Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den Workflow-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein Synchronisationsprojekt an.

Für die Einrichtung des Synchronisationsprojektes halten Sie die folgenden Informationen bereit.

Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes

Angaben

Erläuterungen

SAP R/3-Anwendungsserver

Name des Anwendungsserver, über den die RFC-Kommunikation stattfindet.

Systemnummer

Nummer des SAP Systems, mit dem sich der SAP R/3 Konnektor verbinden soll.

System-ID

System-ID dieses SAP Systems.

Mandant

Nummer des Mandanten, der synchronisiert werden soll. Wenn eine Zentrale Benutzerverwaltung (ZBVGeschlossen) synchronisiert werden soll, benötigen Sie die Mandantennummer des Zentralsystems.

Anmeldename und Kennwort

Name und Kennwort des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3 System anmeldet. Stellen Sie ein Benutzerkonto mit ausreichenden Berechtigungen bereit.

Wenn eine gesicherte Netzwerkverbindung hergestellt werden soll, benötigen Sie den SNC Namen des Benutzerkontos.

Loginsprache

Loginsprache für die Anmeldung des SAP R/3 Konnektors am SAP R/3-System.

Synchronisationsserver

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Installierte Komponenten:

  • SAP .Net Connector 3.1 for x64, mindestens Version 3.1.2.0, für Microsoft .NET 4.8
  • One Identity Manager Service (gestartet)
  • Synchronization Editor
  • SAP R/3 Konnektor

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

Tabelle 5: Zusätzliche Eigenschaften für den Jobserver

Eigenschaft

Wert

Serverfunktion

SAP R/3 Konnektor

Maschinenrolle

Server/Jobserver/SAP R/3

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Name der Datenbank

  • SQL Server-Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird

    Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

  • SAP R/3 Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Je nach Konfiguration des SAP R/3-Systems können zusätzliche Informationen für die Einrichtung des Synchronisationsprojekts benötigt werden.

Tabelle 6: Zusätzliche Informationen für die Erstellung eines Synchronisationsprojektes

Angaben

Erläuterungen

SAP R/3-Router

Name des Routers, der dem SAP R/3 Konnektor einen Netzwerkport zur Kommunikation mit dem Anwendungsserver bereitstellt.

SAP R/3-Message-Server

Name des Message-Servers, mit dem der SAP R/3 Konnektor beim Login kommuniziert.

Logongruppe

Name der Logongruppe, bei der sich der SAP R/3 Konnektor anmeldet, wenn die Kommunikation innerhalb der SAP R/3-Umgebung über einen Message-Server läuft.

SNC Hostname

SNC Name des Hosts, zu dem die gesicherte Netzwerkverbindung hergestellt werden soll.

SNC Name

SNC Name des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3-System anmeldet, wenn eine gesicherte Netzwerkverbindung hergestellt werden soll. Der SNC Name muss in der gleichen Syntax angegeben werden, wie er am Benutzerkonto in der SAP R/3-Umgebung hinterlegt ist.

SNC Client API

API, die die SNC Verschlüsselung enthält. Geben Sie den Dateinamen und Pfad auf dem Synchronisationsserver an.

Wenn die Datei im Standardsuchpfad des Betriebssystems liegt, genügt der Dateiname. Wenn eine Verschlüsselung des Betriebssystems genutzt wurde, befindet sich die Datei im Betriebssystemverzeichnis und wird über den Standardsuchpfad gefunden. Wenn zur Verschlüsselung ein Drittanbieterprodukt genutzt wurde, wird die Datei nur dann gefunden, wenn das Installationsverzeichnis dieses Produkts zum Standardsuchpfad (PATH-Variable) hinzugefügt wurde.

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein initiales Synchronisationsprojekt für einen SAP Mandanten einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp SAP R/3 und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Startseite des Projektassistenten klicken Sie Weiter.

  2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Seite Verbindungstyp wählen Sie den Verbindungstyp.

    Tabelle 7: Verbindungstypen

    Eigenschaft

    Beschreibung

    SAP R/3-Anwendungsserver oder SAP R/3-Router

    Angabe, ob die Verbindung über einen Anwendungsserver oder Router aufgebaut werden soll.

    SAP R/3-Message-Server

    Angabe, ob die Verbindung über einen Message-Server aufgebaut werden soll.

    • Auf der Seite Verbindungsdaten erfassen Sie die Verbindungsdaten für den Verbindungstyp SAP R/3-Anwendungsserver oder SAP R/3-Router.

      GeschlossenVerbindungsdaten für den Verbindungstyp SAP R/3-Anwendungsserver oder SAP R/3-Router

    • Auf der Seite Message-Server erfassen Sie die Verbindungsdaten für den Verbindungstyp SAP R/3-Message-Server.

      GeschlossenVerbindungsdaten für den Verbindungstyp SAP R/3-Message-Server

  2. Auf der Seite Gesicherte Verbindung erfassen Sie die Netzwerkeinstellungen.

    Tabelle 10: Netzwerkeinstellungen

    Eigenschaft

    Beschreibung

    Program ID

    Bezeichnung der Verbindung, die der SAP R/3 Konnektor mit dem SAP R/3-System aufbaut.

    SNC Login

    Gibt an, ob zur Anmeldung des SAP R/3 Konnektors am SAP R/3-System der SNC Name des Benutzerkontos verwendet werden soll.

    HINWEIS: In diesem Fall können bei der Provisionierung neuer Benutzerkonten die Produktivkennwörter nur dann gesetzt werden, wenn Single Sign-on zur Anmeldung genutzt wird.

    • Wenn Sie auf der Seite Gesicherte Verbindung die Option SNC Login aktiviert haben, wird die Seite SNC Verbindungskonfiguration geöffnet. Erfassen Sie die Daten, die zur Anmeldung am Zielsystem über eine gesicherte Netzwerkverbindung benötigt werden.

      GeschlossenSNC Verbindungsdaten

  3. Auf der Seite Anmeldedaten erfassen Sie die Daten, die zur Anmeldung am Zielsystem benötigt werden.

    Diese Seite wird angezeigt, wenn Sie auf der Seite Gesicherte Verbindung die Option SNC Login nicht aktiviert haben oder wenn Sie auf der Seite SNC Verbindungskonfiguration die Option SNC Login mit Benutzername und Kennwort aktiviert haben.

    GeschlossenAnmeldedaten

  4. Auf der Seite Zusätzliche Einstellungen liefern Sie zusätzliche Informationen zur Synchronisation von Objekten und Eigenschaften. Sie können die Verbindungseinstellungen überprüfen.

    • Im Bereich Zentrale Benutzerverwaltung (ZBV) geben Sie an, ob die Verbindung zu einem Zentralsystem einer Zentralen Benutzerverwaltung aufgebaut werden soll. Aktivieren Sie in diesem Fall Zentralsystem einer ZBV.
    • Im Bereich Verbindungseinstellungen prüfen können Sie die erfassten Verbindungsdaten überprüfen. Klicken Sie Jetzt prüfen.

      Es wird versucht eine Verbindung zum Anwendungsserver aufzubauen. Wenn die Option Zentralsystem einer ZBV aktiviert ist, wird getestet, ob der angegebene Mandant das Zentralsystem einer ZBV ist.

      HINWEIS: Es wird nicht geprüft, ob das mitgelieferte BAPI eingespielt ist.
    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

  5. Auf der Seite SAP HCM Einstellungen klicken Sie Weiter.

    Diese Seite wird nur für die Synchronisation zusätzlicher Personalplanungsdaten im Modul SAP R/3 Strukturelle Profile Add-on benötigt.

  6. Auf der Seite SAP Konnektorschema klicken Sie Weiter.

    TIPP: Auf dieser Seite können Sie eine Datei angeben, die zusätzliche Schematypen bereitstellt. Mit diesen Schematypen wird das Konnektorschema unternehmensspezifisch erweitert. Sie können diese Informationen auch nach dem Speichern des Synchronisationsprojekts erfassen. Weitere Informationen finden Sie unter Weitere Schematypen anlegen.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS:

    • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

    • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Projektvorlage auswählen wählen Sie eine Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.

    Tabelle 13: Standardprojektvorlagen

    Projektvorlage

    Beschreibung

    SAP R/3 Synchronisation (Basisadministration)

    Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes für einzelne Mandanten oder das Zentralsystem einer ZBV.

    SAP R/3 (untergeordnetes ZBV System)

    Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes für die Tochtersysteme einer ZBV, die zu einem anderen SAP System gehören als das Zentralsystem.

    HINWEIS:Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben. Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.
  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 14: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.

