Planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP

Sua organização depende da Microsoft para vários serviços do Azure ou do Microsoft 365. O software e os serviços SAP também podem fornecer funções críticas, como RH (recursos humanos) e ERP (planejamento de recursos corporativos) para sua organização. Você pode usar o Microsoft Entra para orquestrar as identidades de seus funcionários, contratantes e outros, e seu acesso nos aplicativos SAP e não SAP.

Este tutorial mostra como você pode usar os recursos do Microsoft Entra para gerenciar identidades em seus aplicativos SAP, com base nas propriedades dessas identidades originárias de fontes de RH do SAP. Este tutorial pressupõe que:

• Sua organização tem um locatário do Microsoft Entra na nuvem comercial com uma licença para pelo menos o Microsoft Entra ID P1 nesse locatário. (Algumas etapas também ilustram como usar os recursos do Microsoft Entra ID Governance.)
• Você é um administrador desse locatário.
• Sua organização tem um sistema de fonte de registro de funcionários, que é o SAP SuccessFactors.
• Sua organização tem SAP ERP Central Component (ECC), SAP S/4HANA ou outros aplicativos SAP e, opcionalmente, tem outros aplicativos que não são SAP.
• Você está usando o SAP Cloud Identity Services para provisionamento e logon único (SSO) em qualquer aplicativo SAP diferente do SAP ECC.

Visão geral

Este tutorial ilustra como conectar o Microsoft Entra a fontes autoritativas para a lista de funcionários em uma organização, como o SAP SuccessFactors. Ele também mostra como usar o Microsoft Entra para configurar identidades para esses funcionários. Depois, você aprenderá a usar o Microsoft Entra para fornecer aos funcionários acesso para entrar em um ou mais aplicativos SAP, como o SAP ECC ou o SAP S/4HANA.

O processo é:

• Plano: defina os requisitos para identidades e acesso para aplicativos em sua organização. Verifique se o Microsoft Entra ID e o Microsoft Online Services relacionado atendem aos pré-requisitos organizacionais para esse cenário.
• Implantar: traga os usuários necessários para o Microsoft Entra ID e realize um processo para manter esses usuários atualizados com as credenciais apropriadas. Atribua aos usuários os direitos de acesso necessários no Microsoft Entra. Provisionar esses usuários e seus direitos de acesso a aplicativos para permitir que eles entrem nesses aplicativos.
• Monitorar: monitore os fluxos de identidade para observar erros e ajustar políticas e operações, conforme necessário.

Depois que o processo for concluído, os indivíduos poderão entrar em aplicativos SAP e não SAP que estão autorizados a usar com identidades de usuário do Microsoft Entra.

O diagrama a seguir representa a topologia de exemplo usada neste tutorial. Nesta topologia, os funcionários são representados no SuccessFactors e precisam ter contas em um domínio do Windows Server Active Directory (Windows Server AD), em aplicativos de nuvem Microsoft Entra, SAP ECC e SAP. Este tutorial ilustra uma organização que tem um domínio do Windows Server AD. No entanto, o Windows Server AD não é necessário para este tutorial.

Este tutorial se concentra no ciclo de vida de identidade para usuários que representam funcionários e outros trabalhadores. O ciclo de vida de identidade para convidados e o ciclo de vida de acesso para atribuições de função, solicitações e revisões estão fora do escopo deste tutorial.

Planejar as integrações com fontes e destinos do SAP

Nesta seção, você definirá os requisitos para identidades e acesso para aplicativos em sua organização. Esta seção destaca as principais decisões necessárias para a integração com aplicativos SAP. Para aplicativos não SAP, você também pode definir políticas organizacionais para controlar o acesso a esses aplicativos.

Se você estiver usando o SAP IDM, poderá migrar seus cenários de gerenciamento de identidade do SAP IDM para o Microsoft Entra. Para obter mais informações, consulte Migrar os cenários de gerenciamento de identidade do SAP IDM para o Microsoft Entra.

Determinar a sequência de integração de aplicativos e como os aplicativos se integram ao Microsoft Entra

Sua organização pode já ter integrado alguns aplicativos ao Microsoft Entra para um subconjunto dos cenários de integração disponíveis. Por exemplo, você pode estar integrado ao SAP Cloud Identity Services com o Microsoft Entra para SSO para obter o benefício do acesso condicional, mas ainda depende de provisionamento e desprovisionamento manuais. Ou talvez você tenha aplicativos como o SAP ECC em sua organização que ainda não foram integrados ao Microsoft Entra.

1. Estabeleça uma ordem de prioridade para que os aplicativos sejam integrados ao Microsoft Entra para SSO e para provisionamento. As organizações geralmente começam a integrar aplicativos SaaS (software como serviço) que dão suporte a protocolos modernos. Para aplicativos SAP, recomendamos que as organizações que têm aplicativos de nuvem SAP iniciem suas integrações com as integrações de SSO e provisionamento com o SAP Cloud Identity Services como middleware. Aqui, um provisionamento de usuário e uma integração de SSO ao Microsoft Entra podem beneficiar vários aplicativos SAP.

2. Confirme como cada aplicativo se integre ao Microsoft Entra. Se o aplicativo estiver listado como um dos sistemas de destino de provisionamento do SAP Cloud Identity Services, como o SAP S/4HANA, você usará o SAP Cloud Identity Services como middleware para fazer a ponte entre o SSO e o provisionamento do Microsoft Entra para o aplicativo. Se o aplicativo for SAP ECC, você pode integrar o Microsoft Entra diretamente ao SAP NetWeaver para o SSO e aos BAPIs (Interfaces de Programação de Aplicativos Empresariais) do SAP ECC para provisionamento.

   Para aplicativos que não são SAP, siga as instruções em Integrar o aplicativo com o Microsoft Entra ID para determinar as tecnologias de integração com suporte para SSO e provisionamento para cada um dos seus aplicativos.

3. Colete as funções e permissões que cada aplicativo fornece. Alguns aplicativos têm apenas uma única função. Por exemplo, o SAP Cloud Identity Services tem apenas uma função, Usuário, que está disponível para atribuição. O SAP Cloud Identity Services pode ler grupos do Microsoft Entra ID para uso na atribuição de aplicativo. Outros aplicativos podem aparecer várias funções a serem gerenciadas por meio do Microsoft Entra ID. Essas funções de aplicativo normalmente fazem restrições amplas no acesso que um usuário com essa função tem dentro do aplicativo.

   Outros aplicativos também podem depender de associações de grupo ou declarações para verificações de função mais refinadas. Eles podem ser fornecidos a cada aplicativo do Microsoft Entra ID no provisionamento ou declarações emitidas usando protocolos SSO de federação. Eles também podem ser gravados no Active Directory como uma associação de grupo de segurança.

   Observação

   Se você estiver usando um aplicativo da galeria de aplicativos do Microsoft Entra que dá suporte ao provisionamento, o Microsoft Entra ID poderá importar funções definidas no aplicativo e atualizar automaticamente o manifesto do aplicativo com as funções do aplicativo depois que o provisionamento for configurado.

4. Selecione quais funções e grupos têm associação a ser governada no Microsoft Entra ID. Com base nos requisitos de conformidade e gerenciamento de riscos, as organizações geralmente priorizam esses grupos ou funções de aplicativo que dão acesso privilegiado ou acesso a informações confidenciais. Embora este tutorial não inclua as etapas para configurar a atribuição de acesso, talvez seja necessário identificar as funções e grupos relevantes para garantir que todos os membros sejam provisionados para os aplicativos.

Definir a política da organização com pré-requisitos do usuário e outras restrições para acesso a um aplicativo

Nesta seção, você determinará as políticas organizacionais que planeja usar para determinar o acesso a cada aplicativo.

1. Identifique se há requisitos prévios ou padrões que um usuário deve atender antes de ter acesso a um aplicativo. Organizações com requisitos de conformidade ou planos de gerenciamento de riscos têm aplicativos confidenciais ou comercialmente críticos. Talvez você já tenha documentado as políticas de acesso para quem deve ter acesso a esses aplicativos, antes da integração ao Microsoft Entra ID. Caso contrário, talvez seja necessário consultar os stakeholders, como equipes de conformidade e gerenciamento de riscos. Você precisa garantir que as políticas usadas para automatizar as decisões de acesso sejam adequadas para seu cenário.

   Por exemplo, em circunstâncias normais, apenas funcionários em tempo integral ou funcionários em um departamento ou centro de custo devem, por padrão, ter acesso ao aplicativo de um determinado departamento. Se você estiver usando o gerenciamento de direitos do Microsoft Entra no Microsoft Entra ID Governance, poderá optar por configurar a política de gerenciamento de direitos para um usuário de algum outro departamento que está solicitando acesso para ter um ou mais aprovadores, para que esses usuários possam obter acesso por meio de exceção.

