Configuración de SAP Cloud Identity Services para el aprovisionamiento automático de usuarios con Microsoft Entra ID

En este artículo se muestran los pasos para configurar el aprovisionamiento de Microsoft Entra ID a SAP Cloud Identity Services. El objetivo es configurar Microsoft Entra ID para aprovisionar y desaprovisionar automáticamente a los usuarios en SAP Cloud Identity Services, de modo que esos usuarios puedan autenticarse en SAP Cloud Identity Services y tener acceso a otras cargas de trabajo de SAP. SAP Cloud Identity Services admite el aprovisionamiento desde su directorio de identidad local a otras aplicaciones de SAP como sistemas de destino.

Requisitos previos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Un inquilino de SAP Cloud Identity Services
• Una cuenta de usuario en SAP Cloud Identity Services con permisos de administrador.
• Se requiere una licencia Microsoft Entra ID P1 para usar las funcionalidades de aprovisionamiento de grupos.

Si aún no tiene usuarios en Microsoft Entra ID, comience con el artículo planeación de la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP. El artículo ilustra cómo conectar Microsoft Entra con fuentes autoritativas para la lista de trabajadores de una organización, como SAP SuccessFactors. También muestra cómo usar Microsoft Entra para configurar identidades para esos trabajadores, de modo que puedan iniciar sesión en una o varias aplicaciones SAP, como SAP ECC o SAP S/4HANA.

Si va a configurar el aprovisionamiento en SAP Cloud Identity Services en un entorno de producción, donde va a gobernar el acceso a las cargas de trabajo de SAP mediante Gobierno de Microsoft Entra ID, revise los prerequisites antes de configurar Microsoft Entra ID para la gobernanza de identidades antes de continuar.

Configuración de SAP Cloud Identity Services para el aprovisionamiento

En este artículo, agregará un sistema de administración en SAP Cloud Identity Services y, a continuación, configurará Microsoft Entra.

1. Inicie sesión en la consola de administración de SAP Cloud Identity Services, https://<tenantID>.accounts.ondemand.com/admin o https://<tenantID>.trial-accounts.ondemand.com/admin, si se trata de una prueba. Vaya a Users & Authorizations (Usuarios y autorizaciones) > Administradores.

   

2. Presione el botón +Agregar en el panel izquierdo para agregar un nuevo administrador a la lista. Elija Agregar sistema y escriba el nombre del sistema.

   Nota:

   La identidad de administrador en SAP Cloud Identity Services debe ser de tipo System. Un usuario administrador no puede autenticarse en la API de SCIM de SAP al aprovisionar. SAP Cloud Identity Services no permite cambiar el nombre de un sistema después de crearlo.

3. En Configurar autorizaciones, cambie el botón de alternancia a Administrar usuarios. A continuación, seleccione Guardar para crear el sistema.

   

4. Una vez creado el sistema de administrador, agregue un nuevo secreto a ese sistema.

5. Copie el identificador de cliente y el secreto de cliente generados por SAP. Estos valores se escriben en los campos Nombre de usuario de administrador y Contraseña de administrador respectivamente. Esto se hace en la pestaña Aprovisionamiento de la aplicación SAP Cloud Identity Services, que configuró en la sección siguiente.

6. SAP Cloud Identity Services puede tener asignaciones a una o varias aplicaciones SAP como sistemas de destino. Compruebe si hay algún atributo en los usuarios que esas aplicaciones SAP necesiten aprovisionar a través de SAP Cloud Identity Services. En este artículo se da por supuesto que SAP Cloud Identity Services y los sistemas de destino secundarios requieren dos atributos, userName y emails[type eq "work"].value. Si los sistemas de destino de SAP requieren otros atributos y no forman parte del esquema de usuario de Microsoft Entra ID, es posible que tenga que configurar los atributos de extensión synching.

Agregar SAP Cloud Identity Services desde la galería

Antes de configurar Microsoft Entra ID para tener el aprovisionamiento automático de usuarios en SAP Cloud Identity Services, debe agregar SAP Cloud Identity Services desde la galería de aplicaciones de Microsoft Entra a la lista de aplicaciones empresariales de su inquilino. Puede realizar este paso en el Centro de administración Microsoft Entra o a través del Graph API.

Si SAP Cloud Identity Services ya está configurado para el inicio de sesión único desde Microsoft Entra mediante SAML y ya hay una aplicación presente en la lista de Microsoft Entra de aplicaciones empresariales, continúe en la sección siguiente.

Adición de SAP Cloud Identity Services mediante el Centro de administración Microsoft Entra

Para agregar SAP Cloud Identity Services desde la galería de aplicaciones de Microsoft Entra mediante el Centro de administración Microsoft Entra, realice los pasos siguientes:

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de Aplicaciones en la Nube.
2. Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. Para agregar la aplicación desde la galería, escriba SAP Cloud Identity Services en el cuadro de búsqueda.
4. Seleccione SAP Cloud Identity Services en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
5. Continúe en la sección siguiente para configurar el aprovisionamiento.

