Konfigurieren von SAP Cloud Identity Services für die automatische Benutzerbereitstellung mit Microsoft Entra ID

In diesem Artikel werden die Schritte zum Konfigurieren der Bereitstellung von Microsoft Entra ID in SAP Cloud Identity Services veranschaulicht. Ziel ist es, Microsoft Entra ID einzurichten, um Benutzer automatisch für SAP Cloud Identity Services bereitzustellen und zu aufheben, damit sich diese Benutzer bei SAP Cloud Identity Services authentifizieren und Zugriff auf andere SAP-Workloads haben können. SAP Cloud Identity Services unterstützt die Bereitstellung aus seinem lokalen Identitätsverzeichnis zu anderen SAP-Anwendungen als Zielsysteme.

Hinweis

In diesem Artikel wird ein Connector beschrieben, der im Microsoft Entra Benutzerbereitstellungsdienst integriert ist. Wichtige Informationen dazu, was dieser Dienst tut, wie er funktioniert, sowie häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und Entfernung für SaaS-Anwendungen mit Microsoft Entra ID. SAP Cloud Identity Services verfügt auch über einen eigenen separaten Connector zum Lesen von Benutzern und Gruppen aus Microsoft Entra ID. Weitere Informationen finden Sie unter SAP Cloud Identity Services – Identitätsbereitstellung – Microsoft Entra ID als Quellsystem.

Hinweis

Eine neue Version des SAP Cloud Identity Services-Connectors ist allgemein verfügbar und ist jetzt die Standardeinstellung für den SAP Cloud Identity Services-Eintrag im Microsoft Entra App-Katalog. Diese aktuelle Version des Connectors bietet die folgenden Änderungen:

Aktualisiert auf den SCIM 2.0-Standard
Unterstützung für die Gruppenbereitstellung und -deprovisionierung für SAP Cloud Identity Services
Unterstützung für benutzerdefinierte Erweiterungsattribute
Unterstützung für die Gewährung von OAuth 2.0-Clientanmeldeinformationen

Von Bedeutung

Wenn Sie mit SAP IAG integrieren, ordnen Sie Microsoft Entra ObjectId dem Benutzernamen zu, indem Sie in der Zeile für den Benutzernamen BEARBEITEN auswählen und das Quell- und Zielattribut festlegen als:

Source-Attribut: objectId
Target-Attribut: userName

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Ein Microsoft Entra Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
Eine der folgenden Rollen:

Ein SAP Cloud Identity Services-Mandant
Ein Benutzerkonto in SAP Cloud Identity Services mit Administratorberechtigungen
Für die Verwendung von Gruppenbereitstellungsfunktionen ist eine Microsoft Entra ID P1-Lizenz erforderlich.

Hinweis

Diese Integration ist auch für die Verwendung aus der Microsoft Entra US Government Cloud-Umgebung verfügbar. Sie finden diese Anwendung im Microsoft Entra US Government Cloud Application Gallery und konfigurieren sie auf die gleiche Weise wie in der öffentlichen Cloudumgebung.

Wenn Sie noch keine Benutzer in Microsoft Entra ID haben, beginnen Sie mit dem Artikel plan der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Ziel-Apps. In diesem Artikel wird veranschaulicht, wie Sie Microsoft Entra mit autorisierenden Quellen für die Liste der Mitarbeiter in einer Organisation verbinden, z. B. SAP SuccessFactors. Außerdem wird gezeigt, wie Sie mithilfe von Microsoft Entra Identitäten für diese Mitarbeiter einrichten können, damit sie sich bei einer oder mehreren SAP-Anwendungen wie SAP ECC oder SAP S/4HANA anmelden können.

Wenn Sie die Bereitstellung in SAP Cloud Identity Services in einer Produktionsumgebung konfigurieren, in der Sie den Zugriff auf SAP-Workloads mithilfe von Microsoft Entra ID Governance verwalten, überprüfen Sie die prerequisites, bevor Sie Microsoft Entra ID für Identitätsgovernance konfigurieren bevor Sie fortfahren.

SAP Cloud Identity Services für die Bereitstellung einrichten

In diesem Artikel fügen Sie ein Administratorsystem in SAP Cloud Identity Services hinzu und konfigurieren dann Microsoft Entra.

Diagramm der Architektur von SSO und Bereitstellungsfluss zwischen SAP-Anwendungen, SAP Cloud Identity Services und Microsoft Entra.

Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole https://<tenantID>.accounts.ondemand.com/admin an, oder bei https://<tenantID>.trial-accounts.ondemand.com/admin, wenn es eine Testversion ist. Navigieren Sie zu Benutzer und Autorisierungen > Administratoren.
Klicken Sie im linken Bereich auf die Schaltfläche +Hinzufügen, um der Liste einen neuen Administrator hinzuzufügen. Wählen Sie System hinzufügen aus, und geben Sie den Namen des Systems ein.

Hinweis

Die Administratoridentität in SAP Cloud Identity Services muss den Typ System aufweisen. Ein Administratorbenutzer kann sich bei der Bereitstellung nicht bei der SAP SCIM-API authentifizieren. SAP Cloud Identity Services lässt nicht zu, dass der Name eines Systems geändert wird, nachdem es erstellt wurde.
Schalten Sie unter „Autorisierungen konfigurieren“ den Schalter für Benutzer verwalten ein. Wählen Sie dann "Speichern" aus, um das System zu erstellen.
Nachdem das Administratorsystem erstellt wurde, fügen Sie diesem System einen neuen geheimen Schlüssel hinzu.
Kopieren Sie die Client-ID und den geheimen Clientschlüssel , der von SAP generiert wird. Diese Werte werden in die Felder "Administratorbenutzername" bzw. "Administratorkennwort" eingegeben. Dies erfolgt auf der Registerkarte "Bereitstellung" Ihrer SAP Cloud Identity Services-Anwendung, die Sie im nächsten Abschnitt eingerichtet haben.
SAP Cloud Identity Services können Zuordnungen zu einer oder mehreren SAP-Anwendungen als Zielsysteme haben. Überprüfen Sie, ob die Benutzer Attribute haben, die für diese SAP-Anwendungen über SAP Cloud Identity Services bereitgestellt werden müssen. In diesem Artikel wird davon ausgegangen, dass SAP Cloud Identity Services und nachgelagerte Zielsysteme zwei Attribute erfordern und userNameemails[type eq "work"].value. Wenn Ihre SAP-Zielsysteme andere Attribute benötigen und diese nicht Teil Ihres Microsoft Entra ID Benutzerschemas sind, müssen Sie möglicherweise synching extension attributes konfigurieren.

