Condividi tramite

Configurare SAP Cloud Identity Services per il provisioning automatico degli utenti con Microsoft Entra ID

Questo articolo illustra i passaggi per la configurazione del provisioning da Microsoft Entra ID a SAP Cloud Identity Services. L'obiettivo è configurare Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli utenti in SAP Cloud Identity Services, in modo che tali utenti possano eseguire l'autenticazione a SAP Cloud Identity Services e avere accesso ad altri carichi di lavoro SAP. SAP Cloud Identity Services supporta il provisioning dalla directory delle identità locali ad altre applicazioni SAP come sistemi di destinazione.

Nota

Questo articolo descrive un connettore incorporato nel servizio di provisioning utenti Microsoft Entra. Per informazioni importanti su cosa fa questo servizio, come funziona e sulle domande frequenti, consultare Automazione del provisioning e deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID. SAP Cloud Identity Services ha anche un connettore separato per leggere utenti e gruppi da Microsoft Entra ID. Per altre informazioni, vedere SAP Cloud Identity Services - Identity Provisioning - Microsoft Entra ID come sistema di origine.

Nota

Una nuova versione del connettore SAP Cloud Identity Services è ora generalmente disponibile ed è l'opzione predefinita per l'elenco SAP Cloud Identity Services nella raccolta di app Microsoft Entra. Questa versione corrente del connettore presenta le modifiche seguenti:

  • Aggiornato allo standard SCIM 2.0
  • Supporto per la distribuzione e gestione dei gruppi per SAP Cloud Identity Services
  • Supporto per attributi di estensione personalizzati
  • Supporto per la concessione di credenziali client OAuth 2.0

Importante

Se integrandosi con SAP IAG, eseguire il mapping di Microsoft Entra ObjectId al nome utente selezionando MODIFICA nella riga del nome utente e impostare l'attributo Origine e Destinazione come segue:

  • Attributo di origine: objectId
  • Attributo di destinazione: userName

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Un tenant di SAP Cloud Identity Services
  • Un account utente in SAP Cloud Identity Services con autorizzazioni di amministratore.
  • Per usare le funzionalità di provisioning dei gruppi è necessaria una licenza Microsoft Entra ID P1.

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud Microsoft Entra US Government. È possibile trovare questa applicazione nella raccolta di applicazioni del cloud Microsoft Entra US Government e configurarla nello stesso modo in cui si fa nell'ambiente cloud pubblico.

Se non hai ancora utenti in Microsoft Entra ID, inizia con l'articolo pianificare la distribuzione di Microsoft Entra per il provisioning degli utenti con app di origine e di destinazione SAP. Questo articolo illustra come connettere Microsoft Entra con origini autorevoli per l'elenco dei lavoratori in un'organizzazione, ad esempio SAP SuccessFactors. Illustra anche come usare Microsoft Entra per configurare le identità per tali ruoli di lavoro, in modo che possano accedere a una o più applicazioni SAP, ad esempio SAP ECC o SAP S/4HANA.

Se si sta configurando il provisioning in SAP Cloud Identity Services in un ambiente di produzione, in cui si gestisce l'accesso ai carichi di lavoro SAP usando Microsoft Entra ID Governance, esaminare i prerequisiti per configurare Microsoft Entra ID per la governance delle identità prima di procedere.

Configurare SAP Cloud Identity Services per il provisioning

In questo articolo si aggiunge un sistema di amministrazione in SAP Cloud Identity Services e quindi si configura Microsoft Entra.

Diagramma dell'architettura dell'accesso Single Sign-On e del flusso di provisioning tra applicazioni SAP, SAP Cloud Identity Services e Microsoft Entra.

  1. Accedi alla console di amministrazione dei SAP Cloud Identity Services https://<tenantID>.accounts.ondemand.com/admin o https://<tenantID>.trial-accounts.ondemand.com/admin se si tratta di una versione di prova. Vai a Utenti & Autorizzazioni Amministratori.

    Screenshot della console di amministrazione di SAP Cloud Identity Services.

  2. Selezionare il pulsante +Add (Aggiungi) nel pannello sinistro per aggiungere un nuovo amministratore all'elenco. Scegliere Add System (Aggiungi sistema) e immettere il nome del sistema.

    Nota

    L'identità dell'amministratore in SAP Cloud Identity Services deve essere di tipo System. Un utente amministratore non è in grado di eseguire l'autenticazione all'API SAP SCIM durante il provisioning. SAP Cloud Identity Services non consente la modifica del nome di un sistema dopo la creazione.

  3. In Configura autorizzazioni, attiva l'interruttore accanto a Gestisci utenti. Selezionare quindi Salva per creare il sistema.

    Screenshot dell'aggiunta di SCIM di SAP Cloud Identity Services.

  4. Dopo aver creato il sistema di amministrazione, aggiungere un nuovo segreto al sistema.

  5. Copiare l'ID client e il segreto client generati da SAP. Questi valori vengono immessi rispettivamente nei campi Nome utente amministratore e Password amministratore. Questa operazione viene eseguita nella scheda Provisioning dell'applicazione SAP Cloud Identity Services configurata nella sezione successiva.

  6. SAP Cloud Identity Services può avere associazioni a una o più applicazioni SAP come sistemi target. Verificare se sono presenti attributi sugli utenti che quelle applicazioni SAP richiedono per essere forniti tramite SAP Cloud Identity Services. Questo articolo presuppone che SAP Cloud Identity Services e i sistemi di destinazione downstream richiedano due attributi e userNameemails[type eq "work"].value. Se i sistemi di destinazione SAP richiedono altri attributi e non fanno parte dello schema utente Microsoft Entra ID, potrebbe essere necessario configurare gli attributi dell'estensione sincronizzazione.