Adición de SAP Cloud Identity Services mediante Microsoft Graph

Puedes crear un principal de aplicación y servicio a través de la APIde Graph.

En primer lugar, recupere el identificador de plantilla de aplicación de la galería para SAP Cloud Identity Services.

GET https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayName eq 'SAP Cloud Identity Services'

Extrae la id plantilla de solicitud de la respuesta. Luego, crea la aplicación de la galería y el director de servicio.

POST https://graph.microsoft.com/v1.0/applicationTemplates/{applicationTemplateId}/instantiate
Content-type: application/json

{
  "displayName": "SAP Cloud Identity Services"
}

La respuesta contendrá los nuevos objetos de aplicación y principal de servicio.

A continuación, recupera la plantilla para la configuración de aprovisionamiento, usando el id principal de servicio que acaba de crear.

GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/templates

Para habilitar la provisión, tendrás que crear un trabajo. Use la siguiente solicitud para crear un trabajo de aprovisionamiento. Utilice el id del paso anterior como templateId al especificar la plantilla que se usará para el trabajo.

POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs
Content-type: application/json

{
    "templateId": "sapcloudidentityservices"
}

Como se describe en la siguiente sección, puedes configurar aún más el trabajo de aprovisionamiento y el esquema de plantilla asociado al principal de servicio. A continuación, autoriza el acceso para que Microsoft Entra se autentique en SAP Cloud Identity Services y, a continuación, inicia el trabajo de aprovisionamiento.

Configurar el aprovisionamiento automático de usuarios en SAP Cloud Identity Services

Esta sección le guía por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios y grupos en SAP Cloud Identity Services en función de las asignaciones de usuarios y grupos a una aplicación en Microsoft Entra ID.

Para configurar el aprovisionamiento automático de usuarios para SAP Cloud Identity Services en Microsoft Entra ID:

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de Aplicaciones en la Nube.

2. Vaya a Entra ID>Aplicaciones empresariales

   

3. En la lista de aplicaciones, seleccione la aplicación SAP Cloud Identity Services.

   

4. Seleccione la pestaña Propiedades .

5. Compruebe que la opción Asignación requerida está establecida en Sí. Si se establece en No, todos los usuarios del directorio, incluidas las identidades externas, pueden acceder a la aplicación y no puede revisar el acceso a la aplicación.

6. Seleccione la pestaña Aprovisionamiento .

   

7. Establecer + Nueva configuración.

   

8. En el campo Url del inquilino , escriba la dirección URL del inquilino de SAP Cloud Identity Services y el token secreto. Seleccione Test Connection para asegurarse de que Microsoft Entra ID puede conectarse a SAP Cloud Identity Services. Si se produce un error en la conexión, asegúrese de que la cuenta de SAP Cloud Identity Services tiene los permisos de administrador necesarios e inténtelo de nuevo.

   

9. Seleccione Crear para crear la configuración.

10. Seleccione Propiedades en la página Información general .

11. Seleccione el lápiz para editar las propiedades. Habilite los correos electrónicos de notificación y proporcione un correo electrónico para recibir correos electrónicos de cuarentena. Habilitación de la prevención de eliminaciones accidentales. Seleccione Aplicar para guardar los cambios.

    

12. Seleccione Asignación de atributos en el panel izquierdo y seleccione usuarios.

13. Revise los atributos de usuario y grupo que se sincronizan desde Microsoft Entra ID hacia SAP Cloud Identity Services en la sección Attribute Mapping. Si no ve los atributos en SAP Cloud Identity Services disponibles como destino para la asignación, seleccione Mostrar opciones avanzadas y seleccione Editar lista de atributos para SAP Cloud Platform Identity Authentication Service para editar la lista de atributos admitidos. Agregue los atributos del inquilino de SAP Cloud Identity Services.

14. Revisa y registra los atributos de origen y destino seleccionados como propiedades de coincidencia, mapeos que tienen precedencia de coincidencia, ya que estos atributos se utilizan para emparejar a los usuarios y grupos en SAP Cloud Identity Services para el servicio de aprovisionamiento Microsoft Entra, para determinar si crear un nuevo usuario/grupo o actualizar un usuario/grupo existente. Para obtener más información sobre la coincidencia, consulte Coincidencia de usuarios en los sistemas de origen y de destino. En un paso posterior, se asegura de que cualquier usuario que ya esté en SAP Cloud Identity Services tenga los atributos seleccionados como propiedades de coincidencia llenos, para evitar que se creen usuarios duplicados.

15. Confirme que haya una asignación de atributos para IsSoftDeleted, o una función que contenga IsSoftDeleted asignado a un atributo de la aplicación. Cuando un usuario se desasigna de la aplicación, se elimina temporalmente en Microsoft Entra ID o se bloquea el inicio de sesión, el servicio de aprovisionamiento de Microsoft Entra actualizará el atributo mapeado a isSoftDeleted. Si no se ha asignado ningún atributo, los usuarios que más adelante no tengan asignado el rol de aplicación seguirán existiendo en el almacén de datos de la aplicación.