Hinzufügen von SAP Cloud Identity Services aus der Galerie

Bevor Sie Microsoft Entra ID für die automatische Benutzerbereitstellung in SAP Cloud Identity Services konfigurieren, müssen Sie SAP Cloud Identity Services aus dem Microsoft Entra Anwendungskatalog zur Liste der Unternehmensanwendungen Ihres Mandanten hinzufügen. Sie können diesen Schritt im Microsoft Entra Admin Center oder über die Graph-API ausführen.

Wenn SAP Cloud Identity Services bereits für einmaliges Anmelden von Microsoft Entra mithilfe von SAML konfiguriert ist und eine Anwendung bereits in Ihrer Microsoft Entra Liste der Unternehmensanwendungen vorhanden ist, fahren Sie mit the next section fort.

Hinweis

Wenn Sie zuvor eine Anwendungsregistrierung für die OpenID Connect-Integration konfiguriert haben, können Sie die Bereitstellung für diese Anwendungsregistrierung nicht konfigurieren. Erstellen Sie stattdessen eine separate Unternehmensanwendung für die Bereitstellung.

Hinzufügen von SAP Cloud Identity Services mithilfe des Microsoft Entra-Administrationszentrums

** Um SAP Cloud Identity Services aus der Microsoft Entra Anwendungsgalerie mithilfe des Microsoft Entra Administrationszentrums hinzuzufügen, gehen Sie wie folgt vor:

Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise apps>Neue Anwendung.
Um die App aus dem Katalog hinzuzufügen, geben Sie SAP Cloud Identity Services in das Suchfeld ein.
Wählen Sie im Ergebnisbereich SAP Cloud Identity Services aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Fahren Sie im nächsten Abschnitt fort, um die Bereitstellung zu konfigurieren.

Hinzufügen von SAP Cloud Identity Services mithilfe von Microsoft Graph

Sie können eine Anwendung und einen Dienstprinzipal über die Graph-API erstellen.

Rufen Sie zuerst den Bezeichner der Galerieanwendungsvorlage für SAP Cloud Identity Services ab.

GET https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayName eq 'SAP Cloud Identity Services'

Extrahieren Sie das id der Anwendungsvorlage aus der Antwort. Erstellen Sie dann die Galerie-Anwendung und den Dienstprinzipal.

POST https://graph.microsoft.com/v1.0/applicationTemplates/{applicationTemplateId}/instantiate
Content-type: application/json

{
  "displayName": "SAP Cloud Identity Services"
}

Die Antwort enthält die neuen Anwendungs- und Dienstprinzipalobjekte.

Rufen Sie als Nächstes die Vorlage für die Bereitstellungskonfiguration mithilfe id des soeben erstellten Dienstprinzipals ab.

GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/templates

Um die Bereitstellung zu aktivieren, müssen Sie einen Auftrag erstellen. Verwenden Sie die folgende Anforderung, um einen Bereitstellungsauftrag zu erstellen. Verwenden Sie id aus dem vorherigen Schritt als templateId bei der Spezifikation der Vorlage, die für den Auftrag verwendet werden soll.

POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs
Content-type: application/json

{
    "templateId": "sapcloudidentityservices"
}

Wie im nächsten Abschnitt beschrieben, können Sie den dem Dienstprinzipal zugeordneten Bereitstellungsauftrag und das Vorlagenschema weiter konfigurieren. Autorisieren Sie dann den Zugriff für Microsoft Entra, um sich bei den SAP Cloud Identity Services zu authentifizieren, und starten Sie den Bereitstellungsauftrag.

Konfigurieren der automatischen Benutzerbereitstellung in SAP Cloud Identity Services

Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern und Gruppen in SAP Cloud Identity Services basierend auf Benutzer- und Gruppenzuweisungen zu einer Anwendung in Microsoft Entra ID.

So konfigurieren Sie die automatische Benutzerbereitstellung für SAP Cloud Identity Services in Microsoft Entra ID:

Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise apps
Wählen Sie in der Anwendungsliste die Anwendung SAP Cloud Identity Services aus.
Klicken Sie auf die Registerkarte Eigenschaften.
Stellen Sie sicher, dass die Option Zuweisung erforderlich ist? auf Ja festgelegt ist. Wenn diese Einstellung auf Nein festgelegt ist, können alle Benutzer in Ihrem Verzeichnis, einschließlich externer Identitäten, auf die Anwendung zugreifen, und Sie können den Zugriff auf die Anwendung nicht überprüfen.
Wählen Sie die Registerkarte Bereitstellung.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Wählen Sie im Abschnitt Admin-Anmeldeinformationen die OAuth2 Client Credentials Grant aus. Geben Sie https://<tenantID>.accounts.ondemand.com/scim ein, oder https://<tenantid>.trial-accounts.ondemand.com/scim falls es sich um eine Testversion handelt, zusammen mit der Mandanten-ID Ihrer SAP Cloud Identity Services in der Mandanten-URL. Geben Sie den Tokenendpunkt ein, der etwa wie folgt https://<tenantID>.accounts.ondemand.com/oauth2/tokenaussehen kann. Geben Sie die Werte "Client-ID " und " Geheimer Clientschlüssel " ein, die Sie zuvor aus der Administratorkonsole für SAP Cloud Identity Services generiert haben. Wählen Sie Test-Verbindung aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit SAP Cloud Identity Services herstellen können. Wenn keine Verbindung hergestellt wird, stellen Sie sicher, dass Ihr SAP Cloud Identity Services-Konto über Administratorberechtigungen verfügt und dass der geheime Schlüssel gültig ist, und versuchen Sie es noch mal.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Wählen Sie Speichern aus.
Wählen Sie " Identitäten ermitteln" in der Bereitstellungsübersicht aus, um Konten in SAP Cloud Identity Services zu ermitteln . Diese Option ist nur für Organisationen mit Entra ID GovernanceLizenzen sichtbar.
Wählen Sie im Abschnitt Mappings, Provision Microsoft Entra ID Benutzer oder Provision Microsoft Entra ID Gruppen aus, je nach Ihrem Szenario.
Überprüfen Sie die Benutzer- und Gruppenattribute, die aus Microsoft Entra ID mit SAP Cloud Identity Services synchronisiert werden, im Abschnitt Attribute Mapping. Wenn die Attribute in Ihren SAP Cloud Identity Services nicht als Ziel für die Zuordnung verfügbar sind, wählen Sie " Erweiterte Optionen anzeigen " aus, und wählen Sie " Attributliste bearbeiten" für SAP Cloud Platform Identity Authentication Service aus, um die Liste der unterstützten Attribute zu bearbeiten. Fügen Sie die Attribute Ihres SAP Cloud Identity Services-Mandanten hinzu.
Überprüfen und aufzeichnen Sie die als Matching Eigenschaften ausgewählten Quell- und Zielattribute, Zuordnungen mit einer Matching-Rangfolge, da diese Attribute verwendet werden, um die Benutzer und Gruppen in SAP Cloud Identity Services für den Microsoft Entra Bereitstellungsdienst abzugleichen, um zu bestimmen, ob ein neuer Benutzer/eine neue Gruppe erstellt oder ein vorhandener Benutzer/eine vorhandene Gruppe aktualisiert werden soll. Weitere Informationen finden Sie unter Abgleichen von Benutzern im Quell- und Zielsystem. In einem nachfolgenden Schritt stellen Sie sicher, dass alle Benutzer, die bereits in SAP Cloud Identity Services enthalten sind, die Attribute als übereinstimmende Eigenschaften aufgefüllt haben, um zu verhindern, dass doppelte Benutzer erstellt werden.
Bestätigen Sie, dass es eine Attributzuordnung für IsSoftDeleted oder eine Funktion mit IsSoftDeleted zu einem Attribut der Anwendung gibt. Wenn ein Benutzer der Anwendung nicht zugewiesen, in Microsoft Entra ID vorläufig gelöscht oder für die Anmeldung gesperrt ist, aktualisiert der Microsoft Entra Bereitstellungsdienst das Attribut, das isSoftDeleted zugeordnet ist. Wenn kein Attribut zugeordnet ist, sind Benutzer*innen, deren Zuweisung zur Anwendungsrolle später aufgehoben wird, weiterhin im Datenspeicher der Anwendung vorhanden.
Fügen Sie alle zusätzlichen Zuordnungen hinzu, die für Ihre SAP Cloud Identity Services oder die nachgeschalteten SAP-Zielsysteme erforderlich sind.

Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

Benutzerattribute	Typ	Unterstützung für das Filtern	Erforderlich für SAP Cloud Identity Services
`userName`	Schnur	✓	✓
`emails[type eq "work"].value`	Schnur		✓
`active`	Boolescher Typ (Boolean)
`displayName`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager`	Verweis
`addresses[type eq "work"].country`	Schnur
`addresses[type eq "work"].locality`	Schnur
`addresses[type eq "work"].postalCode`	Schnur
`addresses[type eq "work"].region`	Schnur
`addresses[type eq "work"].streetAddress`	Schnur
`name.givenName`	Schnur
`name.familyName`	Schnur
`name.honorificPrefix`	Schnur
`phoneNumbers[type eq "fax"].value`	Schnur
`phoneNumbers[type eq "mobile"].value`	Schnur
`phoneNumbers[type eq "work"].value`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber`	Schnur
`urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization`	Schnur
`locale`	Schnur
`timezone`	Schnur
`userType`	Schnur
`company`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10`	Schnur
`sendMail`	Schnur
`mailVerified`	Schnur

Group-Attribut	Typ	Unterstützung für das Filtern	Erforderlich für SAP Cloud Identity Services
`id`	Schnur	✓	✓
`externalId`	Schnur
`displayName`	Schnur		✓
`urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:name`	Schnur
`urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:description`	Schnur
`members`	Verweis		✓

Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.
Um den Microsoft Entra Bereitstellungsdienst für SAP Cloud Identity Services zu aktivieren, ändern Sie den Provisioning Status in On im Abschnitt Settings.
Wählen Sie für den Wert von Bereich im Abschnitt Einstellungen die Option Nur zugewiesene Benutzer und Gruppen synchronisieren aus.
Wenn Sie zur Bereitstellung bereit sind, wählen Sie „Speichern“ aus.

Dadurch wird die Erstsynchronisierung aller Benutzer gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Wenn der Bereich auf Nur zugewiesene Benutzer und Gruppen synchronisieren festgelegt ist und der Anwendung keine Benutzer oder Gruppen zugewiesen wurden, erfolgt keine Synchronisierung, bis der Anwendung Benutzer zugewiesen wurden.

Bereitstellen eines neuen Testbenutzers von Microsoft Entra ID an SAP Cloud Identity Services

Es wird empfohlen, einem einzelnen neuen Microsoft Entra-Testbenutzer die SAP Cloud Identity Services zuzuweisen, um die Konfiguration der automatischen Benutzerbereitstellung zu testen.

Melden Sie sich bei der Microsoft Entra Admin Center als mindestens einen Cloud-Anwendungsadministrator und einen Benutzeradministrator an.
Navigieren Sie zu Entra ID>Users.
Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus.
Geben Sie den Benutzerprinzipalnamen und Anzeigenamen des neuen Testbenutzers ein. Der Benutzerprinzipalname muss eindeutig und nicht mit dem aktuellen oder vorherigen Microsoft Entra Benutzer oder SAP Cloud Identity Services-Benutzer übereinstimmen. Wählen Sie Überprüfen + erstellen und dann Erstellen aus.
Navigieren Sie nach der Erstellung des Testbenutzers zu Entra ID>Enterprise apps.
Wählen Sie die SAP Cloud Identity Services-Anwendung aus.
Wählen Sie Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.
Wählen Sie unter Benutzer und Gruppen die Option Keine ausgewählt aus, und geben Sie im Textfeld den Benutzerprinzipalnamen des Testbenutzers ein.
Wählen Sie Auswählen und dann Zuweisen aus.
Wählen Sie Bereitstellung und dann Bei Bedarf bereitstellen aus.
Geben Sie im Textfeld Benutzer oder Gruppe auswählen den Benutzerprinzipalnamen des Testbenutzers ein.
Wählen Sie Bereitstellen aus.
Warten Sie, bis die Bereitstellung abgeschlossen ist. Bei erfolgreicher Ausführung wird die Meldung Modified attributes (successful)angezeigt.

Optional können Sie auch überprüfen, was der Microsoft Entra Bereitstellungsdienst bereitstellt, wenn ein Benutzer den Gültigkeitsbereich der Anwendung überschreitet.

Wählen Sie Benutzer und Gruppen aus.
Wählen Sie den Testbenutzer und anschließend Entfernen aus.
Nachdem der Testbenutzer entfernt wurde, wählen Sie Bereitstellung und dann Bei Bedarf bereitstellen aus.
Geben Sie im Textfeld Benutzer oder Gruppe auswählen den Benutzerprinzipalnamen des Testbenutzers ein, dessen Zuweisung gerade aufgehoben wurde.
Wählen Sie Bereitstellen aus.
Warten Sie, bis die Bereitstellung abgeschlossen wurde.