Prima di configurare Microsoft Entra ID per il provisioning automatico degli utenti in SAP Cloud Identity Services, è necessario aggiungere SAP Cloud Identity Services dalla raccolta di applicazioni Microsoft Entra all'elenco delle applicazioni aziendali del tenant. È possibile eseguire questo passaggio nel Interfaccia di amministrazione di Microsoft Entra o tramite il API Graph.

Se SAP Cloud Identity Services è già configurato per l'accesso Single Sign-On da Microsoft Entra tramite SAML e un'applicazione è già presente nell'elenco Microsoft Entra di applicazioni aziendali, continuare a la sezione successiva.

Nota

Se in precedenza è stata configurata una registrazione dell'applicazione per l'integrazione di OpenID Connect, non sarà possibile configurare il provisioning per la registrazione dell'applicazione. Creare invece un'applicazione aziendale separata per il provisioning.

Aggiunta di SAP Cloud Identity Services con il Interfaccia di amministrazione di Microsoft Entra

Per aggiungere SAP Cloud Identity Services dalla raccolta di applicazioni Microsoft Entra usando il Interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.
  2. Passare a Entra ID>App aziendali>Nuova applicazione.
  3. Per aggiungere l'app dalla raccolta, digitare SAP Cloud Identity Services nella casella di ricerca.
  4. Selezionare SAP Cloud Identity Services nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.
  5. Continuare con la sezione successiva per configurare il provisioning.

Aggiunta di SAP Cloud Identity Services utilizzando Microsoft Graph

È possibile creare un'applicazione e un'entità servizio via il API Graph.

Per prima cosa, recuperare l'identificatore del modello di applicazione della galleria per SAP Cloud Identity Services.

GET https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayName eq 'SAP Cloud Identity Services'

Ottenere il id del modello di applicazione dalla risposta. Creare quindi l'applicazione galleria e il principale di servizio.

POST https://graph.microsoft.com/v1.0/applicationTemplates/{applicationTemplateId}/instantiate
Content-type: application/json

{
  "displayName": "SAP Cloud Identity Services"
}

La risposta conterrà i nuovi oggetti applicazione e entità servizio.

Recuperare quindi il modello per la configurazione del provisioning, usando il servizio principale id appena creato.

GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/templates

Per abilitare il provisioning, è necessario creare un'attività. Utilizza la seguente richiesta per creare un job di provisioning. Usare il id del passaggio precedente come templateId quando si specifica il modello da usare per l'attività.

POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs
Content-type: application/json

{
    "templateId": "sapcloudidentityservices"
}

Come descritto nella sezione successiva, è quindi possibile configurare ulteriormente il processo di provisioning e il modello di schema associati al principale del servizio. Quindi, autorizza l'accesso per consentire a Microsoft Entra di eseguire l'autenticazione in SAP Cloud Identity Services e quindi avvia il job di provisioning.

Configurare il provisioning automatico degli utenti in SAP Cloud Identity Services

Questa sezione illustra la procedura per configurare il servizio di provisioning Microsoft Entra per creare, aggiornare e disabilitare utenti e gruppi in SAP Cloud Identity Services in base alle assegnazioni di utenti e gruppi a un'applicazione in Microsoft Entra ID.

Per configurare il provisioning automatico degli utenti per SAP Cloud Identity Services in Microsoft Entra ID:

  1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.

  2. Passare a Entra ID>App aziendali

    Screenshot del pannello Applicazioni aziendali.

  3. Nell'elenco delle applicazioni selezionare l'applicazione SAP Cloud Identity Services.

    Screenshot del collegamento di SAP Cloud Identity Services nell'elenco delle applicazioni.

  4. Seleziona la scheda Proprietà.

  5. Verificare che l'opzione Assegnazione obbligatoria? sia impostata su . Se è impostata su No, tutti gli utenti nella directory, incluse le identità esterne, possono accedere all'applicazione e non è possibile esaminare l'accesso all'applicazione.

  6. Selezionare la scheda Provisioning.

    Screenshot delle opzioni di gestione con l'opzione Provisioning evidenziata.

  7. Impostare Modalità di provisioning su Automatico.

    Screenshot dell'elenco a discesa della modalità di provisioning con l'opzione

  8. Nella sezione Credenziali amministratore selezionare la concessione delle credenziali client OAuth2. Immettere https://<tenantID>.accounts.ondemand.com/scim, o https://<tenantid>.trial-accounts.ondemand.com/scim se si tratta di una versione di prova, con l'ID tenant di SAP Cloud Identity Services nell'URL del tenant di SAP Cloud Identity Services. Immettere l'endpoint del token, che potrebbe avere un aspetto simile al seguente https://<tenantID>.accounts.ondemand.com/oauth2/token. Immettere i valori ID client e Segreto clientgenerati in precedenza dalla console di amministrazione per SAP Cloud Identity Services. Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi a SAP Cloud Identity Services. Se la connessione non riesce, verificare che l'account di sistema SAP Cloud Identity Services disponga delle autorizzazioni di amministratore, che il segreto sia ancora valido e riprovare.

    Screenshot della sezione Credenziali amministratore nell'esperienza utente di provisioning.

    Screenshot della console di amministrazione di SAP Cloud Identity Services.

