Compartilhar via

Configurar o SAP Cloud Identity Services para provisionamento automático de usuário com Microsoft Entra ID

Este artigo demonstra as etapas para configurar o provisionamento de Microsoft Entra ID para o SAP Cloud Identity Services. A meta é configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários para o SAP Cloud Identity Services, para que esses usuários possam autenticar-se no SAP Cloud Identity Services e ter acesso a outras cargas de trabalho SAP. O SAP Cloud Identity Services dá suporte ao provisionamento de seu diretório de identidade local para outros aplicativos SAP como sistemas de destino.

Observação

Este artigo descreve um conector incorporado no serviço de provisionamento de usuários do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, consulte Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID. O SAP Cloud Identity Services também tem seu próprio conector separado para ler usuários e grupos do Microsoft Entra ID. Para obter mais informações, consulte SAP Cloud Identity Services – Provisionamento de identidade – Microsoft Entra ID como um sistema de origem.

Observação

Uma nova versão do conector do SAP Cloud Identity Services está disponível publicamente e agora é o padrão para a listagem do SAP Cloud Identity Services na galeria de aplicativos Microsoft Entra. Esta versão atual do conector apresenta as seguintes alterações:

  • Atualizado para o padrão SCIM 2.0
  • Suporte para provisionamento e desprovisionamento de grupo para o SAP Cloud Identity Services
  • Suporte para atributos de extensão personalizados
  • Suporte para a concessão de Credenciais de Cliente do OAuth 2.0

Importante

Se integrar-se com o SAP IAG, mapeie o Microsoft Entra ObjectId para o nome de usuário selecionando EDIT na linha do nome de usuário e defina o atributo Source e Target como:

  • Atributo de origem: objectId
  • Atributo de destino: userName

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Um locatário do SAP Cloud Identity Services
  • Uma conta de usuário no SAP Cloud Identity Services com permissões de administrador.
  • Uma licença P1 Microsoft Entra ID é necessária para usar recursos de provisionamento de grupo.

Observação

Essa integração também está disponível para uso na Microsoft Entra ambiente de nuvem do governo dos EUA. Você pode encontrar esse aplicativo na Microsoft Entra Galeria de Aplicativos de Nuvem do Governo dos EUA e configurá-lo da mesma maneira que você faz no ambiente de nuvem pública.

Se você ainda não tiver usuários no Microsoft Entra ID, comece no artigo planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP. Esse artigo ilustra como conectar Microsoft Entra com fontes autoritativas para a lista de trabalhadores em uma organização, como SAP SuccessFactors. Ele também mostra como usar Microsoft Entra para configurar identidades para esses trabalhadores, para que eles possam entrar em um ou mais aplicativos SAP, como SAP ECC ou SAP S/4HANA.

Se você estiver configurando o provisionamento no SAP Cloud Identity Services em um ambiente de produção, no qual você está gerenciando o acesso a cargas de trabalho SAP usando o Microsoft Entra ID Governance, examine os pré-requisitos antes de configurar o Microsoft Entra ID para governança de identidade.

Configurar o SAP Cloud Identity Services para provisionamento

Neste artigo, você adicionará um sistema de administração no SAP Cloud Identity Services e, em seguida, configurará Microsoft Entra.

Diagrama da arquitetura do SSO e do fluxo de provisionamento entre aplicativos SAP, SAP Cloud Identity Services e Microsoft Entra.

  1. Faça login no console de administração do SAP Cloud Identity Services, https://<tenantID>.accounts.ondemand.com/admin ou https://<tenantID>.trial-accounts.ondemand.com/admin se for uma avaliação. Acesse Usuários e Autorizações > Administradores.

    Captura de tela do console de administrador do SAP Cloud Identity Services.

  2. Pressione o botão +Adicionar no painel esquerdo para adicionar um novo administrador à lista. Escolha Adicionar Sistema e digite o nome do sistema.

    Observação

    A identidade do administrador no SAP Cloud Identity Services deve ser do tipo Sistema. Um usuário administrador não pode se autenticar na API do SAP SCIM ao provisionar. O SAP Cloud Identity Services não permite que o nome de um sistema seja alterado após sua criação.

  3. Em Configurar Autorizações, ative o botão de alternância ao lado de Gerenciar Usuários. Em seguida, selecione Salvar para criar o sistema.

    Captura de tela de SCIM do SAP Cloud Identity Services Adicionar.

  4. Depois que o sistema de administrador for criado, adicione um novo segredo a esse sistema.

  5. Copie a ID do cliente e o segredo do cliente gerados pelo SAP. Esses valores são inseridos nos campos Nome de Usuário administrador e Senha de Administrador, respectivamente. Isso é feito na guia Provisionamento do aplicativo SAP Cloud Identity Services, que você configurou na próxima seção.

  6. O SAP Cloud Identity Services pode ter mapeamentos para um ou mais aplicativos SAP como sistemas de destino. Verifique se existem atributos nos usuários que esses aplicativos SAP exigem para serem provisionados por meio dos SAP Cloud Identity Services. Este artigo pressupõe que o SAP Cloud Identity Services e os sistemas de destino downstream exigem dois atributos userName e emails[type eq "work"].value. Se seus sistemas de destino SAP exigirem outros atributos e eles não fizerem parte do esquema de usuário do ID do Microsoft Entra, talvez seja necessário configurar a sincronização de atributos de extensão.