Schließlich können Sie den Testbenutzer aus Microsoft Entra ID entfernen.

Navigieren Sie zu Entra ID>Users.
Wählen Sie den Testbenutzer aus, wählen Sie Löschen und dann OK aus. Diese Aktion löscht den Testbenutzer vorläufig aus Microsoft Entra ID.

Sie können den Testbenutzer dann auch aus SAP Cloud Identity Services entfernen.

Identifizieren vorhandener Benutzer in Ihrer Anwendung und Zuweisen der Benutzer zur Unternehmensanwendung

Microsoft Entra können die vorhandenen Benutzer in Ihrer Anwendung ermitteln und die Zuweisung zu der Unternehmensanwendung vereinfachen. Klicken Sie auf der Seite "Bereitstellungsübersicht" auf die Schaltfläche " Identitäten ermitteln ". Nachdem der Bericht generiert wurde, erhalten Sie eine Übersicht über alle Benutzer in Ihrer Anwendung, welche Benutzer mit einem Benutzer mit Microsoft Entra ID übereinstimmen, welche Benutzer der Enterprise-Anwendung in Microsoft Entra ID bereits zugewiesen sind und welche Benutzer in der Anwendung keinem Benutzer mit Microsoft Entra ID entsprechen. Anschließend können Sie ein einfaches PowerShell-Skript ausführen, um die ermittelten Benutzer der Anwendung zuzuweisen:

Laden Sie die datei CorrelatedUsers.ps1 herunter.
Erstellen Sie Anwendungsrollenzuweisungen für Benutzer, die derzeit keine Rollenzuweisungen haben (Trockenlauf):
```
.\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..." -DryRun
```
Erstellen Sie Anwendungsrollenzuweisungen für Benutzer*innen, die derzeit keine Rollenzuweisungen haben:
```
.\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..."
```
Warten Sie eine Minute, bis Änderungen innerhalb Microsoft Entra ID weitergegeben werden.

Die Ermittlungsfunktionalität erfordert Entra ID GovernanceLizenzen. Organisationen ohne die erforderlichen Lizenzen können weiterhin die folgenden Schritte ausführen, um vorhandene Benutzer in SAP CLout Identity Services zu identifizieren und sie der Unternehmensanwendung in Microsoft Entra zuzuweisen.

Sicherstellen, dass vorhandene SAP Cloud Identity Services-Benutzer über die erforderlichen übereinstimmenden Attribute verfügen

Bevor Sie der SAP Cloud Identity Services-Anwendung in Microsoft Entra ID nicht-testende Benutzer zuweisen, sollten Sie sicherstellen, dass alle Benutzer, die bereits in SAP Cloud Identity Services vorhanden sind und die gleichen Personen wie die Benutzer in Microsoft Entra ID darstellen, die Zuordnungsattribute in SAP Cloud Identity Services ausgefüllt sind.

In der Bereitstellungszuordnung werden die als Matching Eigenschaften ausgewählten Attribute verwendet, um die Benutzerkonten in Microsoft Entra ID mit den Benutzerkonten in SAP Cloud Identity Services abzugleichen. Wenn ein Benutzer in Microsoft Entra ID ohne Übereinstimmung in SAP Cloud Identity Services vorhanden ist, versucht der Microsoft Entra Bereitstellungsdienst, einen neuen Benutzer zu erstellen. Wenn ein Benutzer in Microsoft Entra ID existiert und in SAP Cloud Identity Services eine Übereinstimmung vorliegt, wird der Microsoft Entra Bereitstellungsdienst diesen Benutzer in SAP Cloud Identity Services aktualisieren. Daher sollten Sie sicherstellen, dass für alle Benutzer, die sich bereits in SAP Cloud Identity Services befinden, die als übereinstimmende Eigenschaften ausgewählten Attribute ausgefüllt sind, um zu verhindern, dass doppelte Benutzer erstellt werden. Wenn Sie das übereinstimmende Attribut in Ihrer Microsoft Entra Anwendungsattributzuordnung ändern müssen, lesen Sie übereinstimmende Benutzer in den Quell- und Zielsystemen.

Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole https://<tenantID>.accounts.ondemand.com/admin an, oder bei https://<tenantID>.trial-accounts.ondemand.com/admin, wenn es eine Testversion ist.
Navigieren Sie zu Benutzer und Autorisierungen > Benutzer exportieren.
Wählen Sie alle Attribute aus, die zum Abgleichen von Microsoft Entra Benutzern mit diesen in SAP erforderlich sind. Zu diesen Attributen gehören SCIM ID, userName, emails und andere Attribute, die Sie möglicherweise in Ihren SAP-Systemen als Bezeichner verwenden.
Wählen Sie Exportieren aus, und warten Sie, bis der Browser die CSV-Datei heruntergeladen hat.
Öffnen Sie ein PowerShell-Fenster.

Geben Sie den folgenden Code in einem Editor ein. Wenn Sie in Zeile 1 ein anderes Attribut für den Abgleich als userName ausgewählt haben, ändern Sie den Wert der sapScimUserNameField-Variablen in den Namen des SAP Cloud Identity Services-Attributs. Ändern Sie in Zeile 2 das Argument in den Dateinamen der exportierten CSV-Datei von Users-exported-from-sap.csv in den Namen der heruntergeladenen Datei.

$sapScimUserNameField = "userName"
$existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
$count = 0
$warn = 0
foreach ($u in $existingSapUsers) {
 $id = $u.id
 if (($null -eq $id) -or ($id.length -eq 0)) {
     write-error "Exported CSV file doesn't contain the ID attribute of SAP Cloud Identity Services users."
     throw "ID attribute not available, re-export"
     return
 }
 $count++
 $userName = $u.$sapScimUserNameField
 if (($null -eq $userName) -or ($userName.length -eq 0)) {
     write-warning "SAP Cloud Identity Services user $id doesn't have a $sapScimUserNameField attribute populated"
     $warn++
 }
}
write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."

Führen Sie das Skript aus. Wenn das Skript abgeschlossen ist und wenn für mindestens einen Benutzer das erforderliche Attribut für den Abgleich fehlte, suchen Sie die entsprechenden Benutzer in der exportierten CSV-Datei oder in der SAP Cloud Identity Services Admin Console. Wenn diese Benutzer auch in Microsoft Entra vorhanden sind, müssen Sie zuerst die SAP Cloud Identity Services-Darstellung dieser Benutzer aktualisieren, damit das entsprechende Attribut aufgefüllt wird.
Nachdem Sie die Attribute dieser Benutzer in SAP Cloud Identity Services aktualisiert haben, exportieren Sie die Benutzer erneut aus SAP Cloud Identity Services, wie in den Schritten 2 bis 5 und den PowerShell-Schritten in diesem Abschnitt beschrieben. So können Sie bestätigen, dass bei keinen Benutzern in SAP Cloud Identity Services die Attribute für den Abgleich fehlen, die ihre Bereitstellung verhindern würden.