16. Agregue las asignaciones adicionales que requieran SAP Cloud Identity Services o los sistemas SAP de destino de nivel inferior.

17. Seleccione el botón Guardar para confirmar los cambios.

    Atributo de usuario	Tipo	Compatible con el filtrado	Requerido por SAP Cloud Identity Services
    userName	Cadena	✓	✓
    emails[type eq "work"].value	Cadena		✓
    active	Booleano
    displayName	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Referencia
    addresses[type eq "work"].country	Cadena
    addresses[type eq "work"].locality	Cadena
    addresses[type eq "work"].postalCode	Cadena
    addresses[type eq "work"].region	Cadena
    addresses[type eq "work"].streetAddress	Cadena
    name.givenName	Cadena
    name.familyName	Cadena
    name.honorificPrefix	Cadena
    phoneNumbers[type eq "fax"].value	Cadena
    phoneNumbers[type eq "mobile"].value	Cadena
    phoneNumbers[type eq "work"].value	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Cadena
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	Cadena
    locale	Cadena
    timezone	Cadena
    userType	Cadena
    company	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10	Cadena
    sendMail	Cadena
    mailVerified	Cadena

    Atributo de grupo	Tipo	Compatible con el filtrado	Requerido por SAP Cloud Identity Services
    id	Cadena	✓	✓
    externalId	Cadena
    displayName	Cadena		✓
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:name	Cadena
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:description	Cadena
    members	Referencia		✓

18. Para configurar filtros de ámbito, consulte las siguientes instrucciones proporcionadas en el artículo de filtro de ámbito.

    

19. Use el aprovisionamiento a petición para validar la sincronización con un pequeño número de usuarios antes de implementar más ampliamente en su organización.

20. Cuando esté listo para aprovisionar, seleccione Iniciar aprovisionamiento en la página Información general .

Aprovisionamiento de un nuevo usuario de prueba de Microsoft Entra ID a SAP Cloud Identity Services

Se recomienda asignar un único usuario de prueba Microsoft Entra nuevo a SAP Cloud Identity Services para probar la configuración de aprovisionamiento automático de usuarios.

1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube y un administrador de usuarios.
2. Vaya a Entra ID>Usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario.
4. Escriba el nombre principal de usuario y el nombre para mostrar del nuevo usuario de prueba. El nombre principal de usuario debe ser único y no el mismo de ningún usuario actual o anterior Microsoft Entra usuario o usuario de SAP Cloud Identity Services. Seleccione Revisar y crear y Crear.
5. Una vez creado el usuario de prueba, vaya a Entra ID>Aplicaciones empresariales.
6. Seleccione la aplicación SAP Cloud Identity Services.
7. Seleccione Usuarios y grupos y, a continuación, seleccione Agregar usuario o grupo.
8. En usuarios y grupos , seleccione Ninguno seleccionado y, en el cuadro de texto, escriba el nombre principal de usuario del usuario de prueba.
9. Seleccione Seleccionar y, a continuación, Asignar.
10. Seleccione Provisioning (Aprovisionamiento) y, a continuación, seleccione Provision on demand (Aprovisionar a petición).
11. En el cuadro de texto Seleccionar un usuario o grupo , escriba el nombre principal de usuario del usuario de prueba.
12. Seleccione Aprovisionar.
13. Espere a que se complete el aprovisionamiento. Si se ejecuta correctamente, verá el mensaje Modified attributes (successful).

También puede comprobar opcionalmente lo que el servicio de aprovisionamiento de Microsoft Entra aprovisionará cuando un usuario salga del ámbito de la aplicación.

1. Seleccione Usuarios y grupos.
2. Seleccione el usuario de prueba y, a continuación, seleccione Quitar.
3. Una vez quitado el usuario de prueba, seleccione Aprovisionamiento y, a continuación, seleccione Aprovisionar a petición.
4. En el cuadro de texto Seleccionar un usuario o grupo , escriba el nombre principal de usuario del usuario de prueba que acaba de desasignado.
5. Seleccione Aprovisionar.
6. Espere a que se complete el aprovisionamiento.

Por último, puede quitar el usuario de prueba de Microsoft Entra ID.

1. Vaya a Entra ID>Usuarios.
2. Seleccione el usuario de prueba, seleccione Eliminar y seleccione Aceptar. Esta acción elimina temporalmente al usuario de prueba de Microsoft Entra ID.

Después también podrá quitar el usuario de prueba de SAP Cloud Identity Services.