Antes de configurar Microsoft Entra ID para ter o provisionamento automático de usuário no SAP Cloud Identity Services, você precisa adicionar o SAP Cloud Identity Services da galeria de aplicativos Microsoft Entra à lista de aplicativos empresariais do locatário. Você pode fazer essa etapa no centro de administração do Microsoft Entra ou por meio do API do Graph.

Se o SAP Cloud Identity Services já estiver configurado para logon único do Microsoft Entra usando SAML e um aplicativo já estiver presente em sua lista Microsoft Entra de aplicativos empresariais, continue em a próxima seção.

Observação

Se você já configurou um registro de aplicativo para integração do OpenID Connect, não poderá configurar o provisionamento para esse registro de aplicativo. Em vez disso, crie um aplicativo empresarial separado para provisionamento.

Adicionando o SAP Cloud Identity Services usando o centro de administração do Microsoft Entra

Para adicionar o SAP Cloud Identity Services da galeria de aplicativos Microsoft Entra usando o centro de administração do Microsoft Entra, execute as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos em Nuvem.
  2. Navegue até Entra ID>Aplicativos corporativos>Novo aplicativo.
  3. Para adicionar o aplicativo por meio da galeria, digite SAP Cloud Identity Services na caixa de pesquisa.
  4. Selecione SAP Cloud Identity Services no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
  5. Continue na próxima seção para configurar o provisionamento.

Adicionando o SAP Cloud Identity Services usando Microsoft Graph

Você pode criar um aplicativo e uma entidade de serviço por meio da API do Graph.

Primeiro, recupere o identificador do modelo de aplicativo da galeria para SAP Cloud Identity Services.

GET https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayName eq 'SAP Cloud Identity Services'

Extraia o modelo de aplicativo id da resposta. Em seguida, crie o aplicativo de galeria e o principal de serviço.

POST https://graph.microsoft.com/v1.0/applicationTemplates/{applicationTemplateId}/instantiate
Content-type: application/json

{
  "displayName": "SAP Cloud Identity Services"
}

A resposta conterá os novos objetos de aplicativo e entidade de serviço.

Em seguida, recupere o modelo para a configuração de provisionamento, usando o id do principal do serviço que acabou de criar.

GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/templates

Para habilitar o provisionamento, você precisará criar um trabalho. Use a solicitação a seguir para realizar uma tarefa de provisão. Use o id do passo anterior como o templateId para especificar o modelo a ser usado para o trabalho.

POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs
Content-type: application/json

{
    "templateId": "sapcloudidentityservices"
}

Conforme descrito na próxima seção, você pode configurar ainda mais o trabalho de provisionamento e o esquema de template associado ao principal de serviço. Em seguida, autorize o acesso para que o Microsoft Entra possa autenticar-se no SAP Cloud Identity Services e, em seguida, inicie o trabalho de provisionamento.

Configurar o provisionamento automático de usuário para o SAP Cloud Identity Services

Esta seção orienta você pelas etapas para configurar o serviço de provisionamento Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no SAP Cloud Identity Services com base em atribuições de usuário e grupo para um aplicativo no Microsoft Entra ID.

Para configurar o provisionamento automático de usuário para o SAP Cloud Identity Services no Microsoft Entra ID:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos em Nuvem.

  2. Navegue até Entra ID>Enterprise apps

    Captura de tela do painel de aplicativos empresariais.

  3. Na lista de aplicativos, selecione o aplicativo, SAP Cloud Identity Services.

    Captura de tela do link do SAP Cloud Identity Services na lista de Aplicativos.

  4. Clique na guia Propriedades.

  5. Verifique se a opção Atribuição necessária? está definida como Sim. Se ela estiver definida como Não, todos os usuários no diretório, incluindo as identidades externas, poderão acessar o aplicativo e você não poderá revisar o acesso a ele.

  6. Selecione a guia Provisionamento.

    Captura de tela das opções Gerenciar com a opção Provisionamento destacada.

  7. Defina o Modo de Provisionamento como Automático.

    Captura de tela do menu suspenso de Modo de Provisionamento com a opção Automático assinalada.

  8. Na seção Credenciais de Administrador , selecione a Concessão de Credenciais do Cliente OAuth2. Entrada https://<tenantID>.accounts.ondemand.com/scim, ou https://<tenantid>.trial-accounts.ondemand.com/scim caso seja uma avaliação, com o ID do tenant dos SAP Cloud Identity Services na URL do tenant. Insira o ponto de extremidade de token, que pode ser semelhante a este https://<tenantID>.accounts.ondemand.com/oauth2/token. Insira os valores da ID do cliente e do Segredo do Cliente que você gerou anteriormente no console de administração do SAP Cloud Identity Services. Selecione Test Connection para garantir que Microsoft Entra ID possa se conectar ao SAP Cloud Identity Services. Se a conexão falhar, certifique-se de que a sua conta do sistema SAP Cloud Identity Services tem permissões de administrador e de que o segredo ainda seja válido e tente novamente.

    Captura de tela da seção Credenciais de Administrador no UX de provisionamento.

    Captura de tela do console de administração do SAP Cloud Identity Services.

  9. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção - Enviar uma notificação por email quando ocorrer uma falha.

    Captura de tela do Email de Notificação.

  10. Clique em Salvar.

  11. Selecione Descobrir identidades na visão geral do provisionamento para descobrir contas no SAP Cloud Identity Services. Essa opção só ficará visível para organizações com licenças Entra ID Governança.

  12. Na seção Mappings, selecione Provisionar Microsoft Entra ID usuários ou Provisionar grupos Microsoft Entra ID dependendo do seu cenário.

    Captura de tela dos mapeamentos de usuário e grupo para o SAP Cloud Identity Services.

  13. Examine os atributos de usuário e grupo que são sincronizados do Microsoft Entra ID ao SAP Cloud Identity Services na seção Attribute Mapping. Se você não vir os atributos em seus Serviços de Identidade de Nuvem do SAP disponíveis como um destino para mapeamento, selecione Mostrar opções avançadas e selecione Editar lista de atributos para o Serviço de Autenticação de Identidade da SAP Cloud Platform para editar a lista de atributos com suporte. Adicione os atributos do tenant do SAP Cloud Identity Services.

  14. Revise e registre os atributos de origem e destino selecionados como propriedades Matching e mapeamentos que têm uma precedência Matching, pois esses atributos são utilizados para corresponder usuários e grupos nos serviços SAP Cloud Identity para o serviço de provisionamento Microsoft Entra, a fim de determinar se um novo usuário/grupo deve ser criado ou se um usuário/grupo existente deve ser atualizado. Para obter mais informações sobre correspondência, confira correspondência de usuários nos sistemas de origem e de destino. Em uma etapa subsequente, você garante que todos os usuários que já estão no SAP Cloud Identity Services tenham os atributos selecionados como propriedades correspondentes preenchidas, para impedir que usuários duplicados sejam criados.

  15. Confirme se há um mapeamento de atributo para IsSoftDeleted, ou uma função que contém IsSoftDeleted, mapeado para um atributo do aplicativo. Quando um usuário seja desatribuído do aplicativo, suavemente excluído no Microsoft Entra ID ou bloqueado de fazer login, o serviço de provisionamento do Microsoft Entra atualizará o atributo mapeado para isSoftDeleted. Se nenhum atributo estiver mapeado, os usuários posteriormente desatribuídos da função de aplicativo continuarão a existir no armazenamento de dados do aplicativo.

  16. Adicione todos os mapeamentos adicionais que os seus SAP Cloud Identity Services ou sistemas SAP de destino downstream exigem.

  17. Selecione o botão Salvar para confirmar as alterações.

    Atributo de Usuário Tipo Com suporte para filtragem Exigido pelo SAP Cloud Identity Services
    userName fio
    emails[type eq "work"].value fio
    active booleano
    displayName fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Referência
    addresses[type eq "work"].country fio
    addresses[type eq "work"].locality fio
    addresses[type eq "work"].postalCode fio
    addresses[type eq "work"].region fio
    addresses[type eq "work"].streetAddress fio
    name.givenName fio
    name.familyName fio
    name.honorificPrefix fio
    phoneNumbers[type eq "fax"].value fio
    phoneNumbers[type eq "mobile"].value fio
    phoneNumbers[type eq "work"].value fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization fio
    locale fio
    timezone fio
    userType fio
    company fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9 fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10 fio
    sendMail fio
    mailVerified fio
    Atributo de grupo Tipo Com suporte para filtragem Exigido pelo SAP Cloud Identity Services
    id fio
    externalId fio
    displayName fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:name fio
    urn:sap:cloud:scim:schemas:extension:custom:2.0:Group:description fio
    members Referência

  18. Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo de filtro de escopo .

  19. Para habilitar o serviço de provisionamento Microsoft Entra para o SAP Cloud Identity Services, altere o Provisioning Status para On na seção Settings.

    Captura de tela do Status de Provisionamento Ativado.

  20. Para o valor de Escopo na seção Configurações, selecione Sincronizar somente usuários e grupos atribuídos.

    Captura de tela do Escopo de Provisionamento.

  21. Quando estiver pronto para provisionar, selecione Salvar.

    Captura de tela da ação de salvar a configuração de provisionamento.

Essa operação inicia a sincronização inicial de todos os usuários definidos em Escopo, na seção Configurações. Se você tiver o escopo definido como Sincronizar somente usuários e grupos atribuídos e nenhum usuário ou grupo tiver sido atribuído ao aplicativo, nenhuma sincronização ocorrerá até que os usuários sejam atribuídos ao aplicativo.

Provisionar um novo usuário de teste do Microsoft Entra ID para o SAP Cloud Identity Services

É recomendável que um único novo usuário de teste do Microsoft Entra seja atribuído ao SAP Cloud Identity Services para testar a configuração de provisionamento automático de usuário.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos Cloud e um Administrador de Usuário.
  2. Navegue até Entra ID>Users.
  3. Selecione Novo Usuário>Criar Novo Usuário.
  4. Digite o Nome principal do usuário e o Nome de exibição do novo usuário de teste. O nome principal de usuário deve ser exclusivo e não deve ser igual a nenhum usuário atual ou anterior do Microsoft Entra ou do SAP Cloud Identity Services. Selecione Examinar + criar e Criar.
  5. Depois que o usuário de teste for criado, navegue até Entra ID>Enterprise apps.
  6. Selecione o aplicativo SAP Cloud Identity Services.
  7. Selecione Usuários e grupos e, em seguida, selecione Adicionar usuário/grupo.
  8. Nos Usuários e grupos, selecione Nenhum selecionado e, na caixa de texto, digite o nome principal de usuário do usuário teste.
  9. Selecione Selecionar e, em seguida, Atribuir.
  10. Selecione Provisionamento e, em seguida, selecione Provisionar sob demanda.
  11. Na caixa de texto Selecionar um usuário ou grupo, digite o Nome Principal do Usuário de teste.
  12. Selecione Provisionar.
  13. Aguarde a conclusão do provisionamento. Se tiver êxito, você verá a mensagem Modified attributes (successful).

Opcionalmente, você também pode verificar o que o serviço de provisionamento de Microsoft Entra provisionará quando um usuário sair do escopo do aplicativo.

  1. Selecione Usuários e grupos.
  2. Selecione o usuário de teste e, em seguida, selecione Remover.
  3. Depois que o usuário de teste for removido, selecione Provisionamento e, em seguida, selecione Provisionar sob demanda.
  4. Na caixa de texto Selecionar um usuário ou grupo, digite o nome principal do usuário do usuário de teste cuja atribuição acabou de ser removida.
  5. Selecione Provisionar.
  6. Aguarde a conclusão do provisionamento.

Por fim, você pode remover o usuário de teste do Microsoft Entra ID.

  1. Navegue até Entra ID>Users.
  2. Selecione o usuário de teste, selecione Excluir e selecione OK. Essa ação exclui temporariamente o usuário de teste do Microsoft Entra ID.

Você também pode remover o usuário de teste do SAP Cloud Identity Services.

Identificar usuários existentes em seu aplicativo e atribuí-los ao aplicativo empresarial

Microsoft Entra pode descobrir os usuários existentes em seu aplicativo e simplificar a atribuição deles ao aplicativo empresarial. Clique no botão descobrir identidades na página de visão geral do provisionamento. Depois que o relatório for gerado, você terá uma exibição de todos os usuários em seu aplicativo, quais usuários no aplicativo correspondem a um usuário Microsoft Entra ID, quais usuários já estão atribuídos ao aplicativo empresarial no Microsoft Entra ID e quais usuários no aplicativo não têm correspondência com um usuário Microsoft Entra ID. Em seguida, você pode executar um script simples do PowerShell para atribuir os usuários descobertos ao aplicativo:

  1. Baixe o arquivo CorrelatedUsers.ps1.

  2. Criar atribuições de função de aplicativo para usuários que atualmente não têm atribuições de função (execução seca):

    .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..." -DryRun

  3. Crie atribuições de função de aplicativo para usuários que não têm atribuições de função no momento:

    .\Assign-CorrelatedUsers.ps1 -ServicePrincipalId "7A22..."

  4. Aguarde um minuto para que as alterações sejam propagadas em Microsoft Entra ID.

A funcionalidade de descoberta requer licenças Entra ID Governança. As organizações sem as licenças necessárias ainda podem seguir as etapas abaixo para identificar os usuários existentes no SAP CLout Identity Services e atribuí-los ao aplicativo empresarial em Microsoft Entra.

Certifique-se de que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários

Antes de atribuir usuários que não sejam de teste ao aplicativo SAP Cloud Identity Services no Microsoft Entra ID, você deve garantir que todos os usuários que já estão no SAP Cloud Identity Services e que representam as mesmas pessoas que os usuários no Microsoft Entra ID tenham os atributos de mapeamento preenchidos no SAP Cloud Identity Services.

No mapeamento de provisionamento, os atributos selecionados como propriedades Matching são usados para corresponder as contas de usuário em Microsoft Entra ID com as contas de usuário no SAP Cloud Identity Services. Se houver um usuário no Microsoft Entra ID sem correspondência no SAP Cloud Identity Services, o serviço de provisionamento de Microsoft Entra tentará criar um novo usuário. Se houver um usuário no Microsoft Entra ID e uma correspondência no SAP Cloud Identity Services, o serviço de provisionamento do Microsoft Entra atualizará esse usuário do SAP Cloud Identity Services. Por esse motivo, você deve garantir que todos os usuários que já estão no SAP Cloud Identity Services tenham os atributos selecionados como propriedades correspondentes preenchidos, caso contrário, poderão ser criados usuários duplicados. Se você precisar alterar o atributo correspondente no mapeamento de atributo do aplicativo Microsoft Entra, consulte atribuindo usuários nos sistemas de origem e destino.

  1. Entre no Console de Administração do SAP Cloud Identity Services, https://<tenantID>.accounts.ondemand.com/admin ou https://<tenantID>.trial-accounts.ondemand.com/admin se estiver em avaliação.

  2. Navegue até Usuários e Autorizações > Exportar Usuários.

  3. Selecione todos os atributos necessários para a correspondência de usuários Microsoft Entra com os do SAP. Esses atributos incluem SCIM ID, userName, emails e outros atributos que você pode estar usando em seus sistemas SAP como identificadores.