Nachdem Sie nun über eine Liste aller Benutzer verfügen, die von SAP Cloud Identity Services abgerufen wurden, gleichen Sie diese Benutzer aus dem Datenspeicher der Anwendung mit Benutzern in Microsoft Entra ID ab, um zu bestimmen, welche Benutzer für die Bereitstellung relevant sind.

Abrufen der IDs der Benutzer in Microsoft Entra ID

In diesem Abschnitt wird gezeigt, wie Sie mit Microsoft Entra ID mithilfe von Microsoft Graph PowerShell-Cmdlets interagieren.

Wenn Ihre Organisation diese Cmdlets zum ersten Mal für dieses Szenario verwendet, müssen Sie sich in einer globalen Administratorrolle befinden, damit Microsoft Graph PowerShell in Ihrem Mandanten verwendet werden kann. Für nachfolgende Interaktionen können Rollen mit geringerem Berechtigungsumfang verwendet werden. Dazu zählen z. B.:

„Benutzeradministrator“, wenn Sie beabsichtigen, neue Benutzer*innen zu erstellen.
„Anwendungsadministrator“ oder Identity Governance-Administrator, wenn Sie lediglich Anwendungsrollenzuweisungen verwalten.

Öffnen Sie PowerShell.
Wenn Sie die Microsoft Graph PowerShell-Module noch nicht installiert haben, installieren Sie das Microsoft.Graph.Users Modul und andere mithilfe dieses Befehls:
```
Install-Module Microsoft.Graph
```
Wenn die Module bereits installiert sind, stellen Sie sicher, dass Sie eine aktuelle Version verwenden:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Herstellen einer Verbindung mit Microsoft Entra ID:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

Wenn Sie diesen Befehl zum ersten Mal verwendet haben, müssen Sie möglicherweise zustimmen, damit die Microsoft Graph Befehlszeilentools über diese Berechtigungen verfügen können.
Lesen Sie die Liste der Benutzer, die vom Datenspeicher der Anwendung in die PowerShell-Sitzung abgerufen wurden. Wenn die Benutzerliste sich in einer CSV-Datei befindet, können Sie das PowerShell-Cmdlet Import-Csv verwenden und den Dateinamen aus dem vorherigen Abschnitt als Argument angeben.

Wenn die aus SAP Cloud Identity Services abgerufene Datei z. B. Users-exported-from-sap.csv heißt und sich im aktuellen Verzeichnis befindet, geben Sie diesen Befehl ein.
```
$filename = ".\Users-exported-from-sap.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
Wenn Sie allerdings beispielsweise eine Datenbank oder ein Verzeichnis verwenden und der Name der Datei users.csv lautet und sich die Datei im aktuellen Verzeichnis befindet, geben Sie diesen Befehl ein:
```
$filename = ".\users.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
Wählen Sie die Spalte der Datei users.csv aus, die mit einem Attribut eines Benutzers in Microsoft Entra ID übereinstimmt.

Wenn Sie SAP Cloud Identity Services verwenden, ist die Standardzuordnung das SAP SCIM-Attribut userName mit dem attribut Microsoft Entra ID userPrincipalName:
```
$db_match_column_name = "userName"
$azuread_match_attr_name = "userPrincipalName"
```
Wenn Sie beispielsweise eine Datenbank oder ein Verzeichnis verwenden, haben Sie möglicherweise Benutzer in einer Datenbank, in der der Wert in der Spalte mit dem Namen EMail derselbe Wert ist wie im attribut Microsoft Entra userPrincipalName:
```
$db_match_column_name = "EMail"
$azuread_match_attr_name = "userPrincipalName"
```

Rufen Sie die IDs dieser Benutzer in Microsoft Entra ID ab.

Im folgenden PowerShell-Skript werden die zuvor angegebenen Werte $dbusers, $db_match_column_name und $azuread_match_attr_name verwendet. Es wird Microsoft Entra ID abfragen, um einen Benutzer zu finden, der ein Attribut mit einem passenden Wert für jeden Datensatz in der Quelldatei hat. Wenn es viele Benutzer in der Datei gibt, die aus SAP Cloud Identity Services, einer Datenbank oder einem Verzeichnis als Quelle abgerufen wurde, kann die Ausführung dieses Skripts einige Minuten dauern. Wenn Sie in Microsoft Entra ID kein Attribut mit dem Wert haben und einen contains oder einen anderen Filterausdruck verwenden müssen, müssen Sie dieses Skript anpassen und in Schritt 11 unten einen anderen Filterausdruck verwenden.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

Zeigen Sie die Ergebnisse der vorherigen Abfragen an. Überprüfen Sie, ob sich einer der Benutzer in SAP Cloud Identity Services, der Datenbank oder des Verzeichnisses aufgrund von Fehlern oder fehlenden Übereinstimmungen nicht in Microsoft Entra ID befinden konnte.

Mit dem folgenden PowerShell-Skript wird die Anzahl von Datensätzen angezeigt, die nicht gefunden wurden:

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Nach Abschluss des Skripts wird ein Fehler angezeigt, wenn sich datensätze aus der Datenquelle nicht in Microsoft Entra ID befinden. Wenn nicht alle Datensätze für Benutzer aus dem Datenspeicher der Anwendung als Benutzer in Microsoft Entra ID gefunden werden konnten, sollten Sie untersuchen, welche Datensätze nicht übereinstimmen und warum.

So wurde beispielsweise die E-Mail-Adresse und der UserPrincipalName möglicherweise in Microsoft Entra ID geändert, ohne dass die entsprechende mail-Eigenschaft in der Datenquelle der Anwendung aktualisiert wird. Oder Benutzer*innen haben die Organisation bereits verlassen, sind aber noch immer in der Datenquelle der Anwendung vorhanden. Oder es gibt ein Anbieter- oder Superadministratorkonto in der Datenquelle der Anwendung, das keiner bestimmten Person in Microsoft Entra ID entspricht.
Wenn sich Benutzer nicht in Microsoft Entra ID befinden konnten oder nicht aktiv waren und sich anmelden konnten, aber Sie möchten ihren Zugriff überprüft oder ihre Attribute in SAP Cloud Identity Services, der Datenbank oder dem Verzeichnis aktualisiert haben, müssen Sie die Anwendung, die entsprechende Regel aktualisieren oder Microsoft Entra Benutzer für sie erstellen. Weitere Informationen dazu, welche Änderung vorgenommen werden soll, finden Sie unter Zuordnungen und Benutzerkonten in Anwendungen verwalten, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen.