Identificar los usuarios existentes en la aplicación y asignarlos a la aplicación empresarial

Microsoft Entra puede detectar los usuarios existentes en la aplicación y simplificar su asignación a la aplicación empresarial. Haga clic en el botón detectar identidades en la página de información general del aprovisionamiento. Una vez que se genere el informe, tendrá una vista de todos los usuarios de su aplicación: qué usuarios de la aplicación coinciden con un usuario de Microsoft Entra ID, cuáles ya están asignados a la aplicación empresarial en Microsoft Entra ID, y cuáles no coinciden con un usuario de Microsoft Entra ID. A continuación, puede ejecutar un script de PowerShell sencillo para asignar los usuarios detectados a la aplicación:

1. Descargue el archivo CorrelatedUsers.ps1.

2. Cree asignaciones de roles de aplicación para los usuarios que actualmente no tienen asignaciones de roles (ejecución seca):

   .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..." -DryRun
   

3. Cree asignaciones de roles de aplicación para los usuarios que no tienen actualmente asignaciones de roles:

   .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..."
   

4. Espere un minuto para que los cambios se propague en Microsoft Entra ID.

La funcionalidad de detección requiere licencias Entra ID Governance. Las organizaciones sin las licencias necesarias pueden seguir los pasos siguientes para identificar a los usuarios existentes en SAP CLout Identity Services y asignarlos a la aplicación empresarial en Microsoft Entra.

Asegurarse de que los usuarios existentes de SAP Cloud Identity Services tengan los atributos coincidentes necesarios

Antes de asignar usuarios no de prueba a la aplicación SAP Cloud Identity Services en Microsoft Entra ID, debe asegurarse de que los usuarios que ya estén en SAP Cloud Identity Services que representen a las mismas personas que los usuarios de Microsoft Entra ID, tengan los atributos de mapeo rellenados en SAP Cloud Identity Services.

En el mapeo de aprovisionamiento, los atributos seleccionados como atributos de coincidencia se utilizan para emparejar las cuentas de usuario en Microsoft Entra ID con las cuentas de usuario en SAP Cloud Identity Services. Si hay un usuario en Microsoft Entra ID sin coincidencia en SAP Cloud Identity Services, el servicio de aprovisionamiento de Microsoft Entra intentará crear un nuevo usuario. Si hay un usuario en Microsoft Entra ID y una coincidencia en SAP Cloud Identity Services, el servicio de aprovisionamiento de Microsoft Entra actualizará ese usuario de SAP Cloud Identity Services. Por este motivo, debe asegurarse de que todos los usuarios que ya estén en SAP Cloud Identity Services tengan los atributos seleccionados como propiedades coincidentes rellenados; de lo contrario, se pueden crear usuarios duplicados. Si necesita cambiar el atributo coincidente en la asignación de atributos de aplicación de Microsoft Entra, consulte emparejamiento de usuarios en los sistemas de origen y destino.

1. Inicie sesión en la consola de administración de SAP Cloud Identity Services, https://<tenantID>.accounts.ondemand.com/admin o https://<tenantID>.trial-accounts.ondemand.com/admin, si se trata de una prueba.

2. Vaya a Usuarios y autorizaciones > Exportar usuarios.

3. Seleccione todos los atributos necesarios para emparejar a los usuarios de Microsoft Entra con los de SAP. Estos atributos incluyen los atributos SCIM ID, userName, emails y otros que puede usar en los sistemas SAP como identificadores.

4. Seleccione Exportar y espere a que el explorador descargue el archivo CSV.

5. Abra una ventana de PowerShell.

6. Escriba el siguiente script en un editor. En la línea uno, si ha seleccionado un atributo coincidente distinto de userName, cambie el valor de la variable sapScimUserNameField por el nombre del atributo SAP Cloud Identity Services. En la línea dos, cambie el argumento al nombre de archivo del archivo CSV exportado de Users-exported-from-sap.csv al nombre del archivo descargado.

   $sapScimUserNameField = "userName"
   $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
   $count = 0
   $warn = 0
   foreach ($u in $existingSapUsers) {
    $id = $u.id
    if (($null -eq $id) -or ($id.length -eq 0)) {
        write-error "Exported CSV file doesn't contain the ID attribute of SAP Cloud Identity Services users."
        throw "ID attribute not available, re-export"
        return
    }
    $count++
    $userName = $u.$sapScimUserNameField
    if (($null -eq $userName) -or ($userName.length -eq 0)) {
        write-warning "SAP Cloud Identity Services user $id doesn't have a $sapScimUserNameField attribute populated"
        $warn++
    }
   }
   write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
   

7. Ejecute el script. Cuando se complete el script, si había uno o varios usuarios que no tenían el atributo coincidente necesario, busque esos usuarios en el archivo CSV exportado o en la consola de administración de SAP Cloud Identity Services. Si esos usuarios también están presentes en Microsoft Entra, primero debe actualizar la representación de SAP Cloud Identity Services de esos usuarios para que tengan rellenado el atributo coincidente.