  9. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

    Screenshot del messaggio di posta elettronica di notifica.

  10. Seleziona Salva.

  11. Selezionare Scoprire identità nella panoramica del provisioning per scoprire gli account in SAP Cloud Identity Services. Questa opzione sarà visibile solo per le organizzazioni con licenze Entra ID Governance.

  12. Nella sezione Mappings selezionare Provisioning Microsoft Entra ID users o Provision Microsoft Entra ID groups a seconda dello scenario.

    Schermata dei mapping di utenti e gruppi per SAP Cloud Identity Services.

  13. Esaminare gli attributi utente e gruppo sincronizzati tra Microsoft Entra ID e SAP Cloud Identity Services nella sezione Attribute Mapping. Se gli attributi non vengono visualizzati in SAP Cloud Identity Services come destinazione per il mapping, selezionare Mostra opzioni avanzate e selezionare Modifica elenco di attributi per SAP Cloud Platform Identity Authentication Service per modificare l'elenco degli attributi supportati. Aggiungere gli attributi del tenant di SAP Cloud Identity Services.

  14. Esaminare e registrare gli attributi di origine e di destinazione selezionati come proprietà di corrispondenza, i mapping con una precedenza di corrispondenza, poiché questi attributi vengono usati per abbinare utenti e gruppi nei servizi SAP Cloud Identity per il servizio di provisioning di Microsoft Entra, al fine di determinare se creare un nuovo utente/gruppo o aggiornare un utente/gruppo esistente. Per altre informazioni sulla corrispondenza, vedere corrispondenza degli utenti nei sistemi di origine e destinazione. In un passaggio successivo, assicurati che gli utenti già presenti in SAP Cloud Identity Services abbiano gli attributi selezionati come proprietà corrispondenti popolate, per impedire la creazione di utenti duplicati.

  15. Verificare che sia presente un mapping di attributi per IsSoftDeletedo una funzione contenente IsSoftDeleted, mappata a un attributo dell'applicazione. Quando un utente viene disassegnato dall'applicazione, eliminato tramite soft-delete nel Microsoft Entra ID, o bloccato dall'effettuare l'accesso, il servizio di provisioning Microsoft Entra aggiornerà l'attributo mappato a isSoftDeleted. Se non viene eseguito il mapping di alcun attributo, gli utenti che successivamente vengono rimossi dal ruolo applicazione continueranno a esistere nell'archivio dati dell'applicazione.

  16. Aggiungere eventuali mapping aggiuntivi richiesti dai sistemi SAP cloud Identity Services o da sistemi SAP di destinazione downstream.

  17. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo utente Tipo Supportato per il filtraggio Richiesto da SAP Cloud Identity Services
    userName Stringa
    emails[type eq "work"].value Stringa
    active Booleano
    displayName Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Riferimento
    addresses[type eq "work"].country Stringa
    addresses[type eq "work"].locality Stringa
    addresses[type eq "work"].postalCode Stringa
    addresses[type eq "work"].region Stringa
    addresses[type eq "work"].streetAddress Stringa
    name.givenName Stringa
    name.familyName Stringa
    name.honorificPrefix Stringa
    phoneNumbers[type eq "fax"].value Stringa
    phoneNumbers[type eq "mobile"].value Stringa
    phoneNumbers[type eq "work"].value Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization Stringa
    locale Stringa
    timezone Stringa
    userType Stringa
    company Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9 Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10 Stringa
    sendMail Stringa
    mailVerified Stringa
    Attributo del gruppo Tipo Supportato per il filtraggio Richiesto da SAP Cloud Identity Services
    id Stringa
    externalId Stringa
    displayName Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:name Stringa
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:description Stringa
    members Riferimento

  18. Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Filtro di ambito.

  19. Per abilitare il servizio di provisioning Microsoft Entra per SAP Cloud Identity Services, modificare lo stato di Provisioning in On nella sezione Settings.

    Screenshot dello Stato di provisioning attivato.

  20. Per il valore di Ambito nella sezione Impostazioni selezionare Sincronizza solo utenti e gruppi assegnati.

    Screenshot dell'ambito di provisioning.

  21. Quando sei pronto a configurare, seleziona Salva.

    Screenshot della configurazione di provisioning in fase di salvataggio.

L'operazione avvia la sincronizzazione iniziale di tutti gli utenti definiti in Ambito nella sezione Impostazioni. Se l'ambito è impostato su Sincronizza solo utenti e gruppi assegnati e nessun utente o gruppo è stato assegnato all'applicazione, non verrà eseguita alcuna sincronizzazione, finché gli utenti non vengono assegnati all'applicazione.

Effettuare il provisioning di un nuovo utente di test da Microsoft Entra ID a SAP Cloud Identity Services

È consigliabile assegnare un singolo nuovo utente di test di Microsoft Entra a SAP Cloud Identity Services per testare la configurazione del provisioning automatico degli utenti.