Wenn Sie die Option zum Erstellen von Benutzern in Microsoft Entra ID auswählen, können Sie Benutzer mithilfe einer der folgenden Optionen in Massen erstellen:
- Eine CSV-Datei, wie in Bulk beschrieben, erstellen Benutzer im Microsoft Entra Admin Center
- Das Cmdlet New-MgUser
Stellen Sie sicher, dass diese neuen Benutzer mit den erforderlichen Attributen ausgestattet werden, die für Microsoft Entra ID erforderlich sind, damit sie später mit den vorhandenen Benutzern in der Anwendung abgeglichen werden können, einschließlich der von Microsoft Entra ID geforderten Attribute, wie userPrincipalName, mailNickname und displayName. userPrincipalName muss unter allen Benutzern im Verzeichnis eindeutig sein.

Beispielsweise haben Sie Benutzer in einer Datenbank, in der der Wert in der Spalte mit dem Namen EMail der Wert ist, den Sie als Microsoft Entra Benutzerprinzipalnamen verwenden möchten, der Wert in der Spalte Alias enthält den Microsoft Entra ID E-Mail-Spitznamen und den Wert in der Spalte Full name enthält den Anzeigenamen des Benutzers:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```
Anschließend können Sie dieses Skript verwenden, um Microsoft Entra Benutzer für Benutzer in SAP Cloud Identity Services, der Datenbank oder dem Verzeichnis zu erstellen, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen. Beachten Sie, dass Sie dieses Skript möglicherweise ändern müssen, um zusätzliche Microsoft Entra Attribute hinzuzufügen, die in Ihrer Organisation erforderlich sind, oder wenn die $azuread_match_attr_name weder mailNickname noch userPrincipalName ist, um dieses Microsoft Entra Attribut bereitzustellen.
```
$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}
```

Nachdem Sie fehlende Benutzer zu Microsoft Entra ID hinzugefügt haben, führen Sie das Skript aus Schritt 7 erneut aus. Führen Sie dann das Skript aus Schritt 8 aus. Überprüfen Sie, ob keine Fehler gemeldet werden.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Sicherstellen, dass vorhandene Microsoft Entra Benutzer über die erforderlichen Attribute verfügen

Bevor Sie die automatische Benutzerbereitstellung aktivieren, müssen Sie entscheiden, welche Benutzer in Microsoft Entra ID Zugriff auf SAP Cloud Identity Services benötigen, und dann müssen Sie überprüfen, ob diese Benutzer über die erforderlichen Attribute in Microsoft Entra ID verfügen, und diese Attribute werden dem erwarteten Schema von SAP Cloud Identity Services zugeordnet.

Standardmäßig wird der Wert des Benutzerattributs Microsoft Entra userPrincipalName sowohl den Attributen userName als auch emails[type eq "work"].value von SAP Cloud Identity Services zugeordnet. Wenn sich die E-Mail-Adressen der Benutzer von den Benutzerprinzipalnamen unterscheiden, müssen Sie diese Zuordnung möglicherweise ändern.
SAP Cloud Identity Services ignoriert möglicherweise Werte des postalCode Attributs, wenn das Format der Postleitzahl des Unternehmens nicht mit dem Land oder der Region des Unternehmens übereinstimmt.
Standardmäßig wird das Microsoft Entra Attribut country dem Feld SAP Cloud Identity Services addresses[type eq "work"].country zugeordnet. Wenn die Werte des country Attributs keine zweistelligen ISO 3166-Ländercodes sind, kann die Erstellung dieser Benutzer in SAP Cloud Identity Services fehlschlagen. Weitere Informationen finden Sie unter "countries.properties".
Standardmäßig ist das Microsoft Entra Attribut department dem ATTRIBUT SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department zugeordnet. Wenn Microsoft Entra Benutzer Werte des Attributs department haben, müssen diese Werte mit den Abteilungen übereinstimmen, die bereits in SAP Cloud Identity Services konfiguriert sind, andernfalls schlägt die Erstellung oder Aktualisierung des Benutzers fehl. Weitere Informationen finden Sie unter departments.properties. Wenn die Werte department in Ihren Microsoft Entra Benutzern nicht mit den Werten in Ihrer SAP-Umgebung übereinstimmen, aktualisieren Sie entweder die Abteilungswerte in Microsoft Entra, aktualisieren Sie die zulässigen Abteilungswerte in SAP Cloud Identity Services, oder entfernen Sie die Zuordnung, bevor Sie Benutzer zuweisen.
Der SCIM-Endpunkt von SAP Cloud Identity Services erfordert, dass einige Attribute ein bestimmtes Format aufweisen. Weitere Informationen zu diesen Attributen und deren spezifischem Format finden Sie hier.

Zuweisen von Benutzern zur SAP Cloud Identity Services-Anwendung in Microsoft Entra ID

Microsoft Entra ID verwendet ein Konzept namens Assignments um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Wenn im Kontext der automatischen Benutzerbereitstellung der Wert "Einstellungen" von ScopeSync nur Benutzern und Gruppen zugewiesen ist, werden nur die Benutzer und Gruppen, die einer Anwendungsrolle dieser Anwendung in Microsoft Entra ID zugewiesen wurden, mit SAP Cloud Identity Services synchronisiert. Beim Zuweisen von Benutzer*innen zu SAP Cloud Identity Services müssen Sie im Zuweisungsdialogfeld eine gültige anwendungsspezifische Rolle auswählen (sofern verfügbar). Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen. Derzeit ist die einzige verfügbare Rolle für SAP Cloud Identity Services Benutzer.

Wenn die Bereitstellung bereits für die Anwendung aktiviert wurde, überprüfen Sie, ob die Anwendungsbereitstellung nicht in Quarantäne ist, bevor Sie der Anwendung weitere Benutzer zuweisen. Beheben Sie alle Probleme, die die Quarantäne verursachen, bevor Sie fortfahren.

Suchen Sie nach Benutzern, die in SAP Cloud Identity Services vorhanden sind und der Anwendung in Microsoft Entra ID noch nicht zugewiesen sind.

Die vorherigen Schritte haben ausgewertet, ob die Benutzer in SAP Cloud Identity Services auch als Benutzer in Microsoft Entra ID vorhanden sind. Möglicherweise werden sie jedoch nicht alle derzeit den Rollen der Anwendung in Microsoft Entra ID zugewiesen. In den nächsten Schritte wird also zu sehen sein, welche Benutzer keine Zuordnungen zu Anwendungsrollen haben.