8. Una vez que haya actualizado los atributos de esos usuarios en SAP Cloud Identity Services, vuelva a exportar los usuarios de SAP Cloud Identity Services, como se describe en los pasos 2-5 y en los pasos de PowerShell de esta sección, para confirmar que a ningún usuario de SAP Cloud Identity Services le falten los atributos coincidentes que impedirían su aprovisionamiento.

Ahora que tiene una lista de todos los usuarios obtenidos de SAP Cloud Identity Services, debe comparar esos usuarios del almacén de datos de la aplicación con los usuarios que ya están en Microsoft Entra ID, para determinar qué usuarios deben incluirse en el ámbito del aprovisionamiento.

Recuperar los identificadores de los usuarios en Microsoft Entra ID

En esta sección se muestra cómo interactuar con Microsoft Entra ID usando cmdlets de Microsoft Graph PowerShell.

La primera vez que la organización use estos cmdlets para este escenario, deberá tener un rol de administrador global para permitir el uso de PowerShell de Microsoft Graph en el inquilino. Las interacciones posteriores pueden usar un rol con privilegios inferiores, como:

• Administrador de usuarios, si prevé crear nuevos usuarios.
• Administrador de aplicaciones o Administrador de gobernanza de identidades, si solo está administrando asignaciones de roles de aplicación.

1. Abra PowerShell.

2. Si aún no ha instalado los módulos de PowerShell de Microsoft Graph, instale el módulo y otros mediante este comando:

   Install-Module Microsoft.Graph
   

   Si ya tiene instalados los módulos, asegúrese de que usa una versión reciente:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Conéctese a Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Si es la primera vez que ha usado este comando, es posible que tenga que dar su consentimiento para permitir que las herramientas de línea de comandos de Microsoft Graph tengan estos permisos.

5. Lea la lista de usuarios obtenida del almacén de datos de la aplicación en la sesión de PowerShell. Si la lista de usuarios estaba en un archivo .csv, puede usar el cmdlet Import-Csv de PowerShell y proporcionar el nombre del archivo de la sección anterior como argumento.

   Por ejemplo, si el archivo obtenido de SAP Cloud Identity Services se denomina Users-exported-from-sap.csv y se encuentra en el directorio actual, escriba este comando.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Para otro ejemplo si usa una base de datos o un directorio, si el archivo se denomina users.csv y se encuentra en el directorio actual, escriba este comando:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Elija la columna del archivo users.csv que coincidirá con un atributo de un usuario en Microsoft Entra ID.

   Si está utilizando los servicios de identidad de SAP Cloud, entonces la asignación predeterminada es el atributo SCIM de SAP userName con el atributo Microsoft Entra ID userPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Por otro ejemplo, si usa una base de datos o un directorio, es posible que tenga usuarios en una base de datos donde el valor de la columna denominada EMail sea el mismo valor que en el atributo Microsoft Entra userPrincipalName:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Recupere los identificadores de esos usuarios en Microsoft Entra ID.

   El siguiente script de PowerShell usa los valores $dbusers, $db_match_column_name y $azuread_match_attr_name especificados anteriormente. Consultará Microsoft Entra ID para buscar un usuario que tenga un atributo con un valor coincidente para cada registro del archivo de origen. Si hay muchos usuarios en el archivo obtenido de los Servicios de Identidad en la Nube de SAP, de la base de datos o del directorio, este script puede tardar varios minutos en finalizar. Si no dispone de un atributo en Microsoft Entra ID con el valor y necesita usar un contains u otra expresión de filtro, deberá personalizar este script y el del paso 11 siguiente para usar una expresión de filtro diferente.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Observe los resultados de las consultas anteriores. Vea si alguno de los usuarios de SAP Cloud Identity Services, la base de datos o el directorio no se pudieron encontrar en Microsoft Entra ID debido a errores o coincidencias faltantes.

   El siguiente script de PowerShell mostrará los recuentos de los registros que no se encontraron:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Cuando finalice el script, indicará un error si no se encontraron registros del origen de datos en Microsoft Entra ID. Si no todos los registros de los usuarios del almacén de datos de la aplicación se pueden ubicar como usuarios en Microsoft Entra ID, deberá investigar qué registros no coincidieron y por qué.

   Por ejemplo, es posible que la dirección de correo electrónico de alguien y userPrincipalName se hayan cambiado en Microsoft Entra ID sin que su propiedad mail correspondiente se actualice en el origen de datos de la aplicación. O bien, es posible que el usuario ya haya dejado la organización, pero siga estando en el origen de datos de la aplicación. O puede haber una cuenta de proveedor o superadministrador en el origen de datos de la aplicación que no se corresponda con ninguna persona específica de Microsoft Entra ID.

10. Si había usuarios que no se podían encontrar en Microsoft Entra ID, o no estaban activos ni podían iniciar sesión, pero quiere que su acceso sea revisado o que sus atributos se actualicen en SAP Cloud Identity Services, la base de datos o el directorio, deberá actualizar la aplicación, la regla de coincidencia o bien actualizar o crear usuarios de Microsoft Entra para ellos. Para más información sobre qué cambio realizar, consulte Administrar asignaciones y usuarios en aplicaciones que no coincidían con los usuarios en Microsoft Entra ID.

    Si elige la opción de crear usuarios en Microsoft Entra ID, puede crear usuarios de forma masiva mediante:

    • Un archivo CSV, como se describe en Bulk crea usuarios en el Centro de administración Microsoft Entra
    • El cmdlet New-MgUser

    Asegúrese de que estos nuevos usuarios se rellenen con los atributos necesarios para que Microsoft Entra ID coincida posteriormente con los usuarios existentes de la aplicación, así como con los atributos requeridos por Microsoft Entra ID, incluidos userPrincipalName, mailNickname y displayName. El valor de userPrincipalName debe ser único entre todos los usuarios del directorio.

    Por ejemplo, puede tener usuarios en una base de datos donde el valor de la columna denominada EMail es el valor que desea usar como nombre principal de usuario Microsoft Entra, el valor de la columna Alias contiene el alias de correo Microsoft Entra ID y el valor de la columna Full name contiene el nombre para mostrar del usuario:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Después, puede usar este script para crear Microsoft Entra usuarios para los de SAP Cloud Identity Services, la base de datos o el directorio que no coincidan con los usuarios de Microsoft Entra ID. Tenga en cuenta que es posible que tenga que modificar este script para agregar atributos de Microsoft Entra adicionales necesarios en la organización o si el $azuread_match_attr_name no es mailNickname ni userPrincipalName, para proporcionar ese atributo Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Después de agregar los usuarios que faltan a Microsoft Entra ID, vuelva a ejecutar el script del paso 7. A continuación, ejecute el script del paso 8. Compruebe que no se notifique ningún error.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Asegúrese de que los usuarios de Microsoft Entra existentes tengan los atributos necesarios.

Antes de habilitar el aprovisionamiento automático de usuarios, debe decidir qué usuarios de Microsoft Entra ID necesitan acceso a SAP Cloud Identity Services y, a continuación, debe comprobar que esos usuarios tienen los atributos necesarios en Microsoft Entra ID y esos atributos se asignan al esquema esperado de SAP Cloud Identity Services.

• De forma predeterminada, el valor del atributo Microsoft Entra usuario userPrincipalName se asigna a los atributos userName y emails[type eq "work"].value de SAP Cloud Identity Services. Si las direcciones de correo electrónico de los usuarios son diferentes de sus nombres principales de usuario, es posible que deba cambiar este mapeo.
• SAP Cloud Identity Services puede omitir los valores del atributo postalCode si el formato del código postal de la empresa no coincide con el país o región de la empresa.
• De forma predeterminada, el atributo Microsoft Entra country se asigna al campo sap Cloud Identity Services addresses[type eq "work"].country. Si los valores del country atributo no son códigos de país ISO 3166 de dos caracteres, es posible que se produzca un error en la creación de esos usuarios en SAP Cloud Identity Services. Para obtener más información, vea countries.properties.
• De forma predeterminada, el atributo Microsoft Entra se asigna al atributo /> de SAP Cloud Identity Services . Si los usuarios de Microsoft Entra tienen valores del atributo department, esos valores deben coincidir con los departamentos ya configurados en SAP Cloud Identity Services, de lo contrario, se producirá un error en la creación o actualización del usuario. Para obtener más información, consulte departments.properties. Si los department valores en tus usuarios de Microsoft Entra no son consistentes con los de tu entorno SAP, entonces actualiza los valores de departamento en Microsoft Entra, actualiza los valores permitidos en SAP Cloud Identity Services, o elimina el mapeo antes de asignar usuarios.
• El punto de conexión SCIM de SAP Cloud Identity Services requiere que determinados atributos sean de formato específico. Puede obtener más información sobre estos atributos y su formato específico aquí.

Asignación de usuarios a la aplicación SAP Cloud Identity Services en Microsoft Entra ID

Microsoft Entra ID usa un concepto denominado assignments para determinar qué usuarios deben recibir acceso a las aplicaciones seleccionadas. En el contexto del aprovisionamiento automático de usuarios, si el valor de configuración de Scope es Sincronizar solo los usuarios y grupos asignados, entonces solo los usuarios y grupos que se han asignado a un rol de aplicación en Microsoft Entra ID se sincronizan con SAP Cloud Identity Services. Al asignar un usuario a SAP Cloud Identity Services, debe seleccionar cualquier rol válido específico de la aplicación (si está disponible) en el cuadro de diálogo de asignación. Los usuarios con el rol acceso predeterminado se excluyen del aprovisionamiento. Actualmente, el único rol disponible para SAP Cloud Identity Services es Usuario.

Si el aprovisionamiento ya se ha habilitado para la aplicación, compruebe que el aprovisionamiento de la aplicación no está en cuarentena antes de asignar más usuarios a la aplicación. Resuelva los problemas que causan la cuarentena antes de continuar.

Verifique los usuarios que están presentes en SAP Cloud Identity Services y que aún no han sido asignados a la aplicación en Microsoft Entra ID.

Los pasos anteriores han evaluado si los usuarios de SAP Cloud Identity Services también existen como usuarios en Microsoft Entra ID. Sin embargo, puede que no todos estén actualmente asignados a los roles de la aplicación en Microsoft Entra ID. Por lo tanto, los pasos siguientes consisten en ver qué usuarios no tienen asignaciones a roles de aplicación.

1. Con PowerShell, busque el id. de la entidad de servicio de la aplicación.

   Por ejemplo, si la aplicación empresarial se llama SAP Cloud Identity Services, escriba los siguientes comandos:

   $azuread_app_name = "SAP Cloud Identity Services"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Recupere los usuarios que actualmente tienen asignaciones a la aplicación en Microsoft Entra ID.

   Esto se basa en la variable $azuread_sp establecida en el comando anterior.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Compare la lista de identificadores de usuario de los usuarios que ya están en SAP Cloud Identity Services y Microsoft Entra ID a los usuarios asignados actualmente a la aplicación en Microsoft Entra ID. Este script se basa en la variable $azuread_match_id_list establecida en las secciones anteriores:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store aren't assigned to the application roles."
   

   Si hay cero usuarios no asignados a roles de aplicación, lo que indica que todos los usuarios sí están asignados a los roles de aplicación, esto indica que no había usuarios en común en Microsoft Entra ID y SAP Cloud Identity Services, por lo que no se necesitan cambios. Sin embargo, si uno o varios usuarios que ya están en SAP Cloud Identity Services no están asignados actualmente a los roles de aplicación, debe continuar el procedimiento y agregarlos a uno de los roles de la aplicación.

4. Seleccione el rol User del principal de servicio de la aplicación.

   $azuread_app_role_name = "User"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

5. Cree asignaciones de roles de aplicación para los usuarios que ya están presentes en SAP Cloud Identity Services y Microsoft Entra, y actualmente no tienen asignaciones de roles a la aplicación:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
   }
   

6. Espere un minuto para que los cambios se propague en Microsoft Entra ID.

7. En el siguiente ciclo de aprovisionamiento Microsoft Entra, el servicio de aprovisionamiento de Microsoft Entra comparará la representación de los usuarios asignados a la aplicación, con la representación en SAP Cloud Identity Services y actualizará los usuarios de SAP Cloud Identity Services para que tengan los atributos de Microsoft Entra ID.

Asignar usuarios restantes y supervisar la sincronización inicial

Después de completar la prueba, cuando un usuario esté aprovisionado correctamente en los servicios de identidad en la nube de SAP y los usuarios existentes de SAP Cloud Identity Services hayan sido asignados al rol de aplicación, usted puede asignar a usuarios autorizados adicionales a la aplicación SAP Cloud Identity Services siguiendo una de las instrucciones que se indican aquí:

• Puede assignar a cada usuario individual a la aplicación en el Centro de administración Microsoft Entra,
• Puede asignar usuarios individuales a la aplicación a través del cmdlet New-MgServicePrincipalAppRoleAssignedTo de PowerShell, como se muestra en la sección anterior, o bien
• Si su organización tiene una licencia para Gobierno de Microsoft Entra ID, también puede implementar directivas de administración de derechos para automatizar la asignación de acceso.

Una vez que los usuarios se asignan al rol de la aplicación y están dentro del ámbito de aprovisionamiento, el servicio de aprovisionamiento Microsoft Entra los aprovisionará en SAP Cloud Identity Services. Tenga en cuenta que la sincronización inicial tarda más tiempo en realizarse que las posteriores sincronizaciones, que se producen aproximadamente cada 40 minutos, siempre y cuando se ejecute el servicio de aprovisionamiento de Microsoft Entra.

Si no ve que se aprovisionen usuarios, revise los pasos de la guía de solución de problemas "No se está aprovisionando ningún usuario". A continuación, compruebe el registro de aprovisionamiento a través de las API de Centro de administración Microsoft Entra o Graph. Filtre el registro al estado Error. Si hay fallos con un Código de Error de EntradasObjetivo Duplicadas, esto indica una ambigüedad en tus reglas de correspondencia de provisionamiento, y necesitas actualizar los usuarios de Microsoft Entra o los mapeos que se usan para la correspondencia para asegurarte de que cada usuario de Microsoft Entra coincida con un usuario de la aplicación. A continuación, filtre el registro por la acción Crear y el estado Omitido. Si los usuarios fueron omitidos con el código SkipReason de NotEffectivelyEntitled, esto puede indicar que las cuentas de usuario en el ID de Microsoft Entra no coincidieron porque el estado de la cuenta de usuario fue Desactivado.

Configurar el inicio de sesión único

También puede optar por habilitar el inicio de sesión único basado en SAML para SAP Cloud Identity Services, siguiendo las instrucciones proporcionadas en el artículo de inicio de sesión único de SAP Cloud Identity Services. El inicio de sesión único puede configurarse independientemente del aprovisionamiento automático de usuarios, aunque estas dos características se complementan entre sí.

Supervisar el aprovisionamiento

Puede usar la sección Incronización detalles para supervisar el progreso y seguir los vínculos al informe de actividad de aprovisionamiento, que describe todas las acciones realizadas por el servicio de aprovisionamiento de Microsoft Entra en SAP Cloud Identity Services. También puede supervisar el proyecto de aprovisionamiento a través de las API Microsoft Graph.

Para obtener más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Informes sobre el aprovisionamiento automático de cuentas de usuario.

Mantener las asignaciones de roles de aplicaciones

A medida que los usuarios asignados a la aplicación se actualizan en Microsoft Entra ID, esos cambios se aprovisionan automáticamente en SAP Cloud Identity Services.

Si tiene Gobierno de Microsoft Entra ID, puede automatizar los cambios en las asignaciones de roles de aplicación para SAP Cloud Identity Services en Microsoft Entra ID, agregar o quitar asignaciones a medida que las personas se unan a la organización o dejar o cambiar roles.

• Puede realizar una revisión de acceso única o periódica de las asignaciones de roles de aplicación.
• Puede crear un paquete de acceso de administración de derechos para esta aplicación. Puede tener directivas para asignar acceso a los usuarios, ya sea cuando lo soliciten, un administrador lo haga, automáticamente basándose en reglas, o mediante flujos de trabajo de gestión de ciclo de vida.

Actualización de una aplicación de SAP Cloud Identity Services para usar el punto de conexión SCIM 2.0 de SAP Cloud Identity Services

En septiembre de 2025, Microsoft lanzó un conector SCIM 2.0 para SAP Cloud Identity Services que agregó compatibilidad con el aprovisionamiento y desaprovisionamiento de grupos en SAP Cloud Identity Services, los atributos de extensión personalizados y la concesión de credenciales de cliente de OAuth 2.0.

Al completar los pasos siguientes, los clientes que ya estaban usando el conector de SAP Cloud Identity Services pasarán del punto de conexión SCIM 1.0 al punto de conexión sciM 2.0.

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de Aplicaciones en la Nube.

2. Navega por Entra ID > Enterprise Apps > SAP Cloud Identity Services.

3. En la sección Propiedades , copie el id. de objeto.

   

4. En una nueva ventana del explorador web, vaya a https://developer.microsoft.com/graph/graph-explorer e inicie sesión como administrador para el inquilino de Microsoft Entra donde se agrega la aplicación.

5. Compruebe que la cuenta que se usa tiene los permisos correctos. El permiso "Directory.ReadWrite.All" es necesario para realizar este cambio.

   

6. Con el identificador de objeto seleccionado en la aplicación anteriormente, ejecute el siguiente comando.

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

1. Tomando el valor "ID" del cuerpo de respuesta de la GET solicitud del ejemplo anterior, ejecute el siguiente comando, reemplazando "[job-id]" por el valor id. de la GET solicitud. El valor debe tener el formato "sapcloudidentityservices.xxxxxxxxx.xxxxxx":

DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

1. En el explorador de Microsoft Graph, ejecute el siguiente comando. Reemplace "[object-id]" por el ID de entidad de servicio (ID de objeto) copiado del tercer paso.

POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "sapcloudidentityservices" }

1. Vuelva a la primera ventana del explorador web y seleccione la pestaña Aprovisionamiento de la aplicación. La configuración se restablece. Para confirmar que la actualización se ha realizado correctamente, confirme que el identificador de trabajo comienza por "sapcloudidentityservices".

2. Actualice la dirección URL del inquilino en la sección Credenciales de administrador a lo siguiente: https://<tenantID>.accounts.ondemand.com/scim, o https://<tenantid>.trial-accounts.ondemand.com/service/scim si es una versión de prueba.

3. Restaure los cambios anteriores realizados en la aplicación (detalles de autenticación, filtros de ámbito, asignaciones de atributos personalizados) y vuelva a habilitar el aprovisionamiento.

Registro de cambios

• 30/9/2025: publicado para disponibilidad general, una nueva versión del conector de SAP Cloud Identity Services que usa un punto de conexión SCIM 2.0. La nueva versión admite el aprovisionamiento y desaprovisionamiento de grupos en SAP Cloud Identity Services, los atributos de extensión personalizados y la concesión de credenciales de cliente de OAuth 2.0.

Más recursos

• Administración del aprovisionamiento de cuentas de usuario para Aplicaciones empresariales
• ¿Qué es el acceso a la aplicación y el inicio de sesión único con Microsoft Entra ID?
• Administración del acceso a las aplicaciones de SAP
• Controlar el acceso a las aplicaciones de su entorno

Contenido relacionado

• Obtenga información sobre cómo revisar los registros y obtener informes sobre la actividad de aprovisionamiento.