   Em algumas organizações, as solicitações de acesso de um funcionário podem ter dois estágios de aprovação. O primeiro estágio é solicitando o gerente do usuário. O segundo estágio é solicitando um dos proprietários de recursos responsáveis pelos dados mantidos no aplicativo.

2. Decida por quanto tempo um usuário que foi aprovado para acesso deve ter acesso e quando esse acesso deve acabar. Em muitos aplicativos, um usuário pode manter o acesso indefinidamente até que ele não esteja mais associado à organização. Em algumas situações, o acesso pode estar vinculado a projetos ou eventos específicos para que, quando o projeto terminar, o acesso seja removido automaticamente. Ou se apenas alguns usuários estiverem usando um aplicativo por meio de uma política, você pode configurar revisões trimestrais ou anuais do acesso de todos por essa política, para que haja supervisão regular. Esses cenários exigem a governança do Microsoft Entra ID.

3. Se a organização já está controlando o acesso com um modelo de função organizacional, planeje colocar esse modelo de função organizacional no Microsoft Entra ID. Você pode ter um modelo de função organizacional definido que atribui acesso com base na propriedade de um usuário, como sua posição ou departamento. Esses processos podem garantir que os usuários percam o acesso eventualmente quando ele não for mais necessário, mesmo que não haja uma data predeterminada do término do projeto.

   Se você já tiver uma definição de função de organização, poderá migrar definições de função organizacional para a Governança do Microsoft Entra ID.

4. Consulte se há restrições com base em separação de tarefas. Este tutorial se concentra no ciclo de vida de identidade para fornecer a um usuário acesso básico a aplicativos. No entanto, ao planejar a integração de aplicativos, você pode identificar as restrições com base na separação de tarefas a serem impostas.

   Por exemplo, suponha que haja um aplicativo com duas funções de aplicativo: Vendas Ocidentais e Vendas Orientais. Você deseja garantir que um usuário tenha apenas uma função de território de vendas por vez. Inclua uma lista de pares de funções de aplicativo incompatíveis com seu aplicativo. Em seguida, se um usuário tiver uma função, ele não poderá solicitar a segunda função. As configurações de incompatibilidade de gerenciamento de direitos do Microsoft Entra em pacotes de acesso podem impor essas restrições.

5. Selecione a política de acesso condicional apropriada para acesso a cada aplicativo. Recomendamos que você analise seus aplicativos e organize-os em coleções de aplicativos que têm os mesmos requisitos de recursos para os mesmos usuários.

   Na primeira vez que integrar um aplicativo SSO federado ao Microsoft Entra ID, talvez seja necessário criar uma política de acesso condicional para expressar restrições. Talvez seja necessário impor requisitos de MFA (autenticação multifator) ou acesso baseado em local para esse aplicativo e aplicativos subsequentes. Você também pode configurar no acesso condicional que os usuários devem concordar com os termos de uso.

   Para obter mais considerações sobre como definir uma política de acesso condicional, consulte como Planejar uma implantação de acesso condicional.

6. Decida como as exceções aos seus critérios devem ser tratadas. Por exemplo, um aplicativo geralmente pode estar disponível apenas para funcionários designados, mas um auditor ou fornecedor pode precisar de acesso temporário para um projeto específico. Ou então um funcionário que está viajando pode exigir acesso de um local normalmente bloqueado, pois sua organização não tem presença nesse local.

   Nessas situações, se você tiver o Microsoft Entra ID Governance, também poderá escolher uma política de gerenciamento de direitos para aprovação que tenha estágios diferentes, um limite de tempo diferente ou um aprovador diferente. Um fornecedor que está conectado como um usuário convidado em seu locatário do Microsoft Entra pode não ter um gerente. Em vez disso, um responsável pela sua organização, um proprietário de recurso ou um responsável pela segurança poderia aprovar suas solicitações de acesso.

Decidir sobre a topologia de provisionamento e autenticação

Agora que você determinou que os aplicativos se integrem ao Microsoft Entra para provisionamento de usuário e SSO, decida sobre o fluxo de dados de como as identidades de usuário e seus atributos são fornecidos a esses aplicativos, com base em dados originários do sistema autoritativo de fontes de registro.

1. Selecione as fontes autoritativas para cada identidade e seus atributos. Este tutorial pressupõe que o SuccessFactors seja o sistema autoritativo da fonte de registro para os usuários que precisam de acesso aos aplicativos SAP. A configuração do provisionamento de usuários orientado pelo Cloud RH do SuccessFactors para o Microsoft Entra ID exige um planejamento que abrange diferentes aspectos. Esses fatores incluem determinar a ID correspondente e definir mapeamentos de atributo, transformação de atributo e filtros de escopo.

   Para obter diretrizes abrangentes sobre esses assuntos, consulte o plano de implantação do Cloud HR. Para saber mais sobre as entidades com suporte, os detalhes de processamento e como personalizar a integração para diferentes cenários de RH, consulte a referência de integração do SAP SuccessFactors. Você também pode ter outras fontes autoritativas para outras identidades e algumas identidades, como contas break-glass ou outros administradores de TI, que têm o Microsoft Entra ID como fonte autoritativa.

2. Decida se os usuários existem ou precisam ser provisionados no Windows Server AD, além da ID do Microsoft Entra. Talvez você já tenha usuários existentes no Windows Server AD, que correspondem aos seus funcionários na fonte de RH autoritativa. Ou você configurou o SAP ECC ou outros aplicativos para contar com o Windows Server através do LDAP (Lightweight Directory Access Protocol) ou Kerberos. Nessas situações, você provisionará usuários no Windows Server AD. Esses usuários serão sincronizados com o Microsoft Entra ID.

3. Crie a topologia de implantação do agente de provisionamento do Microsoft Entra Connect. Se você estiver usando o SuccessFactors e tiver o Windows Server AD, precisará instalar o agente de provisionamento para provisionar usuários nesses domínios. A topologia de implantação do agente de provisionamento do Microsoft Entra Connect depende do número de locatários do aplicativo de RH na nuvem e dos domínios filho do Active Directory que você planeja integrar. Se você tem vários domínios do Active Directory, isso depende de os domínios de Active Directory serem contíguos ou não contíguos. Para saber mais, consulte Criar a topologia de implantação do agente de provisionamento do Microsoft Entra Connect.

4. Determine se você usará vários contêineres no Windows Server AD. Se você estiver usando o SuccessFactors e tiver o Windows Server AD, em cada domínio precisará determinar se os usuários que representam os trabalhadores estão organizados em uma hierarquia de contêineres. Algumas organizações podem criar todos os usuários que representam os funcionários em um único organizationalUnit; outras organizações podem ter vários. Para obter mais informações, consulte configurar a atribuição de contêiner de UO do Active Directory.

5. Decida se você usará o Microsoft Entra ID para provisionar no SAP Cloud Identity Services ou se usará o SAP Cloud Identity Services para ler do Microsoft Entra ID. Para obter mais informações sobre os recursos de provisionamento do Microsoft Entra, consulte Automatizar o provisionamento e o desprovisionamento de usuários para o SAP Cloud Identity Services com o Microsoft Entra ID. O SAP Cloud Identity Services também tem seu próprio conector separado para ler usuários e grupos do Microsoft Entra ID. Para obter mais informações, confira SAP Cloud Identity Services – Provisionamento de identidade – Microsoft Entra ID como um sistema de origem.

6. Decida se você precisa provisionar usuários no SAP ECC. Você pode provisionar usuários do Microsoft Entra ID no SAP ECC (anteriormente SAP R/3) NetWeaver 7.0 ou posterior. Se você estiver usando outras versões do SAP R/3, ainda poderá usar os guias fornecidos no download Conectores para o Microsoft Identity Manager 2016 como referência para criar seu modelo para provisionamento.

Verifique se os pré-requisitos organizacionais são atendidos antes de configurar o Microsoft Entra ID

Antes de iniciar o processo de provisionamento do acesso a aplicativos comercialmente críticos do Microsoft Entra ID, verifique se o ambiente do Microsoft Entra está configurado adequadamente.

1. Verifique se o Microsoft Entra ID e o ambiente dos Serviços Do Microsoft Online estão prontos para os requisitos de conformidade para os aplicativos. A conformidade é uma responsabilidade compartilhada entre a Microsoft, os provedores de serviços de nuvem e as organizações.