Verwenden Sie PowerShell, um die Service Principal-ID für den Service Principal der Anwendung nachzuschlagen.

Wenn der Name der Unternehmensanwendung z. B. SAP Cloud Identity Services lautet, geben Sie die folgenden Befehle ein:
```
$azuread_app_name = "SAP Cloud Identity Services"
$azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
$azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
```
Rufen Sie die Benutzer ab, die derzeit Zuweisungen zur Anwendung in Microsoft Entra ID haben.

Hierzu wird die im vorherigen Befehl festgelegte Variable $azuread_sp verwendet.
```
$azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
```
Vergleichen Sie die Liste der Benutzer-IDs der Benutzer, die sich bereits in SAP Cloud Identity Services befinden, und Microsoft Entra ID mit den Benutzern, die der Anwendung derzeit in Microsoft Entra ID zugewiesen sind. Dieses Skript basiert auf der in den vorherigen Abschnitten festgelegten $azuread_match_id_list-Variablen:
```
$azuread_not_in_role_list = @()
foreach ($id in $azuread_match_id_list) {
   $found = $false
   foreach ($existing in $azuread_existing_assignments) {
      if ($existing.principalId -eq $id) {
         $found = $true; break;
      }
   }
   if ($found -eq $false) { $azuread_not_in_role_list += $id }
}
$azuread_not_in_role_count = $azuread_not_in_role_list.Count
Write-Output "$azuread_not_in_role_count users in the application's data store aren't assigned to the application roles."
```
Wenn keine Benutzer nicht Anwendungsrollen zugewiesen sind, was angibt, dass alle Benutzer zugewiesen sind, bedeutet dies, dass es keine gemeinsamen Benutzer zwischen Microsoft Entra ID und den SAP Cloud Identity Services gab, sodass keine Änderungen erforderlich sind. Falls mindestens ein Benutzer, der sich bereits in SAP Cloud Identity Services befindet, derzeit nicht den Anwendungsrollen zugewiesen ist, müssen Sie das Verfahren fortsetzen und ihn zu einer der Rollen der Anwendung hinzufügen.

Wählen Sie die User-Rolle des Anwendungsdienstprinzipals aus.

$azuread_app_role_name = "User"
$azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}

Erstellen Sie Anwendungsrollenzuweisungen für Benutzer, die bereits in SAP Cloud Identity Services und Microsoft Entra vorhanden sind, und verfügen derzeit nicht über Rollenzuweisungen für die Anwendung:

foreach ($u in $azuread_not_in_role_list) {
   $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
}

Warten Sie eine Minute, bis Änderungen innerhalb Microsoft Entra ID weitergegeben werden.
Im nächsten Microsoft Entra Bereitstellungszyklus vergleicht der Microsoft Entra Bereitstellungsdienst die Darstellung der Benutzer, die der Anwendung zugewiesen sind, mit der Darstellung in SAP Cloud Identity Services und aktualisieren SAP Cloud Identity Services-Benutzer, um die Attribute von Microsoft Entra ID zu haben.

Zuweisen verbleibender Benutzer und Überwachung der anfänglichen Synchronisierung

Sobald die Tests abgeschlossen sind, ein Benutzer erfolgreich in SAP Cloud Identity Services bereitgestellt wurde und alle vorhandenen SAP Cloud Identity Services-Benutzer der Anwendungsrolle zugewiesen wurden, können Sie alle weiteren autorisierten Benutzer der SAP Cloud Identity Services-Anwendung zuweisen, indem Sie eine der hier aufgeführten Anweisungen befolgen:

Sie können jedem einzelnen Benutzer die Anwendung zuweisen im Microsoft Entra Admin Center,
Sie können einzelne Benutzer über das PowerShell-Cmdlet New-MgServicePrincipalAppRoleAssignedTo der Anwendung zuweisen, wie im vorherigen Abschnitt gezeigt.
Wenn Ihre Organisation über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Berechtigungsverwaltungspolitiken zur Automatisierung der Zugriffszuteilung bereitstellen.

Sobald die Benutzer der Anwendungsrolle zugewiesen sind und für die Bereitstellung vorgesehen sind, stellt der Microsoft Entra Bereitstellungsdienst sie für SAP Cloud Identity Services bereit. Beachten Sie, dass die anfängliche Synchronisierung länger dauert als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten auftreten, solange der Microsoft Entra Bereitstellungsdienst ausgeführt wird.

Wenn keine Benutzer bereitgestellt werden, überprüfen Sie die Schritte im Problembehandlungsleitfaden für Situationen, in denen keine Benutzer bereitgestellt werden. Überprüfen Sie dann das Bereitstellungsprotokoll über die APIs Microsoft Entra Admin Center oder Graph-APIs. Filtern Sie das Protokoll nach dem Status Fehler. Wenn fehler mit einem ErrorCode von DuplicateTargetEntries auftreten, gibt dies eine Mehrdeutigkeit in Ihren Bereitstellungsabgleichsregeln an, und Sie müssen die Microsoft Entra Benutzer oder die Zuordnungen aktualisieren, die für den Abgleich verwendet werden, um sicherzustellen, dass jeder Microsoft Entra Benutzer einem Anwendungsbenutzer entspricht. Filtern Sie das Protokoll dann nach der Aktion Erstellen und dem Status Übersprungen. Wenn Benutzer mit dem SkipReason-Code NotEffectivelyEntitled übersprungen wurden, kann dies darauf hindeuten, dass die Benutzerkonten in Microsoft Entra ID nicht zugeordnet wurden, weil der Benutzerkontostatus auf Disabled gesetzt war.

Konfiguration von Single Sign-On

Sie können sich auch dafür entscheiden, SAML-basiertes Einmaliges Anmelden für SAP Cloud Identity Services zu aktivieren, und befolgen Sie die Anweisungen im Artikel sap Cloud Identity Services Single Sign-On. Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.

Überwachen der Bereitstellung

Sie können den Abschnitt Synchronization Details verwenden, um den Fortschritt zu überwachen und Links zum Bereitstellungsaktivitätsbericht zu folgen, der alle Aktionen beschreibt, die vom Microsoft Entra Bereitstellungsdienst für SAP Cloud Identity Services ausgeführt werden. Sie können das Bereitstellungsprojekt auch über die apIs Microsoft Graph überwachen.

Weitere Informationen zum Lesen der Microsoft Entra Bereitstellungsprotokolle finden Sie unter Reporting zur automatischen Bereitstellung von Benutzerkonten.

Beibehalten von Anwendungsrollenzuweisungen

Wenn Benutzer, die der Anwendung zugewiesen sind, in Microsoft Entra ID aktualisiert werden, werden diese Änderungen automatisch für SAP Cloud Identity Services bereitgestellt.