    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

    Diese Seite wird nur angezeigt, wenn die Projektvorlage SAP® R/3® Synchronisation (Basisadministration) ausgewählt wurde. Wenn die Projektvorlage SAP® R/3® (untergeordnetes ZBV System) ausgewählt wurde, wird automatisch die Option Das Zielsystem soll nur eingelesen werden. aktiviert.

  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver für dieses Zielsystem in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

      TIPP: Sie können auch einen vorhandenen Jobserver zusätzlich als Synchronisationsserver für dieses Zielsystem einsetzen.

      • Um einen Jobserver auszuwählen, klicken Sie .

      Diesem Jobserver wird die passende Serverfunktion automatisch zugewiesen.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

    4. HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:

    • Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

      Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    • Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    • Deaktivieren Sie diese Option, wenn Sie eigene Schematypen in diesem Synchronisationsprojekt anlegen möchten.

    • Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.

Um den Inhalt des Synchronisationsprotokolls zu konfigurieren

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration > Zielsystem.

  3. Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.

  4. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.

  5. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.

  6. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  7. Klicken Sie OK.

Um regelmäßige Synchronisationen auszuführen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > Startkonfigurationen.

  3. Wählen Sie in der Dokumentenansicht eine Startkonfiguration aus und klicken Sie Zeitplan bearbeiten.

  4. Bearbeiten Sie die Eigenschaften des Zeitplans.

  5. Um den Zeitplan zu aktivieren, klicken Sie Aktiviert.

  6. Klicken Sie OK.

Um die initiale Synchronisation manuell zu starten

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > Startkonfigurationen.

  3. Wählen Sie in der Dokumentenansicht eine Startkonfiguration und klicken Sie Ausführen.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

HINWEIS:

Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Identitäten erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für den Mandanten bekannt, werden die Benutzerkonten mit den Identitäten verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand Linked (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten, weisen Sie diesen Benutzerkonten eine Kontendefinition und einen Automatisierungsgrad zu.

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.

  2. Weisen Sie dem Mandanten die Kontendefinition zu.

  3. Weisen Sie den Benutzerkonten im Zustand Linked (verbunden) die Kontendefinition zu. Es wird der Standardautomatisierungsgrad der Kontendefinition für das Benutzerkonto übernommen.

    1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten > Verbunden aber nicht konfiguriert > <Mandant>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

    3. Wählen Sie in der Auswahlliste Kontendefinition die Kontendefinition.

    4. Wählen Sie die Benutzerkonten, die die Kontendefinition erhalten sollen.

    5. Speichern Sie die Änderungen.

Detaillierte Informationen zum Thema
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Verwandte Themen

Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV

Hinweis:

  • Es werden nur die Rollen und Profile der Tochtersysteme im One Identity Manager abgebildet, die der Anmeldesprache des administrativen Benutzerkontos für die Synchronisation entsprechen!
  • Pflegen Sie alle Rollen und Profile der Tochtersysteme im Zielsystem in der Sprache, die im Synchronisationsprojekt für das Zentralsystem in der Systemverbindung als Loginsprache hinterlegt ist.

Soll eine Zentrale Benutzerverwaltung an den One Identity Manager angeschlossen werden, ist eine regelmäßige Synchronisation nur mit dem Zentralsystem erforderlich. Die Synchronisationskonfiguration wird für den Mandanten erstellt, der als Zentralsystem gekennzeichnet ist. Bei der Synchronisation wird das Application Link Enabling (ALE)-Verteilungsmodell der ZBVGeschlossen ausgelesen und versucht, alle Mandanten, die als Tochtersystem konfiguriert sind, dem Zentralsystem im One Identity Manager zuzuordnen. Dabei werden alle Mandanten, die sich im selben SAP System wie das Zentralsystem befinden, automatisch im One Identity Manager angelegt und dem Zentralsystem zugeordnet (Eingabefeld Zentralsystem der ZBV). Alle Mandanten, die sich in einem anderen SAP System befinden, müssen zu diesem Zeitpunkt bereits im One Identity Manager existieren.

Wenn im Zielsystem ein Textabgleich der Rollen und Profile zwischen Tochtersystemen und Zentralsystem durchgeführt wurde, werden die Rollen und Profile der Tochtersysteme bei der Synchronisation berücksichtigt. Diese Rollen und Profile werden im One Identity Manager den Mandanten zugeordnet, aus denen sie ursprünglich stammen.