  1. Per eseguire l'accesso al Interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione Cloud e un amministratore di utenti.
  2. Passare a Entra ID>Users.
  3. Selezionare Nuovo utente>Creare nuovo utente.
  4. Digitare il nome principale utente e il nome visualizzato del nuovo utente di test. Il nome dell'entità utente deve essere univoco e non lo stesso di un utente corrente o precedente di Microsoft Entra o dei SAP Cloud Identity Services. Selezionare Rivedi e crea e quindi Crea.
  5. Dopo aver creato l'utente di test, passare a Entra ID>App aziendali.
  6. Selezionare l'applicazione SAP Cloud Identity Services.
  7. Selezionare Utenti e gruppi e quindi Aggiungi utente/gruppo.
  8. In Utenti e gruppi, selezionare Nessuno selezionato, e nella casella di testo digitare il nome principale utente dell'utente di test.
  9. Selezionare Seleziona e quindi Assegna.
  10. Selezionare Provisioning e quindi selezionare Provision su richiesta.
  11. Nella casella di testo Selezionare un utente o un gruppo digitare il nome principale utente dell'utente di test.
  12. Selezionare Provision.
  13. Attendere che venga completato l'approvvigionamento. In caso di esito positivo, viene visualizzato il messaggio Modified attributes (successful).

Facoltativamente, è anche possibile verificare cosa il servizio di provisioning Microsoft Entra fornirà quando un utente non è più nell'ambito dell'applicazione.

  1. Seleziona Utenti e gruppi.
  2. Selezionare l'utente di test e quindi selezionare Rimuovi.
  3. Dopo aver rimosso l'utente di test, selezionare Provisioning e quindi selezionare Provision su richiesta.
  4. Nella casella di testo Selezionare un utente o un gruppo digitare il nome principale utente dell'utente di test appena disassegnato.
  5. Selezionare Provision.
  6. Attendere che venga completato l'approvvigionamento.

Infine, è possibile rimuovere l'utente di test da Microsoft Entra ID.

  1. Navigare fino a Entra ID>Users.
  2. Selezionare l'utente di test, selezionare Elimina e selezionare OK. Questa azione elimina temporaneamente l'utente di test da Microsoft Entra ID.

È anche possibile rimuovere l'utente di test da SAP Cloud Identity Services.

Identificare gli utenti esistenti nell'applicazione e assegnarli all'applicazione aziendale

Microsoft Entra può individuare gli utenti esistenti nella tua applicazione e semplificare l'assegnarli all'applicazione aziendale. Fare clic sul pulsante Individua identità nella pagina di panoramica del provisioning. Dopo aver generato il report, avrai una panoramica di tutti gli utenti nell'applicazione: quali utenti dell'applicazione corrispondono a un utente Microsoft Entra ID, quali utenti sono già assegnati all'applicazione aziendale in Microsoft Entra ID e quali utenti nell'applicazione non corrispondono a un utente Microsoft Entra ID. È quindi possibile eseguire uno script di PowerShell semplice per assegnare gli utenti individuati all'applicazione:

  1. Scaricare il file CorrelatedUsers.ps1.

  2. Creare assegnazioni di ruolo dell'applicazione per gli utenti che non dispongono attualmente di assegnazioni di ruolo (esecuzione asciutta):

    .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..." -DryRun

  3. Creare assegnazioni di ruolo dell'applicazione per gli utenti che non dispongono attualmente di assegnazioni di ruolo:

    .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..."

  4. Attendere un minuto per la propagazione delle modifiche all'interno di Microsoft Entra ID.

La funzionalità di individuazione richiede licenze Entra ID Governance. Le organizzazioni senza le licenze necessarie possono comunque seguire la procedura seguente per identificare gli utenti esistenti in SAP CLout Identity Services e assegnarli all'applicazione aziendale in Microsoft Entra.

Verificare che gli utenti di SAP Cloud Identity Services esistenti dispongano degli attributi di corrispondenza necessari

Prima di assegnare utenti non test all'applicazione SAP Cloud Identity Services in Microsoft Entra ID, è necessario assicurarsi che tutti gli utenti già in SAP Cloud Identity Services che rappresentino gli stessi utenti di Microsoft Entra ID, abbiano gli attributi di mapping popolati nei servizi SAP Cloud Identity.

Nel mapping del provisioning, gli attributi selezionati come proprietà Matching vengono usati per associare gli account utente in Microsoft Entra ID con gli account utente in SAP Cloud Identity Services. Se è presente un utente in Microsoft Entra ID senza corrispondenza in SAP Cloud Identity Services, il servizio di provisioning Microsoft Entra tenterà di creare un nuovo utente. Se è presente un utente in Microsoft Entra ID e una corrispondenza in SAP Cloud Identity Services, il servizio di provisioning Microsoft Entra aggiornerà l'utente di SAP Cloud Identity Services. Per questo motivo, è necessario assicurarsi che gli utenti già in SAP Cloud Identity Services abbiano gli attributi selezionati come proprietà corrispondenti popolate. In caso contrario, è possibile creare utenti duplicati. Se è necessario modificare l'attributo corrispondente nel mapping degli attributi dell'applicazione Microsoft Entra, vedere utenti corrispondenti nei sistemi di origine e di destinazione.

  1. Accedi alla console di amministrazione dei SAP Cloud Identity Services https://<tenantID>.accounts.ondemand.com/admin o https://<tenantID>.trial-accounts.ondemand.com/admin se si tratta di una versione di prova.

  2. Passare a Utenti e autorizzazioni > Esporta utenti.

  3. Selezionare tutti gli attributi necessari per abbinare gli utenti di Microsoft Entra con quelli in SAP. Questi attributi includono SCIM ID, userName, emails e altri attributi che puoi usare nei sistemi SAP come identificatori.

  4. Selezionare Esporta e attendere che il browser scarichi il file CSV.

  5. Aprire una finestra di PowerShell.

  6. Digitare lo script seguente in un editor. Nella riga 1, se è stato selezionato un attributo corrispondente diverso da userName, modificare il valore della sapScimUserNameField variabile impostando il nome dell'attributo SAP Cloud Identity Services. Nella riga 2, modifica l'argomento cambiando il nome del file CSV esportato da Users-exported-from-sap.csv al nome del file che hai scaricato.