Wenn Sie über Microsoft Entra ID Governance verfügen, können Sie Änderungen an den Anwendungsrollenzuweisungen für SAP Cloud Identity Services in Microsoft Entra ID automatisieren, Aufgaben hinzufügen oder entfernen, wenn Personen der Organisation beitreten oder Rollen verlassen oder ändern.

Sie können eine einmalige oder wiederkehrende Zugriffsüberprüfung der Anwendungsrollenzuweisungen durchführen.
Sie können ein Zugriffspaket für die Berechtigungsverwaltung für diese Anwendung erstellen. Sie können auch Richtlinien einrichten, dass Benutzer der Zugriff entweder auf Anforderung, von Administratoren, automatisch anhand von Regeln oder über Lebenszyklus-Workflows zugewiesen wird.

Aktualisieren einer SAP Cloud Identity Services-Anwendung zur Verwendung des SAP Cloud Identity Services SCIM 2.0-Endpunkts

Im September 2025 hat Microsoft einen SCIM 2.0-Connector für SAP Cloud Identity Services veröffentlicht, der die Unterstützung für Gruppenbereitstellung und -entfernung, benutzerdefinierte Erweiterungsattribute und den OAuth 2.0-Clientanmeldeinformationen-Grant hinzufügte.

Wenn Sie die folgenden Schritte ausführen, können Kunden, die bereits den SAP Cloud Identity Services-Connector verwendet haben, vom SCIM 1.0-Endpunkt zum SCIM 2.0-Endpunkt wechseln.

Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID > Enterprise Apps > SAP Cloud Identity Services.
Kopieren Sie im Abschnitt "Eigenschaften " die Objekt-ID.
Wechseln Sie in einem neuen Webbrowserfenster zu https://developer.microsoft.com/graph/graph-explorer, und melden Sie sich als Administrator für den Microsoft Entra Mandanten an, in dem Ihre App hinzugefügt wird.
Überprüfen Sie, ob das verwendete Konto über die richtigen Berechtigungen verfügt. Die Berechtigung "Directory.ReadWrite.All" ist erforderlich, um diese Änderung vorzunehmen.
Führen Sie mit der zuvor ausgewählten Objekt-ID der App den folgenden Befehl aus.

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

Wenn Sie den Wert "ID" aus dem Antworttext der GET Anforderung aus dem vorherigen Beispiel verwenden, führen Sie den folgenden Befehl aus, und ersetzen Sie "[job-id]" durch den ID-Wert aus der GET Anforderung. Der Wert sollte das Format "sapcloudidentityservices.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx" aufweisen:

DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

Führen Sie im Microsoft Graph Explorer den folgenden Befehl aus. Ersetzen Sie "[object-id]" durch die Dienstprinzipal-ID (Objekt-ID), die aus dem dritten Schritt kopiert wurde.

POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "sapcloudidentityservices" }

Kehren Sie zum ersten Webbrowserfenster zurück, und wählen Sie die Registerkarte "Bereitstellung " für Ihre Anwendung aus. Ihre Konfiguration wird zurückgesetzt. Sie können bestätigen, dass das Upgrade erfolgreich ist, indem Sie bestätigen, dass die Auftrags-ID mit "sapcloudidentityservices" beginnt.
Aktualisieren Sie die Mandanten-URL im Abschnitt Administratoranmeldeinformationen auf Folgendes: https://<tenantID>.accounts.ondemand.com/scim, oder https://<tenantid>.trial-accounts.ondemand.com/service/scim bei einer Testversion.
Stellen Sie alle vorherigen Änderungen wieder her, die Sie an der Anwendung vorgenommen haben (Authentifizierungsdetails, Bereichsfilter, benutzerdefinierte Attributzuordnungen), und aktivieren Sie die Bereitstellung erneut.

Hinweis

Wenn die vorherigen Einstellungen nicht wiederhergestellt werden, können Attribute (z. B. name.formatted) unerwartet in SAP Cloud Identity Services aktualisiert werden. Überprüfen Sie die Konfiguration, bevor Sie die Bereitstellung aktivieren.

Änderungsprotokoll

9/30/2025 – Veröffentlicht für allgemeine Verfügbarkeit eine neue Version des SAP Cloud Identity Services-Connectors, der einen SCIM 2.0-Endpunkt verwendet. Die neue Version unterstützt die Gruppenbereitstellung und -rücknahmebereitstellung für SAP Cloud Identity Services, benutzerdefinierte Erweiterungsattribute und den OAuth 2.0-Client-Credentials-Grant-Typ.

Weitere Ressourcen

Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-16

Freigeben über

Konfigurieren von SAP Cloud Identity Services für die automatische Benutzerbereitstellung mit Microsoft Entra ID

Voraussetzungen

SAP Cloud Identity Services für die Bereitstellung einrichten

Hinzufügen von SAP Cloud Identity Services aus der Galerie

Hinzufügen von SAP Cloud Identity Services mithilfe des Microsoft Entra-Administrationszentrums

Hinzufügen von SAP Cloud Identity Services mithilfe von Microsoft Graph

Konfigurieren der automatischen Benutzerbereitstellung in SAP Cloud Identity Services

So konfigurieren Sie die automatische Benutzerbereitstellung für SAP Cloud Identity Services in Microsoft Entra ID:

Bereitstellen eines neuen Testbenutzers von Microsoft Entra ID an SAP Cloud Identity Services

Identifizieren vorhandener Benutzer in Ihrer Anwendung und Zuweisen der Benutzer zur Unternehmensanwendung

Sicherstellen, dass vorhandene SAP Cloud Identity Services-Benutzer über die erforderlichen übereinstimmenden Attribute verfügen

Abrufen der IDs der Benutzer in Microsoft Entra ID

Sicherstellen, dass vorhandene Microsoft Entra Benutzer über die erforderlichen Attribute verfügen

Zuweisen von Benutzern zur SAP Cloud Identity Services-Anwendung in Microsoft Entra ID

Suchen Sie nach Benutzern, die in SAP Cloud Identity Services vorhanden sind und der Anwendung in Microsoft Entra ID noch nicht zugewiesen sind.

Zuweisen verbleibender Benutzer und Überwachung der anfänglichen Synchronisierung

Konfiguration von Single Sign-On

Überwachen der Bereitstellung

Beibehalten von Anwendungsrollenzuweisungen

Aktualisieren einer SAP Cloud Identity Services-Anwendung zur Verwendung des SAP Cloud Identity Services SCIM 2.0-Endpunkts

Änderungsprotokoll

Weitere Ressourcen

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen