manager 2016 также предоставляют шаблон sapecc.wsconfig в качестве ссылки. Перед развертыванием в рабочей среде необходимо настроить шаблон в соответствии с потребностями конкретной среды. Убедитесь, что имя_службы, endpointName и имя_операции правильно.

4. Настройка локального приложения ECMA

  1. На портале в разделе "Локальное подключение" выберите развернутый агент и выберите "Назначить агенты".

    Снимок экрана: выбор и назначение агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

5. Настройка сертификата узла соединителя ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши мастер настройки Microsoft ECMA2Host в меню "Пуск" и запустите от имени администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если вы впервые запустите мастер, попросите создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

6. Настройка соединителя универсальных веб-служб

В этом разделе вы создадите конфигурацию соединителя для SAP ECC.

Настройка подключения к SAP ECC выполняется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

6.1 Подключение агента подготовки к SAP ECC

Чтобы подключить агент подготовки Microsoft Entra к SAP ECC, выполните следующие действия.

  1. Скопируйте файл sapecc.wsconfig шаблона соединителя веб-службы в папку C:\Program Files\Microsoft ECMA2Host\Service\ECMA .

  2. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть 12 символов и уникальных.

  3. Если этого еще не сделано, запустите мастер настройки Microsoft ECMA2Host из меню Windows.

  4. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  5. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только один экземпляр SAP, SAPECC7
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Библиотека DLL расширения Для соединителя веб-служб выберите Microsoft.IdentityManagement.MA.WebServices.dll.
  6. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Проект веб-службы Имя шаблона SAP ECC. sapecc
    Хост Имя узла конечной точки SOAP SAP ECC SOAP, например. vhcalnplci.dummy.nodomain
    Порт Порт конечной точки SOAP SAP ECC SOAP, например. 8000
  7. На странице "Возможности" введите поля со значениями, указанными в таблице ниже, и нажмите кнопку "Далее".

    Свойство Значение
    Стиль различающегося имени Универсальный
    Тип экспорта ObjectReplace
    Нормализация данных нет
    Подтверждение объекта Обычная
    Включить импорт Флажок установлен
    Включение разностного импорта Флажок снят
    Включить экспорт Флажок установлен
    Включить полный экспорт Флажок снят
    Включение экспорта пароля в первом проходе Флажок установлен
    Нет ссылочных значений в первом проходе экспорта Флажок снят
    Включить переименование объекта Флажок снят
    Delete-Add as Replace Флажок снят

Примечание.

Если шаблон sapecc.wsconfig соединителя веб-служб открыт для редактирования в средстве настройки веб-службы, появится сообщение об ошибке.

  1. На глобальной странице заполните поля значениями, указанными в таблице, следующей за изображением, и нажмите кнопку "Далее".

    Свойство Значение
    ClientCredentialType Базовая
    User name Имя пользователя учетной записи с правами на вызовы к BAPIs, используемому в шаблоне SAP ECC.
    Пароль Пароль предоставленного имени пользователя.
    Проверить подключение Снимите флажок, если в шаблоне не реализован рабочий процесс тестового подключения
  2. На странице Секции нажмите кнопку Далее.

  3. На странице Профили запуска оставьте флажок Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее. Профиль выполнения экспорта будет использоваться, когда узел соединителя ECMA должен отправлять изменения из идентификатора Microsoft Entra в SAP ECC, для вставки, обновления и удаления записей. Профиль выполнения полного импорта будет использоваться при запуске службы узла соединителя ECMA, чтобы прочитать текущее содержимое SAP ECC.

    Свойство Значение
    Экспорт (Export) Запустите профиль, который будет экспортировать данные в экземпляр SAP ECC. Этот профиль запуска является обязательным.
    Полный импорт Запустите профиль, который импортирует все данные из экземпляра SAP ECC, указанного ранее.
    Импорт изменений Запустите профиль, который импортирует только изменения из экземпляра SAP ECC с момента последнего полного или разностного импорта.
  4. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка : значения этого атрибута должны быть уникальными для каждого объекта в целевой системе. Служба подготовки Microsoft Entra запрашивает узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение определяется в шаблоне соединителя веб-служб.

    • DN : параметр автогенерации должен быть выбран в большинстве случаев. Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Дополнительные сведения о привязках и различающихся именах см. здесь.

      Свойство Значение
      Целевой объект User
      Привязка userName
      DN userName
      Созданный автоматически Флажок установлен
  5. Узел соединителя ECMA обнаруживает атрибуты, поддерживаемые SAP ECC. Затем можно выбрать, какие из обнаруженных атрибутов вы хотите предоставить идентификатору Microsoft Entra. Эти атрибуты можно настроить в Центре администрирования Microsoft Entra для подготовки. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка. В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в SAP ECC и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

    Снимок экрана: страница выбора атрибутов

  6. На странице Отзыв в разделе Отключить потоквыберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Нажмите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

На странице отмены подготовки в разделе "Отключить поток" выберите "Нет". Вы будете контролировать состояние учетной записи пользователя с помощью свойства dateTime . В разделе "Удаление" выберите "Нет", если вы не хотите удалять пользователей SAP или Удалить, если вы делаете. Выберите Готово.

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

  4. Если вы недавно запустили службу и имеете много объектов пользователей в SAP ECC, подождите несколько минут, пока соединитель установит подключение к SAP ECC.

8. Настройка подключения приложения в Центре администрирования Microsoft Entra

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если истекло время ожидания окна, выберите агент повторно.

    1. Войдите в центр администрирования Microsoft Entra.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите Подготовка.
    4. Выберите "Начать работу", а затем измените режим на "Автоматически" в разделе "Локальное подключение", выберите развернутый агент и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.
  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SAPECC7. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменить localhost имя узла компьютера.

    Свойство Значение
    URL-адрес клиента https://localhost:8585/ecma2host_SAPECC7/scim
  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.

  4. Нажмите Проверить соединение и подождите одну минуту.

  5. После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".

    Снимок экрана, тестирование агента

9. Настройка сопоставлений атрибутов

Теперь вы будете сопоставлять атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в SAP ECC.

Вы будете использовать Центр администрирования Microsoft Entra для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra включает атрибуты, необходимые SAP ECC. Если требуется, чтобы у пользователей был атрибут, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Изменить подготовку и подождите 10 секунд.

  4. Разверните сопоставления и выберите "Подготовка пользователей Microsoft Entra". Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

    Снимок экрана: подготовка пользователя.

  5. Чтобы убедиться, что схема SAP ECC доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, а затем отмените с этой страницы, чтобы вернуться в список сопоставлений.

  6. Теперь щелкните сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки.

Снимок экрана: заполнитель.

Измените значение, соответствующее следующему:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName
  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Атрибут Microsoft Entra Атрибут ScimOnPremises Приоритет сопоставления Применять это сопоставление
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Только во время создания объекта
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Только во время создания объекта
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Всегда
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Всегда
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Всегда
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Всегда
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Всегда
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Всегда
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Всегда
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Всегда
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Всегда
  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

10. Назначение пользователей приложению

Теперь, когда у вас есть узел соединителя Microsoft Entra ECMA, который разговаривает с идентификатором Microsoft Entra и настроен сопоставление атрибутов, можно перейти к настройке, которая находится в области подготовки.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, которая имеет по крайней мере роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в SAP ECC есть существующие пользователи, необходимо создать назначения ролей приложения для существующих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что пользователь выберет все свойства, которые будут сопоставлены с необходимыми атрибутами SAP ECC.

  2. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана: пункт

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана: выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана: назначение пользователей.

11. Тестирование подготовки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. В Центре администрирования Microsoft Entra выберите корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Подготовить.

    Снимок экрана: проверка подготовки.

  6. Через несколько секунд появится сообщение Пользователь в целевой системе создан со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешной подготовки по запросу вернитесь на страницу конфигурации подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Дождитесь запуска службы подготовки до 40 минут. После завершения задания подготовки, как описано в следующем разделе, вы можете изменить состояние подготовки на "Выкл." и нажмите кнопку "Сохранить". После этого служба подготовки перестанет запускаться.

Устранение ошибок подготовки

Если отображается сообщение об ошибке, выберите команду Просмотреть журналы подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ".

Следующие шаги