2. Verifique se o locatário do Microsoft Entra ID foi licenciado corretamente. Para usar o Microsoft Entra ID para automatizar o provisionamento, seu locatário deve ter a quantidade de licenças do Microsoft Entra ID P1, como mínima, pois há funcionários que são originados do aplicativo de RH de origem ou usuários membros (não convidados) que são provisionados.

   Além disso, o uso de Fluxos de Trabalho do Ciclo de Vida e de outros recursos do Microsoft Entra ID Governance, como as políticas de atribuição automática de gerenciamento de direitos do Microsoft Entra no processo de provisionamento, requer licenças do Microsoft Entra ID Governance para seus funcionários. Essas licenças são Microsoft Entra ID Governance ou Microsoft Entra ID Governance com upgrade para Microsoft Entra ID P2.

3. Verifique se o ID do Microsoft Entra já está enviando seu log de auditoria e, opcionalmente, outros logs para o Azure Monitor. O Azure Monitor é opcional, mas é útil para controlar o acesso a aplicativos, pois o Microsoft Entra armazena eventos de auditoria por até 30 dias em seu log de auditoria. Você pode manter os dados de auditoria por mais tempo do que esse período de retenção padrão. Para obter mais informações, confira Por quanto tempo o Microsoft Entra ID armazena dados de relatório?.

   Você também pode usar pastas de trabalho do Azure Monitor e consultas e relatórios personalizados sobre dados históricos de auditoria. Você pode verificar a configuração do Microsoft Entra para ver se ele está usando o Azure Monitor, em Microsoft Entra ID no centro de administração do Microsoft Entra, selecione Pastas de trabalho. Se essa integração não estiver configurada e você tiver uma assinatura do Azure e for, no mínimo, um Administrador da Segurança, poderá configurar o Microsoft Entra ID para usar o Azure Monitor.

4. Verifique se apenas os usuários autorizados estão nas funções administrativas altamente privilegiadas em seu locatário do Microsoft Entra. Os administradores que sejam, no mínimo, Administrador de governança de identidade, Administrador de usuários, Administrador de aplicativos, Administrador de aplicativos de nuvem ou Administrador de funções com privilégios podem alterar usuários e as atribuições de função do aplicativo. Se você não verificou as associações dessas funções recentemente, precisará de um usuário que seja, no mínimo, um Administrador de funções com privilégios para garantir que a revisão de acesso dessas funções de diretório seja iniciada.

   Você também deve revisar os usuários em funções do Azure em assinaturas que contêm o Azure Monitor, Aplicativos Lógicos e outros recursos necessários para a operação da sua configuração do Microsoft Entra.

5. Verifique se o locatário tem o isolamento apropriado. Se sua organização estiver usando o Active Directory local e esses domínios do Active Directory estiverem conectados ao Microsoft Entra ID, você precisará garantir que as operações administrativas altamente privilegiadas para serviços hospedados na nuvem sejam isoladas das contas locais. Verifique se você configurou para proteger seu ambiente de nuvem do Microsoft 365 contra comprometimentos locais.

6. Avalie seu ambiente em relação às práticas recomendadas de segurança. Para avaliar como proteger seu locatário do Microsoft Entra ID, analise as Práticas recomendadas para todas as arquiteturas de isolamento.

7. Documente o tempo de vida do token e as configurações de sessão dos aplicativos. Ao final deste tutorial, você integrará os aplicativos SAP ECC ou SAP Cloud Identity Services ao Microsoft Entra para SSO. O período em que um usuário com acesso contínuo negado pode continuar usando um aplicativo federado depende do tempo de vida da sessão do aplicativo e do tempo de vida do token de acesso. O tempo de vida da sessão de um aplicativo depende do próprio aplicativo. Para saber como controlar o tempo de vida dos tokens de acesso, confira Tempos de vida de token configuráveis.

Confirme se o SAP Cloud Identity Services tem os mapeamentos de esquema necessários para seus aplicativos

Cada um dos aplicativos SAP da sua organização pode ter seus próprios requisitos de que os usuários desses aplicativos têm determinados atributos preenchidos quando estão sendo provisionados no aplicativo.

Se você estiver usando o SAP Cloud Identity Services para provisionar para o SAP S/4HANA ou outros aplicativos SAP, verifique se o SAP Cloud Identity Services tem os mapeamentos para enviar esses atributos do Microsoft Entra ID por meio do SAP Cloud Identity Services para esses aplicativos. Se você não estiver usando o SAP Cloud Identity Services, vá para a próxima seção.

1. Verifique se o diretório de nuvem SAP tem o esquema de usuário exigido pelos aplicativos de nuvem SAP. No SAP Cloud Identity Services, cada sistema de destino configurado adiciona transformações do modelo de dados da fonte para identidades fornecidas ao SAP Cloud Identity Services aos requisitos do destino. Talvez seja necessário alterar essas transformações no SAP Cloud Identity Services para corresponder à forma como planeja modelar a identidade, principalmente se você tiver vários sistemas de destino configurados. Em seguida, registre o esquema necessário para o Microsoft Entra fornecer aos aplicativos de nuvem SAP por meio do SAP Cloud Identity Services.

Definir a relação entre os registros de trabalho em seu sistema de fontes de registro e os usuários no Microsoft Entra

Cada atributo exigido por seus aplicativos precisará se originar de alguma fonte em sua organização. Alguns atributos podem ter valores que são constantes ou que são transformados de outros atributos. Outros valores podem ser atribuídos por um serviço online da Microsoft, como o endereço de email de um usuário. Outros atributos, como nome de usuário, departamento ou outras propriedades organizacionais, normalmente se originam em um sistema de RH de registro autoritativo. Para garantir que os registros de RH corretos sejam mapeados para usuários no Microsoft Entra ID, trabalhe com suas equipes de RH e TI para garantir a consistência de dados e planejar as tarefas de limpeza de dados.

1. Determine como mapear alterações no sistema de origem de registro para ingressar e sair de eventos. Se você quiser automatizar processos de entrada e saída de trabalhadores, precisará correlacionar as informações de status de um trabalhador aos atributos no Microsoft Entra. Para obter mais informações, consulte determinar o status da conta do usuário.

2. Verifique se a fonte de RH tem o esquema de trabalho capaz de fornecer o esquema necessário para esses aplicativos de nuvem SAP. Verifique se cada atributo necessário de uma nuvem SAP ou um aplicativo local que não se origina no Microsoft Entra ou em outro serviço online da Microsoft pode ser rastreado para uma propriedade disponível da sua origem, como SuccessFactors. Se sua origem não tiver o esquema necessário, esses atributos não serão preenchidos em uma ou mais identidades que terão acesso aos aplicativos ou não estão disponíveis para leitura do Microsoft Entra. Você deve atender a esses requisitos de esquema antes de habilitar o provisionamento.

3. Registre o esquema usado para correlação entre o Microsoft Entra ID e seus sistemas de registro. Você pode ter usuários existentes no Windows Server AD ou no Microsoft Entra ID que correspondem aos funcionários no SAP SuccessFactors. Se esses usuários não foram criados pelo Microsoft Entra ID, mas por algum outro processo, veja a Referência de atributo do SAP SuccessFactors e seu esquema de usuário do Windows Server ou do Microsoft Entra para selecionar quais atributos nos objetos de usuário contêm um identificador exclusivo para o funcionário no SAP SuccessFactors.

   Esse atributo deve estar presente com um valor exclusivo em cada usuário que corresponda a um trabalho, de modo que o provisionamento de entrada do Microsoft Entra possa determinar quais usuários já existem para os funcionários e evitar a criação de usuários duplicados. O atributo de correspondência padrão é baseado na ID do funcionário. Antes de importar trabalhadores da fonte de RH, você precisará garantir que o valor desse atributo, como a ID do funcionário, seja preenchido no Microsoft Entra ID (para usuários somente na nuvem) e no Windows Server AD (para usuários híbridos) antes de iniciar a sincronização completa e seu valor identifique exclusivamente cada usuário. Para obter mais informações, consulte determinar atributos correspondentes e gerar um valor de atributo exclusivo.

4. Selecione filtros de escopo para ignorar registros de RH que não são mais relevantes. Os sistemas de RH têm vários anos de dados de emprego, incluindo trabalhadores que não são funcionários há anos. Por outro lado, a sua equipe de TI pode estar interessada apenas na lista de funcionários ativos no momento e nos registros de rescisão que são disponibilizados após a ativação. Para filtrar registros de RH que não são mais relevantes da perspectiva da equipe de TI, trabalhe com sua equipe de RH para adicionar sinalizadores ao registro de RH que podem ser usados nos filtros de escopo de provisionamento do Microsoft Entra. Para obter mais informações, consulte definir filtros de escopo.

5. Planeje o tratamento de caracteres especiais que podem formar o nome de usuário de um novo usuário. É uma prática comum usar o nome e o sobrenome do funcionário para criar um userPrincipalName exclusivo para o usuário. No Windows Server AD e no Microsoft Entra ID, o userPrincipalName não permite caracteres de acento e apenas os seguintes caracteres são permitidos A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~. Use a função NormalizeDiacritics para lidar com caracteres de ênfase e construir userPrincipalName apropriado.

6. Planeje o tratamento de cadeias de caracteres longas originadas em sua fonte de HR. Verifique se seus dados HR possuem valores de cadeias de caracteres longas associados com campos HR que você usará para preencher atributos do Microsoft Entra ID e do Windows Server AD. Cada atributo do Microsoft Entra ID tem um comprimento máximo de sua cadeia de caracteres. Se o valor no campo HR mapeado para o atributo do Microsoft Entra ID contiver mais caracteres, a atualização do atributo poderá falhar. Uma opção é examinar o mapeamento de atributos e verificar se há uma possibilidade de truncar/atualizar valores de cadeia de caracteres longa no sistema de RH. Se essa não for uma opção, você poderá usar funções como Mid para truncar cadeias de caracteres longas ou usar funções como Switch para mapear valores longos para valores/abreviações mais curtos.

7. Aborde valores potencialmente vazios para atributos obrigatórios. É obrigatório preencher determinados atributos como firstName, lastName, CN, ou UPN ao criar uma conta no Microsoft Entra ID ou no Windows Server AD. Se algum dos campos HR correspondentes mapeados para esses atributos for nulo, a operação de criação de usuário falhará. Por exemplo, se você mapear o atributo CN do AD para “nome de exibição” e se o “nome de exibição” não estiver definido para todos os usuários, você encontrará um erro. Uma opção é examinar esses mapeamentos de atributos obrigatórios e garantir que os campos correspondentes sejam preenchidos no RH. Você também pode considerar a opção de verificar valores nulos em um mapeamento de expressão. Por exemplo, se o nome de exibição estiver vazio, combine o nome e o sobrenome para formar o nome de exibição.

Confirme se os BAPIs necessários para SAP ECC estão prontos para uso pelo Microsoft Entra

O agente de provisionamento do Microsoft Entra e o conector de serviços Web genéricos fornecem conectividade com pontos de extremidade SOAP locais, incluindo BAPIs SAP.

Se você não estiver usando o SAP ECC e estiver apenas provisionando os serviços de nuvem SAP, vá para próxima seção.

1. Confirme se os BAPIs necessários para provisionamento foram publicados. Expor as APIs necessárias no SAP ECC com NetWeaver 7.51 para criar, atualizar e excluir usuários. O arquivo Conectores para Microsoft Identity Manager 2016 nomeado Deploying SAP NetWeaver AS ABAP 7.pdf explica como você pode expor as APIs necessárias.

2. Registre o esquema disponível para os usuários do SAP existentes. Talvez você tenha usuários existentes no SAP ECC que correspondam aos funcionários em seu sistema autoritativo de fonte de registro. Mas se esses usuários não foram criados pelo Microsoft Entra ID, você precisará ter um campo preenchido nesses usuários que possa ser usado como o identificador exclusivo para o funcionário. Esse campo deve estar presente com um valor exclusivo em cada usuário que corresponda a um funcionário. Em seguida, o provisionamento do Microsoft Entra pode determinar quais usuários já existem para os funcionários e evitar a criação de usuários duplicados.

   Por exemplo, você pode estar usando os BAPIs BAPI_USER_GETLIST e BAPI_USER_GETDETAIL do SAP. Um dos campos retornados por BAPI_USER_GETDETAIL deve ser escolhido como o identificador exclusivo para correlacionar-se à origem. Se você não tiver um campo que corresponda a um identificador exclusivo da fonte, talvez seja necessário usar um identificador exclusivo diferente. Por exemplo, talvez seja necessário usar o campo address.e_mail SAP se seus valores forem exclusivos em cada usuário do SAP e também estiverem presentes nos usuários do Microsoft Entra ID.

3. Registre o esquema necessário para o Microsoft Entra fornecer aos SAP BAPIs. Por exemplo, você pode estar usando o BAPI BAPI_USER_CREATE1 do SAP, que requer campos ADDRESS, COMPANY, DEFAULTS, LOGONDATA, PASSWORD, SELF_REGISTER e USERNAME para criar um usuário. Ao configurar o mapeamento do esquema de usuário do Microsoft Entra ID para os requisitos do SAP ECC, mapeie atributos ou constantes de usuário do Microsoft Entra ID para cada um desses campos.

Documentar o fluxo e as transformações de atributo de ponta a ponta

Você identificou os requisitos de esquema de seus aplicativos e os campos de funcionário disponíveis de seu sistema de fontes de registro. Agora documente os caminhos de como esses campos fluem por meio do Microsoft Entra e, opcionalmente, do Windows Server AD e do SAP Cloud Identity Services, para os aplicativos.

Em alguns casos, os atributos exigidos pelos aplicativos não correspondem diretamente aos valores de dados disponíveis na origem. Em seguida, é necessário transformar os valores antes que esses valores possam ser fornecidos para o aplicativo de destino.

Há vários estágios de processamento em que uma transformação pode ser aplicada.

Preparar para emitir novas credenciais de autenticação

1. Se você estiver usando o Windows Server AD, planeje emitir credenciais do Windows Server AD para trabalhadores que precisam de acesso a aplicativos e não tinham contas de usuário do Windows Server AD anteriormente. Historicamente, em algumas organizações, os usuários eram provisionados diretamente em repositórios de aplicativos. Os funcionários recebiam apenas contas de usuário do Windows Server AD se exigissem uma caixa de correio do Microsoft Exchange ou acesso a aplicativos integrados ao Windows Server AD.

   Nesse cenário, se você estiver configurando o provisionamento de entrada para o Windows Server AD, o Microsoft Entra criará usuários no Windows Server AD, tanto para funcionários existentes que não tinham contas de usuário do Windows Server AD anteriormente quanto para novos funcionários. Se os usuários estiverem entrando no domínio do Windows, recomendamos que os usuários se registrem no Windows Hello para Empresas para autenticação mais forte do que apenas uma senha.

2. Se você não estiver usando o Windows Server AD, planeje emitir credenciais do Microsoft Entra ID para funcionários que precisam de acesso ao aplicativo e não tinham contas de usuário do Microsoft Entra ID anteriormente. Se você estiver configurando o provisionamento de entrada para o Microsoft Entra ID, não acessando primeiro no Windows Server AD, o Microsoft Entra criará usuários no Microsoft Entra, tanto para funcionários existentes que não tinham contas de usuário do Microsoft Entra ID anteriormente, quanto para novos funcionários.

Se os usuários precisarem de senhas, você pode distribuir a funcionalidade SSPR (redefinição de senha self-service) do Microsoft Entra ID para o usuário redefinir a senha. Você pode provisionar o atributo de Número de celular no aplicativo de RH na nuvem. Depois que o atributo Número de Celular estiver no Microsoft Entra ID, você poderá habilitar a SSPR para a conta do usuário. Assim, no primeiro dia, o novo usuário poderá usar o número de celular registrado e verificado para autenticação. Confira a documentação da SSPR para obter detalhes sobre como popular previamente as informações de contato de autenticação.

Se os usuários ficarem mais fortes usando autenticação mais forte, habilite a Política de Senha de Acesso Temporária para que você possa gerar Senhas de acesso temporárias para novos usuários.

1. Verifique se os usuários estão prontos para a MFA do Microsoft Entra. É recomendável exigir a MFA do Microsoft Entra para aplicativos comercialmente críticos integrados por meio de federação. Para esses aplicativos, uma política deve exigir que o usuário atenda a um requisito de MFA antes do Microsoft Entra ID permitir que ele entre em um aplicativo. Algumas organizações também podem bloquear o acesso por local, ou exigir que o usuário acesse por um dispositivo registrado.

   Se ainda não houver uma política adequada que inclua as condições necessárias para autenticação, localização, dispositivo e termos de uso, adicione uma política à implantação de acesso condicional.

2. Prepare-se para emitir uma Senha de Acesso Temporária para novos funcionários. Se você usar o Microsoft Entra ID Governance e estiver configurando o provisionamento de entrada para o Microsoft Entra ID, planeje configurar fluxos de trabalho do ciclo de vida para emitir um Senha de Acesso Temporária para novos funcionários.

