Configurar o Microsoft Entra ID para provisionar usuários no SAP ECC com o NetWeaver AS ABAP 7.0 ou posterior
A documentação a seguir fornece informações de configuração e tutorial que demonstram como provisionar usuários do Microsoft Entra ID no SAP ERP Central Component (SAP ECC, antigo SAP R/3) com o NetWeaver 7.0 ou posterior. Se você estiver usando outras versões do SAP R/3, ainda poderá utilizar os guias fornecidos no download dos Connectors para Microsoft Identity Manager 2016 como referência para criar seu próprio modelo de provisionamento. Se você estiver usando o SAP S/4HANA ou outros aplicativos de SaaS SAP, siga em vez disso o tutorial para configurar os SAP Cloud Identity Services para provisionamento automático de usuário. Para obter mais informações sobre as integrações do SAP, consulte Gerenciar o acesso aos seus aplicativos SAP.
O vídeo a seguir fornece uma visão geral do provisionamento local.
Funcionalidades com suporte
- Criar usuários no SAP ECC.
- Remover usuários no SAP ECC quando eles não precisam mais de acesso.
- Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e o SAP ECC.
Fora do escopo
- Não há suporte para outros tipos de objeto, incluindo grupos de atividades locais, funções e perfis. Use o Microsoft Identity Manager se esses objetos forem necessários.
- As operações de criação não têm suporte. Use o Microsoft Identity Manager se o gerenciamento de senhas for necessário.
Pré-requisitos para provisionamento no SAP ECC com o NetWeaver AS ABAP 7.51
Pré-requisitos do local
O computador que executa o agente de provisionamento deve ter:
- Pelo menos 3 GB de RAM.
- Windows Server 2016 ou uma versão posterior.
- Conectividade com um sistema com SAP ECC NetWeaver AS ABAP 7.51
- Conectividade de saída para login.microsoftonline.com, outros Microsoft Online Services e domínios do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada na IaaS do Azure ou por trás de um proxy.
- .NET Framework 4.7.2
Requisitos de nuvem
Um locatário do Microsoft Entra com Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5).
O uso desse recurso requer licenças de P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
A função Administrador de Identidade Híbrida para configurar o agente de provisionamento e as funções Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem para configurar o provisionamento no centro de administração do Microsoft Entra.
Os usuários do Microsoft Entra a serem provisionados no SAP ECC já precisam ser preenchidos com todos os atributos que serão exigidos pelo SAP ECC.
1. Instalar e configurar o agente de provisionamento do Microsoft Entra Connect
Se você já baixou o agente de provisionamento e o configurou para outro aplicativo local, continue lendo na próxima seção.
- Entre no Centro de administração do Microsoft Entra.
- Acesse Aplicativos empresariais e selecione Novo aplicativo.
- Pesquise o aplicativo ECMA local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
- Do menu, navegue até a página de Provisionamento do seu aplicativo.
- Selecione Introdução.
- Na página Provisionamento, altere o modo para Automático.
Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos e baixar.
Saia do portal e execute o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.
Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.
Na etapa Selecionar Extensão, selecione Provisionamento de aplicativo local e, em seguida, selecione Avançar.
O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você e potencialmente se autenticar no Microsoft Entra ID e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar os sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
Forneça credencial para um administrador do Microsoft Entra quando solicitado a autorizar. O usuário deve ter, no mínimo, a função Administrador de Identidade Híbrida.
Selecione Confirmar para confirmar a configuração. Depois que a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do pacote do agente de provisionamento.
2. Expor as APIs SAP necessárias
Expor as APIs necessárias no SAP ECC com NetWeaver 7.51 para criar, atualizar e excluir usuários. O documento Implantar o SAP NetWeaver AS ABAP 7.51 explica como você pode expor as APIs necessárias.
3. Criar um modelo de conector de serviços Web
Se você não estiver migrando de um Conector de Serviços Web existente no MIM, precisará criar um modelo de conector de serviços Web para o host ECMA. Se você já tiver um modelo de conector de serviços Web do MIM, continue na próxima seção.
Você pode usar o documento Criação do modelo de conector de serviço da Web do SAP ECC 7.51 para o ECMA2Host como referência para criar seu modelo. Os Conectores do Microsoft Identity Manager 2016 também fornecem um modelo sapecc.wsconfig
como referência. Antes de implantar em produção, você precisará personalizar o modelo para atender às necessidades do seu ambiente específico. Verifique se o ServiceName, o EndpointName e o OperationName estão corretos.
4. Configurar o dispositivo ECMA local
No portal, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agente(s).
Mantenha essa janela do navegador aberta, conforme você conclui a próxima etapa de configuração usando o assistente de configuração.
5. Configurar o certificado de Host do Conector do ECMA do Microsoft Entra
No Windows Server em que o agente de provisionamento está instalado, clique com o botão direito do mouse no Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar e execute como administrador. A execução como administrador do Windows é necessária para que o assistente crie os logs de eventos do Windows necessários.
Depois que a Configuração de Host do Conector do ECMA for iniciada, se for a primeira vez que você executa o assistente, ele solicitará que você crie um certificado. Deixe a porta padrão 8585 e selecione Gerar certificado para gerar um certificado. O certificado gerado automaticamente será autoassinado como parte da raiz de confiança. O certificado SAN corresponde ao nome do host.
Selecione Salvar.
6. Configurar o conector de serviços Web genérico
Nessa seção, você criará a configuração do conector para o SAP ECC.
A configuração da conexão com o SAP ECC é feita usando um assistente. Dependendo das opções escolhidas, algumas das telas do assistente podem não estar disponíveis e as informações podem ser um pouco diferentes. Use as seguintes informações para orientações na configuração.
6.1 Conectar o agente de provisionamento ao SAP ECC
Para conectar o agente de provisionamento do Microsoft Entra ao SAP ECC, siga estas etapas:
Copie o arquivo de modelo
sapecc.wsconfig
do conector do serviço Web para a pastaC:\Program Files\Microsoft ECMA2Host\Service\ECMA
.Gere um token secreto que será usado para autenticar o Microsoft Entra ID no conector. Ele deve ter 12 caracteres mínimos e exclusivos para cada aplicativo.
Se você ainda não fez isso, inicialize o Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar.
Selecione Novo Conector.
Na página Propriedades, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.
Propriedade Valor Nome O nome escolhido para o conector, que deve ser exclusivo em todos os conectores em seu ambiente. Por exemplo, se você tiver apenas uma instância SAP, SAPECC7
.Temporizador de sincronização síncrona (minutos) 120 Token secreto Insira o token secreto gerado para esse conector. A chave deve ter no mínimo 12 caracteres. DLL de extensão Para o conector de serviços Web, selecione Microsoft.IdentityManagement.MA.WebServices.dll. Na página Conectividade, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.
Propriedade Descrição Projeto de serviços Web Seu nome de modelo SAP ECC, sapecc
.Host Nome do host do ponto de extremidade SAP ECC SOAP, por exemplo, vhcalnplci.dummy.nodomain
Porta Porta do ponto de extremidade SOAP do SAP ECC, por exemplo, 8000
Na página Funcionalidades, preencha as caixas com os valores especificados na tabela acima e selecione Avançar.
Propriedade Valor Estilo de Nome Diferenciado Genérico Tipo de Exportação ObjectReplace Normalização de Dados Nenhum Confirmação do Objeto Normal Habilitar Importação Verificado Importação delta habilitada Desmarcado Habilitar Exportação Verificado Habilitar Exportação Completa Desmarcado Habilitar Exportar Senha na Primeira Passagem Verificado Nenhum Valor de Referência na Primeira Passagem de Exportação Desmarcado Habilitar Renomeação do Objeto Desmarcado Excluir-Adicionar como Substituição Desmarcado
Observação
Se o modelo do conector de serviços Web sapecc.wsconfig
estiver aberto para edição na Ferramenta de Configuração de Serviço Web, você receberá um erro.
Na página Global, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.
Propriedade Valor ClientCredentialType Basic Nome de usuário O nome de usuário de uma conta com direitos para fazer chamadas a BAPIs usadas no modelo SAP ECC. Senha A senha do nome de usuário fornecido. Teste a conexão Desmarcado, se você não tiver nenhum fluxo de trabalho de Conexão de Teste implementado em seu modelo Na página Partições, selecione Avançar.
Na página Perfis de Execução, mantenha a caixa de seleção Exportar marcada. Marque a caixa de seleção Importação completa e selecione Avançar. O perfil de execução Exportação será usado quando o host do Conector ECMA precisar enviar alterações do Microsoft Entra ID ao SAP ECC para inserir, atualizar e excluir registros. O perfil de execução de Importação Completa será usado quando o serviço host do Conector ECMA iniciar para ler o conteúdo atual do SAP ECC.
Propriedade Valor Exportação Execute o perfil que exportará dados para a instância do SAP ECC. Esse perfil de execução é necessário. Importação completa Perfil de execução que importará todos os dados das instâncias SAP ECC especificadas anteriormente. Importação delta Perfil de execução que importará apenas as alterações da instância SAP ECC desde a última importação completa ou delta. Na página Tipos de Objeto, marque as caixas e selecione Avançar. Use a tabela abaixo da imagem para obter diretrizes sobre as caixas individuais.
Âncora: o valor deste atributo deve ser exclusivo para cada objeto no banco de dados do sistema. O serviço de provisionamento do Microsoft Entra consultará o host do conector ECMA usando esse atributo após o ciclo inicial. Esse valor é definido no modelo de conector de serviços Web.
DN: a opção Gerado automaticamente deve ser selecionada na maioria dos casos. Se não estiver selecionado, verifique se o atributo DN está mapeado para um atributo no Microsoft Entra ID que armazena o DN neste formato:
CN = anchorValue, Object = objectType
. Para obter mais informações sobre âncoras e o DN, confira Sobre atributos de âncora e nomes distintos.Propriedade Valor Objeto de destino User
Âncora userName
DN userName
Gerado automaticamente Verificado
O host do conector ECMA descobre os atributos com suporte pelo SAP ECC. Em seguida, você pode escolher quais dos atributos descobertos deseja expor ao Microsoft Entra ID. Esses atributos podem ser configurados no centro de administração do Microsoft Entra para provisionamento. Na página Selecionar Atributos, adicione todos os atributos na lista suspensa, um de cada vez. A lista de seleção Atributo mostra qualquer atributo que foi descoberto no SAP ECC e não foi escolhido na página Selecionar atributos anterior. Depois que todos os atributos relevantes forem adicionados, selecione Avançar.
Na página Desprovisionamento, em Desabilitar fluxo, selecione Excluir. Os atributos selecionados na página anterior não estarão disponíveis para seleção na página Desprovisionamento. Selecione Concluir.
Observação
Se usar o valor do atributo Set, lembre-se de que somente valores boolianos são permitidos.
Na página Desprovisionamento, em Desabilitar fluxo, selecione Nenhum. Você controlará a conta de usuário status com a propriedade expirationTime. Em Excluir fluxo, selecione Nenhum se você não quiser excluir usuários do SAP ou Excluir se desejar. Selecione Concluir.
7. Verificar se o serviço ECMA2Host está em execução
No servidor que executa o host do conector ECMA do Microsoft Entra, clique em Iniciar.
Insira run e depois services.msc na caixa.
Na lista Serviços, verifique se Microsoft ECMA2Host está presente e em execução. Caso não esteja, selecione Iniciar.
Se você iniciou o serviço recentemente e tem muitos objetos de usuário no SAP ECC, aguarde alguns minutos para que o conector estabeleça uma conexão com o SAP ECC.
8. Configurar a conexão do aplicativo Web no centro de administração do Microsoft Entra
Retorne à janela do navegador da Web em que você estava configurando o provisionamento de aplicativos.
Observação
Se a janela tiver atingido o tempo limite, você precisará selecionar novamente o agente.
- Entre no Centro de administração do Microsoft Entra.
- Acesse Aplicativos empresariais e o selecione Aplicativo ECMA local.
- Selecione Provisionamento.
- Selecione Introdução e altere o modo para Automático, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agentes. Caso contrário, acesse Editar Provisionamento.
Na seção Credenciais de administrador, insira a URL a seguir. Substitua a parte
{connectorName}
pelo nome do conector no host do conector ECMA, como SAPECC7. O nome do conector diferencia maiúsculas de minúsculas e deve ser o mesmo que foi configurado no assistente. Você também pode substituirlocalhost
pelo nome do host do computador.Propriedade Valor URL do Locatário https://localhost:8585/ecma2host_SAPECC7/scim
Insira o valor do Token Secreto que você definiu quando criou o conector.
Observação
Se você acabou de atribuir o agente para o aplicativo, aguarde 10 minutos para que o registro seja concluído. O teste de conectividade não funcionará até a conclusão do registro. Forçar a conclusão do registro do agente reiniciando o agente de provisionamento no servidor pode acelerar o processo de registro. Vá para o servidor, pesquise por serviços na barra de pesquisa do Windows, identifique o serviço Agente de provisionamento do Microsoft Entra Connect, clique com o botão direito do mouse no serviço e reinicie.
Selecione Testar Conexão e aguarde um minuto.
Depois que o teste de conexão for bem-sucedido e indicar que as credenciais fornecidas estão autorizadas para habilitar o provisionamento, selecione Salvar.
9. Configurar mapeamentos de atributos
Agora você mapeará os atributos entre a representação do usuário no Microsoft Entra ID e a representação de um usuário no SAP ECC.
Você usará o centro de administração do Microsoft Entra para configurar o mapeamento entre os atributos do usuário do Microsoft Entra e os atributos selecionados anteriormente no assistente de configuração do Host do ECMA.
Verifique se o esquema do Microsoft Entra inclui os atributos exigidos pelo SAP ECC. Se ele exigir que os usuários tenham um atributo, e esse atributo ainda não fizer parte do esquema do Microsoft Entra para um usuário, você precisará usar o recurso de extensão de diretório para adicionar esse atributo como uma extensão.