    $sapScimUserNameField = "userName"
$existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
$count = 0
$warn = 0
foreach ($u in $existingSapUsers) {
 $id = $u.id
 if (($null -eq $id) -or ($id.length -eq 0)) {
     write-error "Exported CSV file doesn't contain the ID attribute of SAP Cloud Identity Services users."
     throw "ID attribute not available, re-export"
     return
 }
 $count++
 $userName = $u.$sapScimUserNameField
 if (($null -eq $userName) -or ($userName.length -eq 0)) {
     write-warning "SAP Cloud Identity Services user $id doesn't have a $sapScimUserNameField attribute populated"
     $warn++
 }
}
write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."

  7. Esegui lo script. Al termine dello script, se uno o più utenti mancavano l'attributo di corrispondenza richiesto, cercare tali utenti nel file CSV esportato o nella console di amministrazione di SAP Cloud Identity Services. Se tali utenti sono presenti anche in Microsoft Entra, è necessario prima aggiornare la rappresentazione di SAP Cloud Identity Services di tali utenti in modo che abbiano l'attributo corrispondente popolato.

  8. Dopo aver aggiornato gli attributi di tali utenti in SAP Cloud Identity Services, esportate poi nuovamente gli utenti da SAP Cloud Identity Services, come descritto nei passaggi da 2 a 5 e nei passaggi di PowerShell in questa sezione, per verificare che nessun utente in SAP Cloud Identity Services manchi di attributi corrispondenti che impediscano il provisioning a tali utenti.

Ora che è disponibile un elenco di tutti gli utenti ottenuti da SAP Cloud Identity Services, abbinare tali utenti con quelli presenti nell'archivio dati dell'applicazione e con gli utenti già in Microsoft Entra ID, per determinare quali utenti dovrebbero essere inclusi nell'ambito del provisioning.

Recuperare gli ID degli utenti in Microsoft Entra ID

Questa sezione illustra come interagire con Microsoft Entra ID usando i cmdlet Microsoft Graph PowerShell.

La prima volta che l'organizzazione usa questi cmdlet per questo scenario, è necessario essere in un ruolo di amministratore globale per consentire l'uso di Microsoft Graph PowerShell nel tenant. Le interazioni successive possono usare un ruolo con privilegi inferiori, ad esempio:

  • Amministratore utenti, se si prevede di creare nuovi utenti.
  • Amministratore dell'applicazione o Amministratore della governance delle identità, se si gestiscono solo le assegnazioni di ruolo dell'applicazione.

  1. Aprire PowerShell.

  2. Se non sono già installati i moduli di PowerShell Microsoft Graph installare il modulo Microsoft.Graph.Users e altri usando questo comando:

    Install-Module Microsoft.Graph

    Se i moduli sono già installati, assicurarsi di usare una versione recente:

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications

  3. Connettersi a Microsoft Entra ID:

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

  4. Se è la prima volta che è stato usato questo comando, potrebbe essere necessario fornire il consenso per consentire agli strumenti della riga di comando di Microsoft Graph di avere queste autorizzazioni.

  5. Leggere l'elenco degli utenti ottenuti dall'archivio dati dell'applicazione nella sessione di PowerShell. Se l'elenco degli utenti si trovava in un file CSV, è possibile usare il cmdlet Import-Csv di PowerShell e specificare il nome del file della sezione precedente come argomento.

    Ad esempio, se il file ottenuto da SAP Cloud Identity Services è denominato Users-exported-from-sap.csv e si trova nella directory corrente, immettere questo comando.

    $filename = ".\Users-exported-from-sap.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8

    Per un altro esempio se si usa un database o una directory, se il file è denominato users.csv e si trova nella directory corrente, immettere questo comando:

    $filename = ".\users.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8

  6. Scegliere la colonna del file users.csv che corrisponderà a un attributo di un utente in Microsoft Entra ID.

    Se si usa SAP Cloud Identity Services, il mapping predefinito è l'attributo SAP SCIM userName con l'attributo Microsoft Entra ID userPrincipalName:

    $db_match_column_name = "userName"
$azuread_match_attr_name = "userPrincipalName"

    Per un altro esempio se si usa un database o una directory, è possibile che gli utenti si trovino in un database in cui il valore nella colonna denominata EMail corrisponde al valore dell'attributo Microsoft Entra userPrincipalName:

    $db_match_column_name = "EMail"
$azuread_match_attr_name = "userPrincipalName"

  7. Recuperare gli ID di tali utenti in Microsoft Entra ID.

    Lo script di PowerShell seguente usa i $dbusersvalori , $db_match_column_namee $azuread_match_attr_name specificati in precedenza. Verrà eseguita una query Microsoft Entra ID per individuare un utente con un attributo con un valore corrispondente per ogni record nel file di origine. Se sono presenti molti utenti nel file ottenuto dall'origine SAP Cloud Identity Services, dal database o dalla directory, il completamento di questo script potrebbe richiedere alcuni minuti. Se non si dispone di un attributo in Microsoft Entra ID che abbia un valore specifico e si deve utilizzare un'espressione di filtro contains o un'altra espressione di filtro, sarà necessario personalizzare questo script e quello nel passaggio 11 qui sotto per usare un'espressione di filtro diversa.

    $dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

  8. Visualizzare i risultati delle query precedenti. Verificare se qualcuno degli utenti in SAP Cloud Identity Services, il database, o la directory non possono essere trovati in Microsoft Entra ID, a causa di errori o di corrispondenze mancanti.

    Lo script di PowerShell seguente visualizzerà i conteggi dei record che non si trovano:

    $dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

  9. Al termine dello script, indicherà un errore se i record dell'origine dati non si trovano in Microsoft Entra ID. Se non tutti i record per gli utenti dell'archivio dati dell'applicazione potrebbero essere individuati come utenti in Microsoft Entra ID, dovrai investigare quali record non corrispondono e perché.

    Ad esempio, l'indirizzo di posta elettronica e l'indirizzo userPrincipalName di un utente potrebbero essere stati modificati in Microsoft Entra ID senza che la proprietà corrispondente mail sia stata aggiornata nell'origine dati dell'applicazione. In alternativa, l'utente potrebbe aver già lasciato l'organizzazione, ma è ancora presente nell'origine dati dell'applicazione. In alternativa, potrebbe essere presente un account fornitore o amministratore con privilegi avanzati nell'origine dati dell'applicazione che non corrisponde a una persona specifica in Microsoft Entra ID.

  10. Se ci sono utenti che non possono essere trovati in Microsoft Entra ID, non sono attivi o non sono in grado di accedere, ma si desidera far esaminare il loro accesso o aggiornare i loro attributi in SAP Cloud Identity Services, nel database o nella directory, è necessario aggiornare l'applicazione, la regola di corrispondenza, oppure aggiornare o creare utenti di Microsoft Entra per loro. Per altre informazioni sulle modifiche da apportare, vedere gestione di mapping e account utente nelle applicazioni che non corrispondono agli utenti in Microsoft Entra ID.

    Se si sceglie l'opzione di creazione di utenti in Microsoft Entra ID, è possibile creare utenti in blocco usando una delle opzioni seguenti:

    Assicurati che questi nuovi utenti siano forniti degli attributi necessari affinché Microsoft Entra ID possa in seguito abbinarli agli utenti esistenti nell'applicazione, e degli attributi richiesti da Microsoft Entra ID, inclusi userPrincipalName, mailNickname e displayName. Il valore di userPrincipalName deve essere univoco tra tutti gli utenti nella directory.

    Ad esempio, si potrebbero avere utenti in un database in cui il valore nella colonna denominata EMail è il valore che si desidera usare come nome dell'entità utente Microsoft Entra, il valore nella colonna Alias contiene il nome alternativo di posta Microsoft Entra ID e il valore nella colonna Full name contiene il nome visualizzato dell'utente:

    $db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"

    È quindi possibile usare questo script per creare Microsoft Entra utenti per quelli in SAP Cloud Identity Services, nel database o nella directory che non corrispondono agli utenti in Microsoft Entra ID. Si noti che potrebbe essere necessario modificare questo script per aggiungere ulteriori attributi di Microsoft Entra richiesti nella propria organizzazione, oppure se l'attributo $azuread_match_attr_name non è né mailNicknameuserPrincipalName, per fornire quell'attributo di Microsoft Entra.

    $dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

  11. Dopo aver aggiunto utenti mancanti a Microsoft Entra ID, eseguire di nuovo lo script dal passaggio 7. Eseguire quindi lo script dal passaggio 8. Verificare che non vengano segnalati errori.

    $dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Verificare che gli utenti Microsoft Entra esistenti dispongano degli attributi necessari

Prima di abilitare il provisioning utenti automatico, è necessario decidere quali utenti in Microsoft Entra ID devono accedere a SAP Cloud Identity Services e quindi verificare che gli utenti abbiano gli attributi necessari in Microsoft Entra ID e che tali attributi siano mappati allo schema previsto di SAP Cloud Identity Services.

  • Per impostazione predefinita, il valore dell'attributo Microsoft Entra utente userPrincipalName viene mappato sia agli attributi userName che emails[type eq "work"].value di SAP Cloud Identity Services. Se gli indirizzi di posta elettronica dell'utente sono diversi dai nomi principali utente, potrebbe essere necessario modificare questa mappatura.
  • SAP Cloud Identity Services può ignorare i valori dell'attributo se il formato del codice postale/postale dell'azienda postalCode non corrisponde al paese o all'area geografica della società.
  • Per impostazione predefinita, l'attributo Microsoft Entra country viene mappato al campo SAP Cloud Identity Services addresses[type eq "work"].country. Se i valori dell'attributo country non sono due caratteri ISO 3166, la creazione di tali utenti in SAP Cloud Identity Services potrebbe non riuscire. Per altre informazioni, vedere countries.properties.
  • Per impostazione predefinita, l'attributo Microsoft Entra department viene mappato all'attributo SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department. Se gli utenti Microsoft Entra possiedono valori per l'attributo department, tali valori devono essere presenti negli stessi dipartimenti già configurati in SAP Cloud Identity Services; altrimenti, la creazione o l'aggiornamento dell'utente risulterà in un fallimento. Per altre informazioni, vedere departments.properties. Se i valori department negli utenti di Microsoft Entra non sono coerenti con quelli nell'ambiente SAP, aggiornare i valori del dipartimento in Microsoft Entra, aggiornare i valori di dipartimento consentiti in SAP Cloud Identity Services o rimuovere il mapping, prima di assegnare gli utenti.
  • L'endpoint SCIM di SAP Cloud Identity Services richiede un formato specifico per determinati attributi. Altre informazioni su questi attributi e sul loro formato specifico sono disponibili qui.

Assegnare utenti all'applicazione SAP Cloud Identity Services in Microsoft Entra ID

Microsoft Entra ID usa un concetto denominato assignments per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning utenti automatico, se il valore Impostazioni di Scope è Sincronizza solo utenti e gruppi assegnati, solo gli utenti e i gruppi assegnati a un ruolo dell'applicazione in Microsoft Entra ID vengono sincronizzati con SAP Cloud Identity Services. Quando si assegna un utente a SAP Cloud Identity Services, è necessario selezionare qualsiasi ruolo specifico dell'applicazione valido(se disponibile) nella finestra di dialogo di assegnazione. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning. Attualmente l'unico ruolo disponibile per SAP Cloud Identity Services è User.

Se il provisioning è già stato abilitato per l'applicazione, verificare che il provisioning dell'applicazione non sia in quarantena prima di assegnare più utenti all'applicazione. Risolvere eventuali problemi che causano la quarantena, prima di procedere.

Verificare la presenza di utenti presenti in SAP Cloud Identity Services e che non sono già assegnati all'applicazione in Microsoft Entra ID

I passaggi precedenti hanno valutato se gli utenti in SAP Cloud Identity Services esistono anche come utenti in Microsoft Entra ID. Tuttavia, potrebbero non essere tutti attualmente assegnati ai ruoli dell'applicazione in Microsoft Entra ID. I passaggi successivi sono quindi vedere quali utenti non hanno assegnazioni ai ruoli dell'applicazione.

  1. Usando PowerShell, cercare l'ID principale del servizio per il principale del servizio dell'applicazione.

    Ad esempio, se l'applicazione aziendale è denominata SAP Cloud Identity Services, immettere i comandi seguenti:

    $azuread_app_name = "SAP Cloud Identity Services"
$azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
$azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All

  2. Recuperare gli utenti che hanno attualmente assegnazioni all'applicazione in Microsoft Entra ID.

    Questo si basa sulla $azuread_sp variabile impostata nel comando precedente.

    $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)

  3. Confrontare l'elenco degli ID utente degli utenti già presenti in SAP Cloud Identity Services e Microsoft Entra ID a quelli attualmente assegnati all'applicazione in Microsoft Entra ID. Questo script si basa sulla $azuread_match_id_list variabile impostata nelle sezioni precedenti:

    $azuread_not_in_role_list = @()
foreach ($id in $azuread_match_id_list) {
   $found = $false
   foreach ($existing in $azuread_existing_assignments) {
      if ($existing.principalId -eq $id) {
         $found = $true; break;
      }
   }
   if ($found -eq $false) { $azuread_not_in_role_list += $id }
}
$azuread_not_in_role_count = $azuread_not_in_role_list.Count
Write-Output "$azuread_not_in_role_count users in the application's data store aren't assigned to the application roles."

    Se nessun utente è assegnato ai ruoli dell'applicazione, il che indica che tutti gli utenti sono assegnati ai ruoli dell'applicazione, ciò significa che non vi sono utenti in comune tra Microsoft Entra ID e SAP Cloud Identity Services, quindi non sono necessarie modifiche. Tuttavia, se uno o più utenti già in SAP Cloud Identity Services non sono attualmente assegnati ai ruoli dell'applicazione, è necessario continuare la procedura e aggiungerli a uno dei ruoli dell'applicazione.

  4. Selezionare il User ruolo principale di servizio dell'applicazione.

    $azuread_app_role_name = "User"
$azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}

  5. Creare assegnazioni di ruolo dell'applicazione per gli utenti che sono già presenti in SAP Cloud Identity Services e Microsoft Entra e non hanno attualmente assegnazioni di ruolo all'applicazione:

    foreach ($u in $azuread_not_in_role_list) {
   $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
}

  6. Attendere un minuto per la propagazione delle modifiche all'interno di Microsoft Entra ID.

  7. Nel ciclo di provisioning Microsoft Entra successivo, il servizio di provisioning Microsoft Entra confronta la rappresentazione di tali utenti assegnati all'applicazione, con la rappresentazione in SAP Cloud Identity Services e aggiorna gli utenti di SAP Cloud Identity Services in modo che abbiano gli attributi di Microsoft Entra ID.

Assegnare gli utenti rimanenti e monitorare la sincronizzazione iniziale

Al termine del test, viene eseguito correttamente il provisioning di un utente in SAP Cloud Identity Services e tutti gli utenti esistenti di SAP Cloud Identity Services vengono assegnati al ruolo applicazione, è possibile assegnare qualsiasi altro utente autorizzato all'applicazione SAP Cloud Identity Services seguendo una delle istruzioni riportate di seguito:

Dopo che gli utenti sono assegnati al ruolo dell'applicazione e sono nell'ambito del provisioning, il servizio di provisioning Microsoft Entra eseguirà il provisioning nei servizi di identità di SAP Cloud. Si noti che la sincronizzazione iniziale richiede più tempo rispetto alle sincronizzazioni successive, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning Microsoft Entra sia in esecuzione.

Se non vedi che gli utenti vengono forniti, consulta la procedura descritta nella guida alla risoluzione dei problemi per quando non vengono forniti utenti. Controllare quindi il log di provisioning tramite le API Interfaccia di amministrazione di Microsoft Entra o Graph. Filtrare il log in base allo stato Errore. Se si verificano errori con un codice di errore DuplicateTargetEntries, ciò significa un'ambiguità nelle regole di corrispondenza del provisioning ed è necessario aggiornare gli utenti di Microsoft Entra o i mapping usati nella corrispondenza per garantire che ogni utente di Microsoft Entra corrisponda a un utente di un'applicazione. Filtrare quindi il log per l'azione Crea e lo stato Ignorato. Se gli utenti sono stati esclusi con il codice SkipReason di NotEffectivelyEntitled, questo potrebbe indicare che gli account utente in Microsoft Entra ID non sono stati abbinati perché lo stato dell'account utente era Disabled.

Configurare Single Sign-On

È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per SAP Cloud Identity Services, seguendo le istruzioni fornite nell'articolo Single Sign-On di SAP Cloud Identity Services. La funzione di Single Sign-On può essere configurata indipendentemente dal provisioning automatico degli utenti, anche se queste due funzionalità si integrano a vicenda.

Monitoraggio del provisioning

È possibile usare la sezione Synchronization Details per monitorare lo stato di avanzamento e seguire i collegamenti al report delle attività di provisioning, che descrive tutte le azioni eseguite dal servizio di provisioning Microsoft Entra eseguite in SAP Cloud Identity Services. È anche possibile monitorare il progetto di provisioning tramite le API Microsoft Graph.

Per ulteriori informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Reporting sul provisioning automatico degli account utente.

Mantenere le assegnazioni di ruolo dell'applicazione

Man mano che gli utenti assegnati all'applicazione vengono aggiornati in Microsoft Entra ID, tali modifiche diventano automaticamente disponibili in SAP Cloud Identity Services. ```

Se si dispone di Microsoft Entra ID Governance, è possibile automatizzare le modifiche alle assegnazioni dei ruoli delle applicazioni per i SAP Cloud Identity Services in Microsoft Entra ID, aggiungendo o rimuovendo assegnazioni man mano che le persone si uniscono all'organizzazione, la lasciano o cambiano ruolo.

Aggiornare un'applicazione SAP Cloud Identity Services per usare l'endpoint SCIM 2.0 di SAP Cloud Identity Services

Nel mese di settembre 2025, Microsoft ha rilasciato un connettore SCIM 2.0 per SAP Cloud Identity Services, che aggiunge il supporto per il provisioning e il deprovisioning di gruppi, attributi di estensione personalizzati e l'autorizzazione tramite le credenziali client OAuth 2.0.

Il completamento dei passaggi seguenti consentirà ai clienti che in precedenza usano il connettore SAP Cloud Identity Services di passare dall'endpoint SCIM 1.0 all'endpoint SCIM 2.0.

  1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.

  2. Passare a Entra ID > Applicazioni aziendali > SAP Cloud Identity Services.

  3. Nella sezione Proprietà copiare l'ID oggetto.

    Screenshot della posizione in cui copiare l'ID oggetto nel pannello Proprietà del connettore SAP Cloud Identity Services.

  4. In una nuova finestra del Web browser passare a https://developer.microsoft.com/graph/graph-explorer e accedere come amministratore per il tenant Microsoft Entra in cui viene aggiunta l'app.

  5. Verificare che l'account usato disponga delle autorizzazioni corrette. Per apportare questa modifica, è necessaria l'autorizzazione "Directory.ReadWrite.All".

    Screenshot della schermata Autorizzazioni in Graph Explorer, in cui l'amministratore seleziona l'opzione per fornire il consenso per l'autorizzazione Directory.ReadWrite.All.

  6. Usando l'ID oggetto selezionato dall'app in precedenza, eseguire il comando seguente.

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
  1. Prendendo il valore "ID" dal corpo della risposta della richiesta dell'esempio GET precedente, eseguire il comando seguente, sostituendo "[job-id]" con il valore ID della GET richiesta. Il valore deve avere il formato "sapcloudidentityservices.xxxxxxxxxxxxxxx.xxxxxxxxxxxx":
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
  1. In Esplora Microsoft Graph eseguire il comando seguente. Sostituire "[object-id]" con l'ID entità servizio (ID oggetto) copiato dal terzo passaggio.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "sapcloudidentityservices" }

  1. Tornare alla prima finestra del Web browser e selezionare la scheda Provisioning per l'applicazione. La configurazione viene reimpostata. È possibile verificare che l'aggiornamento abbia esito positivo confermando che l'ID job inizia con "sapcloudidentityservices".

  2. Aggiornare l'URL del tenant nella sezione Credenziali di amministratore al seguente: https://<tenantID>.accounts.ondemand.com/scim, o https://<tenantid>.trial-accounts.ondemand.com/service/scim se una versione di valutazione.

  3. Ripristina le modifiche precedentemente apportate all'applicazione (dettagli di autenticazione, filtri di ambito, mapping di attributi personalizzati) e riattiva il provisioning.

Nota

Se non si ripristinano le impostazioni precedenti, è possibile che gli attributi (name.formatted ad esempio) vengano aggiornati in modo imprevisto in SAP Cloud Identity Services. Assicurarsi di controllare la configurazione prima di abilitare il provisioning.

Changelog

  • 9/30/2025 - Rilasciato a disponibilità generale una nuova versione del connettore SAP Cloud Identity Services che usa un endpoint SCIM 2.0. La nuova versione supporta il provisioning e il deprovisioning dei gruppi in SAP Cloud Identity Services, attributi di estensione personalizzati e concessione di credenziali client OAuth 2.0.

Altre risorse

Contenuto correlato

  • Last updated on