Planejar um piloto

A integração dos processos empresariais de RH e dos fluxos de trabalho de identidade do aplicativo de RH na nuvem aos sistemas de destino requer uma quantidade considerável de validação de dados, transformação de dados, limpeza de dados e teste de ponta a ponta para implantar a solução na produção.

Execute a configuração inicial em um ambiente piloto antes de escalar ela para todos os usuários em produção.

Implantar integrações do Microsoft Entra

Nesta seção, você:

• Trazer os usuários para a ID do Microsoft Entra de um sistema de origem autoritativo.

  

• Provisione esses usuários para o SAP Cloud Identity Services ou o SAP ECC, para permitir que eles entrem em aplicativos SAP.

  

Atualizar o esquema de usuário do Windows Server AD

Se você estiver provisionando usuários no Windows Server AD e no Microsoft Entra ID, verifique se o ambiente do Windows Server AD e os agentes associados do Microsoft Entra estão prontos para transportar usuários para dentro e para fora do Windows Server AD com o esquema necessário para seus aplicativos SAP.

Se você não usa o Windows Server AD, vá para a próxima seção.

1. Estenda o esquema do Windows Server AD, se necessário. Para cada atributo de usuário exigido pelo Microsoft Entra e seus aplicativos que ainda não fazem parte do esquema de usuário do Windows Server AD, você precisa selecionar um atributo de extensão de usuário interno do Windows Server AD. Ou você precisa estender o esquema do Windows Server AD para ter um local para o Windows Server AD manter esse atributo. Esse requisito também inclui atributos usados para automação, como data de ingresso e data de licença de um trabalhador.

   Por exemplo, algumas organizações podem usar os atributos extensionAttribute1 e extensionAttribute2 para manter essas propriedades. Se você optar por usar os atributos de extensão internos, verifique se esses atributos ainda não estão em uso por outros aplicativos baseados em LDAP do Windows Server AD ou por aplicativos integrados ao Microsoft Entra ID. Outras organizações criam novos atributos do Windows Server AD com nomes específicos para seus requisitos, como contosoWorkerId.

2. Confirme se os usuários existentes do Windows Server AD têm atributos necessários para correlação com a fonte de RH. Talvez você tenha usuários existentes no Windows Server AD que correspondam aos funcionários. Esses usuários devem ter um atributo cujo valor é exclusivo e correspondente a uma propriedade no sistema autoritativo de fonte de registro para esses funcionários.

   Por exemplo, algumas organizações usam um atributo, como employeeId no Windows Server AD. Se houver usuários que não têm esse atributo, talvez não sejam considerados durante a integração subsequente. Em seguida, o provisionamento automatizado resulta em usuários duplicados criados no Windows Server AD. Quando um usuário sai, os usuários originais não são atualizados ou removidos. Você pode usar:

   • O pipeline do PowerShell em um computador conectado ao domínio com o comando Get-ADUser para obter todos os usuários em um contêiner do Active Directory.
   • O comando where-object para filtrar para usuários que têm um atributo ausente com um filtro como {$_.employeeId -eq $null}.
   • O comando export-csv para exportar os usuários resultantes para um arquivo CSV.

   Verifique se nenhum usuário corresponde aos funcionários que não têm esse atributo. Se houver, você deve editar esses usuários no Windows Server AD para adicionar o atributo ausente antes de continuar.

3. Estenda o esquema da ID do Microsoft Entra e configure os mapeamentos do esquema do Windows Server AD para o esquema de usuário do Microsoft Entra ID. Se você estiver usando a Sincronização do Microsoft Entra Connect, execute as etapas em Sincronização do Microsoft Entra Connect: extensões de diretório para estender o esquema de usuário do Microsoft Entra ID com atributos. Configure os mapeamentos de Sincronização do Microsoft Entra Connect desses atributos do Windows Server AD para esses atributos.

   Se você estiver usando a Sincronização na nuvem do Microsoft Entra, execute as etapas em Sincronização na nuvem do Microsoft Entra: extensões de diretório e mapeamento de atributo personalizado para estender o esquema de usuário do Microsoft Entra ID com outros atributos necessários. Configure os mapeamentos de Sincronização na nuvem do Microsoft Entra desses atributos do Windows Server AD para esses atributos. Verifique se você está sincronizando os atributos exigidos pelos Fluxos de Trabalho do Ciclo de Vida.

4. Aguarde a conclusão da sincronização do Windows Server AD com o Microsoft Entra ID. Se você fez alterações nos mapeamentos para provisionar mais atributos do Windows Server AD, aguarde até que essas alterações dos usuários tenham feito o seu caminho do Windows Server AD para o Microsoft Entra ID, de modo que a representação do Microsoft Entra ID dos usuários tenha o conjunto completo de atributos do Windows Server AD.

   Se estiver usando a sincronização na nuvem do Microsoft Entra, você poderá monitorar a propriedade steadyStateLastAchievedTime do status da sincronização recuperando o trabalho de sincronização da entidade de serviço que representa a Sincronização na nuvem do Microsoft Entra. Se você não tiver a ID da entidade de serviço, consulte Exibir o esquema de sincronização.

5. Crie todos os contêineres necessários no Windows Server AD. Se você for provisionar usuários em unidades organizacionais no domínio, verifique se esses contêineres organizationalUnit existem antes de ativar o agente de provisionamento.

Atualizar o esquema de usuário da ID do Microsoft Entra

Se você estiver usando o Windows Server AD, você já estendeu o esquema de usuário do Microsoft Entra ID como parte da configuração de mapeamentos do Windows Server AD. Se esta etapa foi concluída, vá para a próxima seção.

Se você não usa o Windows Server AD, siga as etapas nesta seção para estender o esquema de usuário do Microsoft Entra ID.

1. Crie um aplicativo para manter as extensões de esquema do Microsoft Entra. Para locatários que não são sincronizados do Windows Server AD, as extensões de esquema devem fazer parte de um novo aplicativo. Se você ainda não fez isso, crie um aplicativo para representar extensões de esquema. Este aplicativo não terá nenhum usuário atribuído a ele.

2. Identifique o atributo para correlação com o sistema de registro. Talvez você tenha usuários existentes no Microsoft Entra ID que correspondam aos funcionários. Então esses usuários devem ter um atributo cujo valor é exclusivo e correspondente a uma propriedade no sistema autoritativo de fonte de registro para esses funcionários.

   Por exemplo, algumas organizações estenderam seu esquema de usuário do Microsoft Entra ID para ter um novo atributo para essa finalidade. Se você ainda não criou um atributo para essa finalidade, inclua isso como um atributo na próxima etapa.

3. Estenda o esquema de usuário da ID do Microsoft Entra para novos atributos. Crie extensões de esquema de diretório para cada atributo exigido pelos aplicativos SAP que ainda não fazem parte do esquema de usuário do Microsoft Entra ID. Esses atributos fornecem uma maneira de o Microsoft Entra armazenar mais dados sobre os usuários. Você pode estender o esquema criando um atributo de extensão.

Verifique se os usuários no Microsoft Entra ID podem ser correlacionados com registros de funcionários na fonte de RH

Talvez você tenha usuários existentes no Microsoft Entra ID que correspondam aos funcionários. Então esses usuários devem ter um atributo cujo valor é exclusivo e correspondente a uma propriedade no sistema autoritativo de fonte de registro para esses funcionários.

Por exemplo, algumas organizações podem estender seu esquema de usuário do Microsoft Entra ID para ter um novo atributo para essa finalidade. Se houver usuários que não têm esse atributo, talvez não sejam considerados durante a integração subsequente. Em seguida, o provisionamento automatizado resulta em usuários duplicados sendo criados no Windows Server AD. Quando um usuário sai, os usuários originais não são atualizados ou removidos.

1. Recuperar os usuários do Microsoft Entra ID. Verifique se algum usuário que já esteja no Microsoft Entra ID que representa um funcionário tem um atributo para que ele possa ser correlacionado. Normalmente, alguns usuários no Microsoft Entra ID não correspondem aos trabalhadores em seu sistema autoritativo de fonte de registro. Esses usuários incluem a conta break-glass para acesso administrativo de emergência, contas para fornecedores de TI e convidados comerciais. O restante dos usuários já devem ter um atributo com um valor exclusivo a ser usado para correlação.

   Se alguns usuários não estiverem correlacionados, eles poderão ser omitidos em atualizações e desprovisionamento. O Microsoft Entra pode até mesmo criar usuários duplicados. Por exemplo, se o requisito for que todos os usuários membros (além da conta break-glass) tenham um atributo employeeid, você poderá identificar esses usuários com um pipeline de comando do PowerShell semelhante ao seguinte script:

   $u = get-mguser -all -property id,displayname,userprincipalname,usertype,employeeid | Where-Object {$_.UserType -ne 'Guest' -and $_.EmployeeId -eq $null}
   

Configurar os pré-requisitos para recursos de governança de identidade

Se você identificou a necessidade de uma funcionalidade do Microsoft Entra ID Governance, como o gerenciamento de direitos do Microsoft Entra ou os Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, implante esses recursos antes de trazer funcionários como usuários para o Microsoft Entra ID.

1. Carregue o documento de termos de uso, se necessário. Se você exigir que os usuários aceitem os termos de uso antes de acessar um aplicativo, crie e carregue o documento de termos de uso para que ele possa ser incluído em uma política de acesso condicional.

2. Crie um catálogo, se necessário. Por padrão, quando um administrador interage pela primeira vez com o gerenciamento de direitos do Microsoft Entra, um catálogo padrão é criado automaticamente. No entanto, os pacotes de acesso para aplicativos controlados devem estar em um catálogo designado. Para criar um catálogo no Centro de administração do Microsoft Entra, siga as etapas na seção Criar um catálogo.

   Para criar um catálogo usando o PowerShell, siga as etapas nas seções Autenticar no Microsoft Entra ID e Criar um catálogo.

3. Crie um fluxo de trabalho de junção. Se você estiver configurando o provisionamento de entrada para o Microsoft Entra ID, configure um fluxo de trabalho ingressado no Fluxo de Trabalho do Ciclo de Vida com uma tarefa para emitir um Senha de Acesso Temporária para novos funcionários.

4. Criar um fluxo de trabalho de saída que bloqueie os logins. Nos Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, configure um fluxo de trabalho de saída com uma tarefa que impeça a entrada dos usuários. Esse fluxo de trabalho pode ser executado sob demanda. Se você não configurou o provisionamento de entrada das fontes de registro para impedir que os funcionários façam login após a data de saída programada, configure um fluxo de trabalho de saída para ser executado nas datas de saída programadas desses funcionários.

5. Crie um fluxo de trabalho de saída para excluir contas de usuário. Opcionalmente, configure um fluxo de trabalho de saída com uma tarefa para excluir um usuário. Programe esse fluxo de trabalho para ser executado em um período de tempo, como 30 ou 90 dias, após a data de saída programada do funcionário.

Conectar usuários na ID do Microsoft Entra aos registros de trabalho da fonte de RH

Esta seção ilustra como integrar o Microsoft Entra ID ao SAP SuccessFactors como o sistema de registro de origem de RH.

1. Configure o sistema de registro com uma conta de serviço e conceda as permissões apropriadas para o Microsoft Entra ID. Se você estiver usando o SAP SuccessFactors, siga as etapas na seção Configurar o SuccessFactors para a integração.

2. Configure mapeamentos de entrada do seu sistema de registro para o Windows Server AD ou o Microsoft Entra ID. Se você estiver usando o SAP SuccessFactors e provisionando usuários no Windows Server AD e no Microsoft Entra ID, siga as etapas na seção Configurar o provisionamento de usuário do SuccessFactors para o Active Directory.

   Se você estiver usando o SAP SuccessFactors e não estiver provisionando no Windows Server AD, siga as etapas na seção Configurar o provisionamento de usuário do SuccessFactors para o Microsoft Entra ID.

   Ao configurar os mapeamentos, verifique se você configurou um mapeamento com Corresponder objetos usando este atributo para o atributo do Windows Server AD ou o atributo de usuário do Microsoft Entra ID usado para correlação. Configure também mapeamentos para os atributos necessários para as datas de ingresso e saída do trabalho e todos os atributos exigidos pelos aplicativos de destino, que se originam da fonte de RH.

3. Execute o provisionamento de entrada inicial do sistema de registro. Se você estiver usando o SAP SuccessFactors e provisionando usuários no Windows Server AD e no Microsoft Entra ID, siga as etapas na seção Habilitar e iniciar o provisionamento. Se você estiver usando o SAP SuccessFactors e não estiver provisionando no Windows Server AD, siga as etapas na seção Habilitar e iniciar o provisionamento. Para grandes locatários de aplicativo de RH na nuvem (>30.000 usuários), execute o ciclo inicial em fases progressivas, como descrito em plano para o ciclo inicial.

4. Aguarde a conclusão da sincronização inicial do sistema de registro. Se você estiver sincronizando do SAP SuccessFactors com o Windows Server AD ou com o Microsoft Entra ID, depois que a sincronização inicial com esse diretório for concluída, o Microsoft Entra atualizará o relatório de resumo de auditoria na guia Provisionamento do aplicativo SAP SuccessFactors no Centro de administração do Microsoft Entra.

   

5. Se você estiver provisionando no Windows Server AD, aguarde até que os novos usuários criados no Windows Server AD ou aqueles atualizados no Windows Server AD sejam sincronizados do Windows Server AD para o Microsoft Entra ID. Aguarde até que as alterações dos usuários no Windows Server AD tenham chegado ao Microsoft Entra ID para que a representação do Microsoft Entra ID dos usuários tenha o conjunto completo de usuários e seus atributos do Windows Server AD.

   Se estiver usando a Sincronização na nuvem do Microsoft Entra, você pode monitorar o steadyStateLastAchievedTime status da sincronização recuperando o trabalho de sincronização da entidade de serviço que representa a Sincronização na nuvem do Microsoft Entra. Se você não tiver a ID da entidade de serviço, consulte Exibir o esquema de sincronização.

6. Verifique se os usuários foram provisionados no Microsoft Entra ID. Neste ponto, os usuários devem estar presentes na ID do Microsoft Entra com os atributos exigidos pelos aplicativos de destino. Por exemplo, você pode exigir que os usuários tenham os atributos givenname, surname e employeeID. Para exibir o número de usuários com atributos específicos ou se estão com atributos ausentes, você pode usar comandos do PowerShell semelhantes ao script a seguir:

   $u = get-mguser -all -property id,displayname,userprincipalname,usertype,givenname,surname,employeeid
   $u2 = $u | where-object {$_.usertype -ne 'Guest' -and $_.employeeid -ne $null}
   $u2c = $u2.Count
   write-output "member users with employeeID attribute: $u2c"
   $u3 = $u| Where-Object {$_.UserType -ne 'Guest' -and ($_.EmployeeId -eq $null -or $_.GivenName -eq $null -or $_.Surname -eq $null)}
   $u3c = $u3.Count
   write-output "member users missing employeeID, givenname or surname attributes: $u3c"
   

7. Verifique se não há contas não relacionadas inesperadas no Microsoft Entra ID. Normalmente, alguns usuários no Microsoft Entra ID não correspondem aos trabalhadores em seu sistema autoritativo de fonte de registro. Eles incluem a conta break-glass para acesso administrativo de emergência, contas para fornecedores de TI e convidados comerciais.

   No entanto, eles também podem ser contas órfãs no Microsoft Entra que se assemelham a essas contas de funcionários atuais, mas não foram sincronizadas com um registro de funcionário. Contas órfãs podem ser de ex-funcionários que não estão mais no sistema de RH. Elas também podem surgir de erros correspondentes. Ou podem surgir de problemas de qualidade de dados, como uma pessoa que mudou de nome ou foi recontratada.

8. Teste as atividades de ingresso, atualização e saída em um sistema upstream de fluxo de registro corretamente para o Microsoft Entra. Para obter mais informações, confira Teste do plano.

Provisionar usuários e seus direitos de acesso a aplicativos e permitir que eles entrem nesses aplicativos

Agora que os usuários existem no Microsoft Entra ID, nas próximas seções você os provisionará para os aplicativos de destino.

Provisionar usuários para o SAP Cloud Identity Services

As etapas nesta seção configuram o provisionamento da ID do Microsoft Entra para o SAP Cloud Identity Services. Por padrão, configure o Microsoft Entra ID para provisionar e desprovisionar automaticamente os usuários para o SAP Cloud Identity Services. Em seguida, esses usuários podem se autenticar no SAP Cloud Identity Services e ter acesso a outras cargas de trabalho do SAP integradas ao SAP Cloud Identity Services. O SAP Cloud Identity Services dá suporte ao provisionamento de seu diretório de identidade local para outros aplicativos SAP como sistemas de destino.

Como alternativa, você pode configurar o SAP Cloud Identity Services para ler do Microsoft Entra ID. Se você estiver usando o SAP Cloud Identity Services para ler usuários e, opcionalmente, grupos do Microsoft Entra ID, siga as diretrizes do SAP sobre como configurar o SAP Cloud Identity Services. Agora você pode avançar para a próxima seção.

Se você não estiver usando o SAP Cloud Identity Services, vá para a próxima seção.

1. Certifique-se de que você tenha um locatário dos Serviços de identidade da Nuvem da SAP com uma conta de usuário no SAP Cloud Identity Services com permissões de administrador.

2. Configurar o SAP Cloud Identity Services para provisionamento. Entre no Console de Administração do SAP Cloud Identity Services e siga as etapas na seção Configurar o SAP Cloud Identity Services para provisionamento.

3. Adicione o SAP Cloud Identity Services por meio da galeria e configure o provisionamento automático de usuário para o SAP Cloud Identity Services. Siga as etapas nas seções Adicionar SAP Cloud Identity Services por meio da galeria e Configurar o provisionamento automático de usuário para o SAP Cloud Identity Services.

4. Provisione um usuário de teste do Microsoft Entra ID para o SAP Cloud Identity Services. Valide se a integração de provisionamento está pronta seguindo as etapas na seção Provisionar um novo usuário de teste do Microsoft Entra ID para o SAP Cloud Identity Services.

5. Verifique se os usuários existentes no Microsoft Entra e no SAP Cloud Identity Services podem ser correlacionados. Para comparar os usuários no Microsoft Entra ID com os usuários que já estão no SAP Cloud Identity Services, siga as etapas nessas seções:

   • Certifique-se de que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários
   • Certifique-se de que os usuários existentes do Microsoft Entra tenham os atributos necessários

6. Atribua usuários existentes do SAP Cloud Identity Services ao aplicativo no Microsoft Entra ID. Siga as etapas na seção Atribuir usuários ao aplicativo SAP Cloud Identity Services no Microsoft Entra ID. Nessas etapas, você deve:

   • Resolver quaisquer problemas de provisionamento para que o provisionamento não seja colocado em quarentena.
   • Verificar se há usuários presentes no SAP Cloud Identity Services que ainda não estão atribuídos ao aplicativo no Microsoft Entra ID.
   • Atribuir os usuários restantes.
   • Monitorar a sincronização inicial.

7. Aguarde a sincronização do Microsoft Entra ID para o SAP Cloud Identity Services. Aguardar até que todos os usuários atribuídos ao aplicativo sejam provisionados. Um ciclo inicial leva de 20 minutos a várias horas. A duração depende do tamanho do diretório do Microsoft Entra e do número de usuários no escopo para provisionamento. Você pode monitorar a propriedade steadyStateLastAchievedTime do status da sincronização recuperando o trabalho de sincronização da entidade de serviço que representa o SAP Cloud Identity Services.

8. Verifique se há erros de provisionamento. Verifique o log de provisionamento no Centro de administração do Microsoft Entra ou nas APIs do Graph. Filtre o log para o status Falha.

   Se houver falhas com um código de erro de DuplicateTargetEntries, esse código indicará uma ambiguidade em suas regras de correspondência de provisionamento. Para garantir que cada usuário do Microsoft Entra corresponda a um usuário do aplicativo, você precisa atualizar os usuários do Microsoft Entra ou os mapeamentos usados para correspondência. Depois, filtre o log para a ação Criar e o status Ignorado.

   Se os usuários foram ignorados com o código SkipReason de *NotEffectivelyEntitled, esse evento de log pode indicar que as contas de usuário no Microsoft Entra ID não foram correspondidas porque o status da conta de usuário foi Desabilitado.

9. Compare os usuários no SAP Cloud Identity Services com aqueles no Microsoft Entra ID. Repita as etapas na seção Garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos correspondentes necessários para exportar novamente os usuários do SAP Cloud Identity Services. Em seguida, verifique se os usuários exportados têm as propriedades necessárias para os aplicativos SAP. Você pode usar o comando where-object do PowerShell para filtrar a lista de usuários apenas para os usuários que têm um atributo ausente, com um filtro como {$_.employeeId -eq $null}.

10. Configure o SSO federado do Microsoft Entra para o SAP Cloud Identity Services. Habilite o SSO baseado em SAML para o SAP Cloud Identity Services. Siga as instruções fornecidas no Tutorial de logon único do SAP Cloud Identity Services.

11. Coloque o ponto de extremidade da Web do aplicativo no escopo da política de acesso condicional apropriada. Talvez você tenha uma política de acesso condicional existente que foi criada para outro aplicativo sujeito aos mesmos requisitos de governança. Em seguida, você pode atualizar essa política para que ela também se aplique a esse aplicativo para evitar ter um grande número de políticas.

    Depois de fazer as atualizações, verifique se as políticas esperadas estão sendo aplicadas. Você pode ver quais políticas se aplicariam a um usuário com a Ferramenta de teste de hipóteses de acesso condicional.

12. Valide se um usuário de teste pode se conectar aos aplicativos SAP. Você pode usar o Meus Aplicativos da Microsoft para testar o SSO do aplicativo. Verifique se um usuário de teste foi atribuído ao aplicativo SAP Cloud Identity Services e provisionado do Microsoft Entra ID para o SAP Cloud Identity Services. Em seguida, entre no Microsoft Entra como esse usuário e acesse myapps.microsoft.com.

    Ao selecionar o bloco do SAP Cloud Identity Services em Meus Aplicativos, se você tiver configurado a integração no modo de SP (provedor de serviços), você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de entrada. Se estiver configurado no modo IdP (provedor de identidade), você deverá entrar automaticamente no SAP Cloud Identity Services, para o qual configurou o SSO.

Provisionar usuários para o SAP ECC

Agora que você tem os usuários no Microsoft Entra ID, você pode provisioná-los no SAP local.

Se você não estiver usando o SAP ECC, vá para a próxima seção.

1. Configurar provisionamento. Siga as instruções em Configurar o Microsoft Entra ID para provisionar usuários no SAP ECC com o NetWeaver AS ABAP 7.0 ou posterior.

2. Aguarde a sincronização do Microsoft Entra ID para o SAP ECC. Aguarde até que todos os usuários atribuídos ao aplicativo SAP ECC tenham sido provisionados. Um ciclo inicial leva de 20 minutos a várias horas. A duração depende do tamanho do diretório do Microsoft Entra e do número de usuários no escopo para provisionamento. Você pode monitorar a propriedade steadyStateLastAchievedTime do status de sincronização recuperando o trabalho de sincronização da entidade de serviço.

3. Verifique se há erros de provisionamento. Verifique o log de provisionamento no Centro de administração do Microsoft Entra ou nas APIs do Graph. Filtre o log para o status Falha.

   Se houver falhas com um código de erro de DuplicateTargetEntries, esse evento de log indicará uma ambiguidade em suas regras de correspondência de provisionamento. Você precisa atualizar os usuários do Microsoft Entra ou os mapeamentos usados para correspondência, para garantir que cada usuário do Microsoft Entra corresponda a um usuário do aplicativo. Depois, filtre o log para a ação Criar e o status Ignorado.

   Se os usuários foram ignorados com o código SkipReason de NotEffectivelyEntitled, esse código pode indicar que as contas de usuário no Microsoft Entra ID não foram correspondidas porque o status da conta de usuário foi Desabilitado.

4. Compare os usuários no SAP ECC com aqueles no Microsoft Entra ID. No Windows Server que hospeda o agente de provisionamento para provisionamento no SAP ECC, reinicie o serviço Microsoft ECMA2Host Windows. Quando o serviço for reiniciado, ele executará uma importação completa dos usuários do SAP ECC.

5. Configure o SSO federado do Microsoft Entra para o SAP. Habilite o SSO baseado em SAML para aplicativos SAP. Se você estiver usando o SAP NetWeaver, siga as instruções fornecidas no Tutorial de SSO do SAP NetWeaver.

6. Coloque o ponto de extremidade da Web do aplicativo no escopo da política de acesso condicional apropriada. Talvez você tenha uma política de acesso condicional existente que foi criada para outro aplicativo sujeito aos mesmos requisitos de governança. Em seguida, você pode atualizar essa política para que ela também se aplique a esse aplicativo para evitar ter um grande número de políticas.

   Depois de fazer as atualizações, verifique se as políticas esperadas estão sendo aplicadas. Você pode ver quais políticas se aplicariam a um usuário com a Ferramenta de teste de hipóteses de acesso condicional.

7. Valide se um usuário de teste pode ser provisionado e entrar no SAP NetWeaver. Siga as instruções na seção Testar SSO para garantir que os usuários possam entrar depois que o acesso condicional tiver sido configurado.