No centro de administração do Microsoft Entra, em Aplicativos empresariais, selecione o aplicativo ECMA local e a página Provisionamento.
Selecione Editar provisionamento e aguarde 10 segundos.
Expanda Mapeamentos e selecione Provisionar usuários do Microsoft Entra. Se essa for a primeira vez que você configurou os mapeamentos de atributo para esse aplicativo, haverá apenas um mapeamento presente, para um espaço reservado.
Para confirmar se o esquema do SAP ECC está disponível no Microsoft Entra ID, marque a caixa de seleção Mostrar opções avançadas e selecione Editar lista de atributos para ScimOnPremises. Verifique se todos os atributos selecionados no assistente de configuração estão listados. Caso contrário, aguarde vários minutos para que o esquema seja atualizado e recarregue a página. Depois de ver os atributos listados, cancele essa página para retornar à lista de mapeamentos.
Agora, clique no mapeamento do ESPAÇO RESERVADO userPrincipalName. Esse mapeamento é adicionado por padrão quando você configura o provisionamento local pela primeira vez.
Altere o valor para corresponder ao seguinte:
Tipo de mapeamento | Atributo de origem | Atributo de destino |
---|---|---|
Direto | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Agora, selecione Adicionar Novo Mapeamento e repita a próxima etapa para cada mapeamento.
Especifique os atributos de origem e destino para todos os mapeamentos na tabela a seguir.
Atributo do Microsoft Entra Atributo ScimOnPremises Precedência de correspondência Aplicar esse mapeamento ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Somente durante a criação de objeto Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Somente durante a criação de objeto city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre telephoneNumber
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre Após todos os mapeamentos serem adicionados, selecione Salvar.
10. Atribuir usuários ao aplicativo
Agora que o host do conector ECMA do Microsoft Entra está se comunicando com o Microsoft Entra ID e o mapeamento do atributo foi configurado, é possível passar para a configuração de quem está no escopo do provisionamento.
Importante
Se você tiver se conectado usando uma função Administrador de identidade híbrida, precisará sair e entrar com uma conta que tenha pelo menos a função Administrador de aplicativos para esta seção. A função Administrador de Identidade Híbrida não tem permissões para atribuir usuários a aplicativos.
Se houver usuários existentes no SAP ECC 7.0, será necessário criar atribuições de função de aplicativo para esses usuários. Para saber mais sobre como criar atribuições de função de aplicativo em massa, consulte como controlar os usuários existentes de um aplicativo no Microsoft Entra ID.
Se não houver usuários atuais do aplicativo, selecione um usuário de teste do Microsoft Entra que será provisionado para o aplicativo.
Verifique se o usuário selecionado tem todas as propriedades que serão mapeadas para os atributos necessários do SAP ECC.
No Centro de administração do Microsoft Entra, selecione Aplicativos empresariais.
Selecione o aplicativo ECMA local.
À esquerda, em Gerenciar, selecione Usuários e grupos.
Selecione Adicionar usuário/grupo.
Em Usuários, selecione Nenhum Selecionado.
Selecione usuários à direita e selecione o botão Selecionar.
Selecione Atribuir.
11. Provisionamento de teste
Agora que seus atributos estão mapeados e os usuários atribuídos, você pode testar o provisionamento sob demanda com um de seus usuários.
No Centro de administração do Microsoft Entra, selecione Aplicativos empresariais.
Selecione o aplicativo ECMA local.
À esquerda, selecione Provisionamento.
Selecionar Provisionar sob demanda.
Pesquise um de seus usuários de teste e selecione Provisionamento.
Após vários segundos, a mensagem Êxito ao criar o usuário no sistema de destino será exibida, com uma lista dos atributos do usuário.
12. Iniciar provisionamento de usuários
Depois que o provisionamento sob demanda for bem-sucedido, volte à página de configuração de provisionamento. Verifique se o escopo está definido apenas para usuários e grupos atribuídos, ative o provisionamento e clique em Salvar.
Aguarde até 40 minutos para que o serviço de provisionamento seja iniciado. Após a conclusão do trabalho de provisionamento, conforme descrito na próxima seção, se o teste tiver sido finalizado, é possível alterar o status de provisionamento para Desabilitado e selecionar Salvar. Isso impedirá a execução do serviço de provisionamento no futuro.
Erros ao solucionar problemas de provisionamento
Se um erro for exibido, selecione Exibir logs de provisionamento. Procure no registro uma linha na qual o Status é Falha e selecione essa linha.
Para obter mais informações, mude para a guia Solução de problemas e Recomendações.