  4. Selecione Exportar e aguarde o navegador baixar o arquivo CSV.

  5. Abra uma janela do PowerShell.

  6. Digite o script a seguir em um editor. Na linha um, se você selecionou um atributo correspondente diferente de userName, altere o valor da variável sapScimUserNameField para o nome do atributo SAP Cloud Identity Services. Na linha dois, altere o argumento para o nome do arquivo CSV exportado de Users-exported-from-sap.csv para o nome do arquivo baixado.

    $sapScimUserNameField = "userName"
$existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
$count = 0
$warn = 0
foreach ($u in $existingSapUsers) {
 $id = $u.id
 if (($null -eq $id) -or ($id.length -eq 0)) {
     write-error "Exported CSV file doesn't contain the ID attribute of SAP Cloud Identity Services users."
     throw "ID attribute not available, re-export"
     return
 }
 $count++
 $userName = $u.$sapScimUserNameField
 if (($null -eq $userName) -or ($userName.length -eq 0)) {
     write-warning "SAP Cloud Identity Services user $id doesn't have a $sapScimUserNameField attribute populated"
     $warn++
 }
}
write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."

  7. Execute o script. Quando o script for concluído, se houver um ou mais usuários sem o atributo correspondente necessário, procure esses usuários no arquivo CSV exportado ou no Console de Administração do SAP Cloud Identity Services. Se esses usuários também estiverem presentes no Microsoft Entra, primeiro você precisará atualizar a representação do SAP Cloud Identity Services desses usuários para que eles tenham o atributo correspondente preenchido.

  8. Depois de atualizar os atributos desses usuários no SAP Cloud Identity Services, exporte novamente os usuários do SAP Cloud Identity Services, conforme descrito nas etapas 2 a 5 e etapas do PowerShell nesta seção, para confirmar que nenhum usuário no SAP Cloud Identity Services não possua os atributos correspondentes, o que impediria o provisionamento para esses usuários.

Agora que você tem uma lista de todos os usuários obtidos do SAP Cloud Identity Services, você alinha esses usuários com os do armazenamento de dados do aplicativo aos usuários já existentes no Microsoft Entra ID, para determinar quais usuários devem estar no escopo para o provisionamento.

Recuperar as IDs dos usuários no Microsoft Entra ID

Esta seção mostra como interagir com Microsoft Entra ID usando cmdlets Microsoft Graph PowerShell.

Na primeira vez que sua organização usa esses cmdlets para esse cenário, você precisa estar em uma função de Administrador Global para permitir que Microsoft Graph PowerShell seja usado em seu locatário. As interações subsequentes podem usar uma função com privilégios inferiores, como:

  • Administrador de Usuários, caso preveja a criação de novos usuários.
  • Administrador de aplicativos ou Administrador de governança de identidade, caso esteja apenas gerenciando atribuições de função de aplicativos.

  1. Abra o PowerShell.

  2. Se você não tiver os módulos Microsoft Graph PowerShell já instalados, instale o módulo Microsoft.Graph.Users e outros usando este comando:

    Install-Module Microsoft.Graph

    Se você já tiver os módulos instalados, verifique se está usando uma versão recente:

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications

  3. Conecte-se ao Microsoft Entra ID:

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

  4. Se esta for a primeira vez que você usa esse comando, talvez seja necessário consentir em permitir que as ferramentas de Linha de Comando Microsoft Graph tenham essas permissões.

  5. Leia a lista de usuários obtida do armazenamento de dados do aplicativo na sessão do PowerShell. Se a lista de usuários estiver em um arquivo CSV, você poderá usar o cmdlet Import-Csv do PowerShell e fornecer o nome do arquivo da seção anterior como argumento.

    Por exemplo, se você tiver um arquivo chamado Users-exported-from-sap.csv que foi obtido do SAP Cloud Identity Services e ele estiver localizado no diretório atual, insira este comando.

    $filename = ".\Users-exported-from-sap.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8

    Nesse outro exemplo: se você estiver usando um banco de dados ou diretório e o arquivo se chamar users.csv e também estiver localizado no diretório atual, insira este comando:

    $filename = ".\users.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8

  6. Escolha a coluna do arquivo users.csv que corresponderá a um atributo de um usuário em Microsoft Entra ID.

    Se você estiver usando o SAP Cloud Identity Services, o mapeamento padrão será o atributo SAP SCIM userName com o atributo Microsoft Entra ID userPrincipalName:

    $db_match_column_name = "userName"
$azuread_match_attr_name = "userPrincipalName"

    Para outro exemplo, se você estiver usando um banco de dados ou diretório, poderá ter usuários em um banco de dados em que o valor na coluna denominada EMail é o mesmo valor que no atributo Microsoft Entra userPrincipalName:

    $db_match_column_name = "EMail"
$azuread_match_attr_name = "userPrincipalName"

  7. Recupere as IDs desses usuários em Microsoft Entra ID.

    O script do PowerShell a seguir usa os valores $dbusers, $db_match_column_name e $azuread_match_attr_name especificados anteriormente. Ele consultará o Microsoft Entra ID para localizar um usuário que possua um atributo com um valor que corresponda a cada registro no arquivo de origem. Se o arquivo obtido do SAP Cloud Identity Services, do banco de dados ou do diretório tiver muitos usuários, prepare-se para aguardar alguns minutos até que o script seja concluído. Se você não tiver um atributo no Microsoft Entra ID que tenha o valor especificado e precisar usar um contains ou outra expressão de filtro, será necessário personalizar este script, assim como o da etapa 11 abaixo, para usar uma expressão de filtro diferente.

    $dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

  8. Exiba os resultados das consultas anteriores. Veja se algum dos usuários no SAP Cloud Identity Services, no banco de dados ou no diretório não pôde estar localizado no Microsoft Entra ID, devido a erros ou correspondências ausentes.

    O seguinte script do PowerShell exibirá as contagens de registros que não foram localizados:

    $dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

  9. Quando o script for concluído, ele indicará um erro se algum registro da fonte de dados não estiver localizado no Microsoft Entra ID. Se nem todos os registros relativos a usuários do repositório de dados do aplicativo puderem ser identificados como usuários no Microsoft Entra ID, você precisará investigar quais registros não correspondem e o motivo.

    Por exemplo, o endereço de email de alguém e o userPrincipalName podem ter sido alterados no Microsoft Entra ID sem que sua propriedade mail correspondente tenha sido atualizada na fonte de dados do aplicativo. Ou talvez o usuário já tenha deixado a organização, mas ainda continue na fonte de dados do aplicativo. Ou pode haver uma conta de fornecedor ou de superdministrador na fonte de dados do aplicativo que não corresponda a nenhuma pessoa específica no Microsoft Entra ID.

  10. Se houver usuários que não puderam estar localizados em Microsoft Entra ID ou não estavam ativos e capazes de entrar, mas você deseja ter seu acesso revisado ou seus atributos atualizados no SAP Cloud Identity Services, no banco de dados ou no diretório, você precisará atualizar o aplicativo, a regra de correspondência ou atualizar ou criar Microsoft Entra usuários para eles. Para obter mais informações sobre quais alterações fazer, consulte managem de mapeamentos e contas de usuário em aplicativos que não corresponderam aos usuários no Microsoft Entra ID.

    Se você escolher a opção de criar usuários em Microsoft Entra ID, poderá criar usuários em massa usando:

    Verifique se esses novos usuários são preenchidos com os atributos necessários para que Microsoft Entra ID os correspondam posteriormente aos usuários existentes no aplicativo e os atributos exigidos por Microsoft Entra ID, incluindo userPrincipalName, mailNickname e displayName. O userPrincipalName deve ser único entre todos os usuários no diretório.

    Por exemplo, você pode ter usuários em um banco de dados em que o valor na coluna denominada EMail é o valor que você deseja usar como o Nome Principal do Usuário do Microsoft Entra, o valor na coluna Alias contém o apelido de email do Microsoft Entra ID e o valor na coluna Full name contém o nome de exibição do usuário:

    $db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"

    Em seguida, você pode usar esse script para criar usuários Microsoft Entra para aqueles que estão no SAP Cloud Identity Services, no banco de dados ou no diretório que não corresponderam aos usuários no Microsoft Entra ID. Observe que talvez seja necessário modificar esse script para adicionar atributos Microsoft Entra adicionais necessários em sua organização ou se o $azuread_match_attr_name não for mailNickname nem userPrincipalName, a fim de fornecer esse atributo Microsoft Entra.

    $dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

  11. Depois de adicionar usuários ausentes ao Microsoft Entra ID, execute o script da etapa 7 novamente. Em seguida, execute o script da etapa 8. Verifique se não há nenhum erro relatado.

    $dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Verifique se os usuários Microsoft Entra existentes têm os atributos necessários

Antes de habilitar o provisionamento automático de usuário, você deve decidir quais usuários no Microsoft Entra ID precisam de acesso ao SAP Cloud Identity Services e, em seguida, você precisa verificar se esses usuários têm os atributos necessários no Microsoft Entra ID e esses atributos são mapeados para o esquema esperado do SAP Cloud Identity Services.

  • Por padrão, o valor do atributo userPrincipalName de usuário Microsoft Entra é mapeado para os atributos userName e emails[type eq "work"].value do SAP Cloud Identity Services. Se os endereços de email do usuário forem diferentes de seus nomes principais de usuário, talvez seja necessário alterar esse mapeamento.
  • O SAP Cloud Identity Services poderá ignorar os valores do atributo postalCode se o formato do CEP da empresa não corresponder ao país ou região dela.
  • Por padrão, o atributo Microsoft Entra country é mapeado para o campo sap Cloud Identity Services addresses[type eq "work"].country. Se os valores do country atributo não forem códigos de país ISO 3166 de dois caracteres, a criação desses usuários no SAP Cloud Identity Services poderá falhar. Para obter mais informações, consulte countries.properties.
  • Por padrão, o atributo Microsoft Entra department é mapeado para o atributo sap Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department. Se Microsoft Entra usuários tiverem valores do atributo department, esses valores deverão corresponder aos departamentos já configurados no SAP Cloud Identity Services, caso contrário, a criação ou atualização do usuário falhará. Para obter mais informações, consulte departments.properties. Se os valores department nos usuários do Microsoft Entra não forem consistentes com aqueles no seu ambiente SAP, atualize os valores do departamento no Microsoft Entra, atualize os valores permitidos do departamento no SAP Cloud Identity Services ou remova o mapeamento antes de atribuir os usuários.
  • O ponto de extremidade SCIM do SAP Cloud Identity Services exige que certos atributos estejam em um formato específico. Você pode saber mais sobre esses atributos e o formato específico deles aqui.

Atribuir usuários ao aplicativo SAP Cloud Identity Services no Microsoft Entra ID

Microsoft Entra ID usa um conceito chamado assignments para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de usuários, se o valor de Scope em Configurações for Sincronizar somente usuários e grupos atribuídos, somente os usuários e grupos atribuídos no Microsoft Entra ID a uma função de aplicativo desse aplicativo serão sincronizados com o SAP Cloud Identity Services. Ao atribuir um usuário ao SAP Cloud Identity Services, é necessário selecionar qualquer função específica ao aplicativo válida (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento. Atualmente, a única função disponível para o SAP Cloud Identity Services é Usuário.

Se o provisionamento já tiver sido habilitado para o aplicativo, verifique se o provisionamento de aplicativos não está em quarentena antes de atribuir mais usuários ao aplicativo. Resolva os problemas que estão causando a quarentena antes de prosseguir.

Verifique os usuários que estão no SAP Cloud Identity Services e que ainda não estão atribuídos ao aplicativo no Microsoft Entra ID

As etapas anteriores avaliaram se os usuários do SAP Cloud Identity Services também existem como usuários no Microsoft Entra ID. No entanto, eles podem não estar todos atribuídos atualmente às funções do aplicativo no Microsoft Entra ID. Portanto, as próximas etapas consistirão em verificar quais usuários não têm atribuições a funções de aplicativo.

  1. Usando o PowerShell, procure o ID da entidade de serviço do aplicativo.

    Por exemplo, se o aplicativo empresarial se chamar SAP Cloud Identity Services, digite os seguintes comandos:

    $azuread_app_name = "SAP Cloud Identity Services"
$azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
$azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All

  2. Recupere os usuários que atualmente têm atribuições para o aplicativo em Microsoft Entra ID.

    Isso se baseia na variável $azuread_sp definida no comando anterior.

    $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)

  3. Compare a lista de IDs de usuário dos usuários que já estão no SAP Cloud Identity Services e Microsoft Entra ID com os usuários atualmente atribuídos ao aplicativo no Microsoft Entra ID. Este script se baseia na variável $azuread_match_id_list definida nas seções anteriores:

    $azuread_not_in_role_list = @()
foreach ($id in $azuread_match_id_list) {
   $found = $false
   foreach ($existing in $azuread_existing_assignments) {
      if ($existing.principalId -eq $id) {
         $found = $true; break;
      }
   }
   if ($found -eq $false) { $azuread_not_in_role_list += $id }
}
$azuread_not_in_role_count = $azuread_not_in_role_list.Count
Write-Output "$azuread_not_in_role_count users in the application's data store aren't assigned to the application roles."

    Se zero usuários estiverem não atribuídos a funções de aplicativo, indicando que todos os usuários estão atribuídos às funções de aplicativo, isso indica que não havia usuários em comum entre Microsoft Entra ID e SAP Cloud Identity Services, logo, nenhuma alteração é necessária. No entanto, se um ou mais usuários que já estão no SAP Cloud Identity Services não estiverem atribuídos atualmente às funções de aplicativo, você precisará continuar o procedimento e adicioná-los a uma das funções do aplicativo.

  4. Selecione a função da entidade de serviço principal da aplicação User.

    $azuread_app_role_name = "User"
$azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}

  5. Crie atribuições de função de aplicativo para usuários que já estão presentes no SAP Cloud Identity Services e Microsoft Entra e atualmente não têm atribuições de função para o aplicativo:

    foreach ($u in $azuread_not_in_role_list) {
   $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
}

  6. Aguarde um minuto para que as alterações sejam propagadas em Microsoft Entra ID.

  7. No próximo ciclo de provisionamento do Microsoft Entra, o serviço de provisionamento do Microsoft Entra comparará a representação dos usuários atribuídos ao aplicativo com a representação nos Serviços de Identidade na Nuvem do SAP e atualizará os usuários dos Serviços de Identidade na Nuvem do SAP para conter os atributos do ID do Microsoft Entra.

Atribuir usuários restantes e monitorar a sincronização inicial

Depois que o teste tiver sido concluído, um usuário tiver sido provisionado com êxito no SAP Cloud Identity Services, e todos os usuários existentes do SAP Cloud Identity Services tenham sido atribuídos à função de aplicativo, você poderá atribuir quaisquer usuários autorizados adicionais ao aplicativo SAP Cloud Identity Services seguindo uma das instruções aqui:

Depois que os usuários forem atribuídos à função de aplicativo e estiverem no escopo do provisionamento, o serviço de provisionamento de Microsoft Entra os provisionará para o SAP Cloud Identity Services. Observe que a sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento Microsoft Entra esteja em execução.

Se você não vir usuários sendo provisionados, examine as etapas no guia de solução de problemas relacionados ao não provisionamento de usuários. Em seguida, verifique o log de provisionamento por meio das APIs centro de administração do Microsoft Entra ou Graph. Filtre o log para o status Falha. Se houver falhas com um ErrorCode de DuplicateTargetEntries, isso indicará uma ambiguidade em suas regras de correspondência de provisionamento e você precisará atualizar os usuários Microsoft Entra ou os mapeamentos usados para correspondência para garantir que cada usuário Microsoft Entra corresponda a um usuário do aplicativo. Depois, filtre o log para a ação Criar e o status Ignorado. Se os usuários foram ignorados com o código SkipReason de NotEffectivelyEntitled, isso pode indicar que as contas de usuário no Microsoft Entra ID não foram correspondidas porque o status da conta de usuário foi Disabled.

Configurar logon único

Você também pode optar por habilitar o logon único baseado em SAML para o SAP Cloud Identity Services, seguindo as instruções fornecidas no artigo de logon único do SAP Cloud Identity Services. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora esses dois recursos sejam complementares.

Monitorar o provisionamento

Você pode usar a seção Sincronização Detalhes para monitorar o progresso e seguir links para o relatório de atividade de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento Microsoft Entra no SAP Cloud Identity Services. Você também pode monitorar o projeto de provisionamento por meio das APIs Microsoft Graph.

Para obter mais informações sobre como ler os logs de provisionamento de Microsoft Entra, consulte Reportando sobre provisionamento automático de conta de usuário.

Manter atribuições de função de aplicativo

À medida que os usuários atribuídos ao aplicativo são atualizados no Microsoft Entra ID, essas alterações são provisionadas automaticamente para o SAP Cloud Identity Services.

Se você tiver Microsoft Entra ID Governance, poderá automatizar as alterações nas atribuições de função de aplicativo para o SAP Cloud Identity Services em Microsoft Entra ID, adicionar ou remover atribuições à medida que as pessoas ingressarem na organização ou deixar ou alterar funções.

Atualizar um aplicativo do SAP Cloud Identity Services para usar o ponto de extremidade do SAP Cloud Identity Services SCIM 2.0

Em setembro de 2025, Microsoft lançou um conector SCIM 2.0 para o SAP Cloud Identity Services que adicionou suporte para provisionamento e desprovisionamento de grupo para o SAP Cloud Identity Services, atributos de extensão personalizados e a concessão de Credenciais de Cliente do OAuth 2.0.

Concluir as etapas abaixo permitirá que os clientes que já estavam usando o conector do SAP Cloud Identity Services mudem do ponto de extremidade SCIM 1.0 para o ponto de extremidade SCIM 2.0.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos em Nuvem.

  2. Vá para Entra ID > Enterprise Apps > SAP Cloud Identity Services.

  3. Na seção Propriedades , copie a ID do Objeto.

    Captura de tela de onde copiar a ID do Objeto na aba Propriedades do conector do SAP Cloud Identity Services.

  4. Em uma nova janela do navegador da Web, vá para https://developer.microsoft.com/graph/graph-explorer e entre como administrador do locatário Microsoft Entra onde seu aplicativo é adicionado.

  5. Verifique se a conta que está sendo usada tem as permissões corretas. A permissão "Directory.ReadWrite.All" é necessária para fazer essa alteração.

    Captura de tela da tela Permissões no Explorador do Graph, em que o administrador está selecionando a opção para fornecer consentimento para a permissão Directory.ReadWrite.All.

  6. Usando a ID de Objeto selecionada no aplicativo anteriormente, execute o comando a seguir.

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
  1. Usando o valor "ID" do corpo da resposta da GET solicitação do exemplo anterior, execute o comando a seguir, substituindo "[job ID]" pelo valor de ID da solicitação GET. O valor deve ter o formato de "sapcloudidentityservices.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx".
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
  1. No Microsoft Graph Explorer, execute o comando a seguir. Substitua "[object-id]" pela ID da entidade de serviço (ID do objeto) copiada da terceira etapa.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "sapcloudidentityservices" }

  1. Retorne à primeira janela do navegador da Web e selecione a guia Provisionamento para seu aplicativo. Sua configuração é redefinida. Você pode confirmar se a atualização foi bem-sucedida confirmando que a ID do trabalho começa com "sapcloudidentityservices".

  2. Atualize a URL do locatário na seção credenciais de administrador para o seguinte: https://<tenantID>.accounts.ondemand.com/scim ou https://<tenantid>.trial-accounts.ondemand.com/service/scim se uma avaliação.

  3. Restaure as alterações anteriores feitas no aplicativo (detalhes de autenticação, filtros de escopo, mapeamentos de atributo personalizados) e habilite novamente o provisionamento.

Observação

A falha ao restaurar as configurações anteriores pode resultar na atualização inesperada de atributos (name.formatted, por exemplo) no SAP Cloud Identity Services. Verifique a configuração antes de habilitar o provisionamento.

Changelog

  • 30/09/2025 – Lançada para Disponibilidade Geral uma nova versão do conector do SAP Cloud Identity Services que usa um ponto de extremidade SCIM 2.0. A nova versão dá suporte ao provisionamento de grupo e ao desprovisionamento para o SAP Cloud Identity Services, atributos de extensão personalizados e a concessão de Credenciais de Cliente do OAuth 2.0.

Mais recursos

Conteúdo relacionado

  • Last updated on