Configurar o provisionamento para SuccessFactors e outros aplicativos

Você pode configurar o Microsoft Entra para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central, incluindo email de trabalho. Para obter mais informações, consulte Configurar writeback do SAP SuccessFactors no Microsoft Entra ID.

O Microsoft Entra também pode provisionar em muitos outros aplicativos, incluindo os aplicativos que usam padrões como OpenID Connect, SAML, SCIM, SQL, LDAP, SOAP e REST. Para obter mais informações, consulte Integrar aplicativos ao Microsoft Entra ID.

Atribuir aos usuários os direitos de acesso necessários ao aplicativo no Microsoft Entra

A menos que o locatário que você está configurando seja um locatário totalmente isolado configurado especificamente para acesso ao aplicativo SAP, é improvável que todos no locatário precisem de acesso aos aplicativos SAP. Portanto, os aplicativos SAP no locatário são configurados para que somente os usuários com uma atribuição de função de aplicativo para um aplicativo sejam provisionados para o aplicativo e possam entrar do Microsoft Entra ID para esse aplicativo.

À medida que os usuários atribuídos a um aplicativo forem atualizados no Microsoft Entra ID, essas alterações serão provisionadas automaticamente para esse aplicativo.

Se você usa o Microsoft Entra ID Governance, você também pode automatizar alterações nas atribuições de função de aplicativo para SAP Cloud Identity Services ou SAP ECC no Microsoft Entra ID. Você pode usar a automação para adicionar ou remover atribuições à medida que as pessoas ingressam, saem ou alteram as funções na organização.

1. Examine as atribuições existentes. Opcionalmente, executar uma revisão de acesso único das atribuições de função de aplicativo. Quando essa revisão termina, a revisão de acesso remove as atribuições que não são mais necessárias.

2. Configure o processo para manter as atribuições de função do aplicativo atualizadas. Se você estiver usando o gerenciamento de direitos do Microsoft Entra, veja Criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell para configurar atribuições para o aplicativo que representa os serviços de identidade de nuvem SAP ou SAP ECC.

   Nesse pacote de acesso, você pode ter políticas para que os usuários tenham acesso atribuído ao solicitá-lo. As atribuições podem ser feitas por um administrador, automaticamente com base em regras ou geradas por meio Fluxos de Trabalho do Ciclo de Vida.

Se você não usa o Microsoft Entra ID Governance, você pode atribuir cada usuário individual ao aplicativo no centro de administração do Microsoft Entra. Você pode atribuir usuários individuais ao aplicativo por meio do cmdlet New-MgServicePrincipalAppRoleAssignedTo do PowerShell.

Distribuir credenciais para usuários recém-criados do Microsoft Entra ou usuários do Windows Server AD

Neste ponto, todos os usuários estarão presentes no Microsoft Entra ID e provisionados para os aplicativos SAP relevantes. Todos os usuários criados durante esse processo, para trabalhadores que não estavam presentes anteriormente no Windows Server AD ou no Microsoft Entra ID, exigem novas credenciais.

1. Se o provisionamento de entrada do Microsoft Entra estiver criando usuários no Windows Server AD, distribua as credenciais iniciais do Windows Server AD para usuários recém-criados. Você pode recuperar uma lista de eventos para interações do Microsoft Entra com o Windows Server AD usando o comando Get-MgAuditLogProvisioning.

   Você pode usar o comando Set-ADAccountPassword com o parâmetro -Reset em um computador conectado ao domínio para definir uma nova senha do Windows Server AD para um usuário. Em seguida, use o comando Set-ADUser com o parâmetro -ChangePasswordAtLogon para exigir que o usuário selecione uma nova senha na próxima entrada.

2. Se o provisionamento de entrada do Microsoft Entra estiver criando usuários no Microsoft Entra ID, distribua as credenciais iniciais do Microsoft Entra ID para usuários recém-criados. Você pode recuperar uma lista de usuários recém-criados com o comando Get-MgAuditLogDirectoryAudit, com parâmetros como Get-MgAuditLogDirectoryAudit -Filter "category eq 'UserManagement' and activityDisplayName eq 'Add user' and result eq 'success' and activityDateTime+ge+2024-05-01" -all.

   Para gerar uma Senha de Acesso Temporária para um usuário, você pode usar os comandos New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod, conforme ilustrado em Criar uma Senha de Acesso Temporária.

3. Confirme se os usuários estão registrados para MFA. Você pode identificar usuários que não estão registrados para MFA executando os comandos do PowerShell na seção Relatório do PowerShell sobre usuários registrados para MFA.

4. Crie uma revisão de acesso recorrente para o caso de algum usuário precisar de exclusões temporárias de política. Em alguns casos, pode não ser possível impor imediatamente políticas de acesso condicional para cada usuário autorizado. Por exemplo, alguns usuários podem não ter um dispositivo registrado apropriado. Se for necessário excluir um ou mais usuários da política de acesso condicional e permitir o acesso a eles, configure uma revisão de acesso para o grupo de usuários excluídos das políticas de acesso condicional.

Monitorar fluxos de identidade

Agora que você tem o provisionamento de entrada e saída configurado com seus aplicativos, você pode usar a automação no Microsoft Entra para monitorar o provisionamento contínuo dos sistemas autoritativos de registros para os aplicativos de destino.

Monitorar provisionamento de entrada

As atividades executadas pelo serviço de provisionamento são registradas nos Logs de provisionamento do Microsoft Entra. Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra. É possível pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Para saber mais, confira Logs de provisionamento.

Monitorar alterações no Windows Server AD

Conforme descrito em Recomendações de política de auditoria do Windows Server, verifique se o os eventos de auditoria de sucesso do Gerenciamento de Conta de Usuário estão habilitados em todos os controladores de domínio e coletados para análise.

Monitorar as atribuições de função de aplicativo

Se você configurou o Microsoft Entra ID para enviar eventos de auditoria para o Azure Monitor, poderá usar as pastas de trabalho do Azure Monitor para obter insights sobre como os usuários recebem seu acesso.

• Se você estiver usando o gerenciamento de direitos do Microsoft Entra, a pasta de trabalho chamada Atividade do Pacote de Acesso exibe cada evento relacionado a um pacote de acesso específico.

  

• Para ver se alterações nas atribuições de função de aplicativo para um aplicativo não foram realizadas devido a atribuições de pacote de acesso, selecione a pasta de trabalho chamada Atividade de atribuição de função de aplicativo. Se você escolher omitir a atividade de direito, somente as alterações nas funções de aplicativo que não foram feitas pelo gerenciamento de direitos serão mostradas. Por exemplo, você verá uma linha se outro administrador tiver atribuído diretamente um usuário a uma função de aplicativo.

  

Monitorar provisionamento de saída

Para cada aplicativo integrado ao Microsoft Entra, você pode usar a seção Detalhes de Sincronização para monitorar o progresso e seguir os links para o relatório de atividade de provisionamento. O relatório descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no aplicativo. Você também pode monitorar o projeto de provisionamento por meio das APIs do Microsoft Graph.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Monitorar SSO

Você pode ver os últimos 30 dias de acessos a um aplicativo no relatório de entradas no Centro de administração do Microsoft Entra ou por meio do Microsoft Graph. Você também pode enviar os logs de entrada no Azure Monitor para arquivar a atividade de entrada por até dois anos.

Monitorar atribuições no Microsoft Entra ID Governance

Se você estiver usando o Microsoft Entra ID Governance, poderá relatar como os usuários estão recebendo acesso usando os recursos do Microsoft Entra ID Governance. Por exemplo:

• Um administrador ou um proprietário de catálogo pode recuperar a lista de usuários que têm atribuições de pacote de acesso usando o Centro de administração do Microsoft Entra, o Microsoft Graph ou o PowerShell.
• Você também pode enviar os logs de auditoria para o Azure Monitor e exibir um histórico de alterações no pacote de acesso no Centro de administração do Microsoft Entra ou por meio do PowerShell.

Para obter mais informações sobre esses e outros cenários de governança de identidade, consulte como monitorar para ajustar as políticas de gerenciamento de direitos e o acesso conforme necessário.

Conteúdo relacionado

• Controlar o acesso a aplicativos em seu ambiente
• Controlar o acesso migrando um modelo de função organizacional para a Governança do Microsoft Entra ID
• Definir políticas organizacionais para controlar o acesso a outros aplicativos em seu ambiente
• Usar o Microsoft Entra ID para proteger o acesso a plataformas e aplicativos SAP
• Explorar as bases de identidade e governança para SAP no Azure