Beim Textabgleich der Rollen und Profile zwischen Tochtersystem und Zentralsystem im Zielsystem werden die Rollen und Profile sprachabhängig in der Tabelle USRSYSACTT gespeichert. Bei der Synchronisation mit dem One Identity Manager werden nur die Rollen und Profile aus der Tabelle USRSYSACTT ausgelesen, die der Anmeldesprache des administrativen Benutzerkontos für die Synchronisation entsprechen. Sind einzelne Rollen oder Profile nicht in dieser Sprache gepflegt, werden sie nicht in den One Identity Manager übernommen. Damit alle Rollen und Profile aus den Tochtersystemen im One Identity Manager abgebildet werden, müssen sie alle im Zielsystem in der Sprache gepflegt werden, die als Loginsprache am Zentralsystem hinterlegt ist.

Um ein initiales Synchronisationsprojekt für eine Zentrale Benutzerverwaltung einzurichten

  1. Erstellen Sie Synchronisationsprojekte für die Tochtersysteme, die sich nicht im selben SAP System befinden, wie das Zentralsystem.

    Gehen Sie wie in Abschnitt Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten beschrieben vor. Es gelten folgende Besonderheiten:

    1. Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage "SAP R/3 (untergeordnetes ZBV System)".
    2. Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.
    3. Starten Sie die Synchronisation manuell, um die benötigten Daten einzulesen.

      Es werden alle Mandanten aus dem ausgewählten System und deren Lizenzinformationen eingelesen.

      Hinweis: Führen Sie keine zeitgesteuerten Synchronisationen aus. Eine erneute Synchronisation ist nur erforderlich, wenn die aktiven Preislisten für die Lizenzberechnung im Zielsystem geändert wurden.

  2. Wiederholen Sie den Schritt 1 für alle Tochtersysteme, die sich in weiteren untergeordneten SAP Systemen befinden.
  3. Erstellen Sie ein Synchronisationsprojekt für das Zentralsystem.

    Gehen Sie wie in Abschnitt Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten beschrieben vor. Es gelten folgende Besonderheiten:

    1. Aktivieren Sie auf der Seite Zusätzliche Einstellungen die Option Zentralsystem einer ZBV.
    2. Wählen Sie auf der Seite Projektvorlage auswählen die Projektvorlage "SAP R/3 Synchronisation (Basisadministration)".
    3. Konfigurieren Sie die zeitgesteuerte Synchronisation.
  4. Nachdem alle Tochtersysteme aus untergeordneten SAP Systemen in die One Identity Manager-Datenbank eingelesen wurden, starten Sie die Synchronisation des Zentralsystems.
Verwandte Themen

Tochtersystem von der Synchronisation ausschließen

Bestimmte administrative Aufgaben in der SAP R/3-Umgebung erfordern, dass Tochtersysteme zeitweilig aus der Zentralen Benutzerverwaltung ausgeschlossen werden. Werden diese Tochtersysteme während dieser Zeit synchronisiert, dann werden, abhängig von der Konfiguration der Synchronisation, die SAP Rollen und SAP Profile des ausgeschlossenen Tochtersystems in der One Identity Manager-Datenbank als ausstehend gekennzeichnet oder gelöscht. Um das zu verhindern, entfernen Sie das Tochtersystem aus dem Synchronisationsscope.

Durch das Löschen des ALE Modellnamens am Mandanten werden die SAP Rollen und Profile des Tochtersystems aus dem Scope der Synchronisation entfernt. Die Eigenschaften des Mandanten werden jedoch synchronisiert. Damit der ALE Modellname dabei nicht wieder eingefügt wird, deaktivieren Sie die Regel für das Mapping dieser Schemaeigenschaft.

Um ein Tochtersystem von der Synchronisation auszuschließen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste das Tochtersystem. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Löschen Sie den Eintrag im Eingabefeld ALE Modellname.
  4. Speichern Sie die Änderungen.

  5. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  6. Wählen Sie die Kategorie Workflows.
  7. Wählen Sie in der Navigationsansicht den Workflow, der für die Synchronisation des Zentralsystems genutzt wird.
  8. Doppelklicken Sie in der Workflowansicht auf den Synchronisationsschritt "mandant".
  9. Wählen Sie den Tabreiter Regelfilter.
  10. Aktivieren Sie im Bereich Auszuschließende Regeln die Property-Mapping-Regel "ALEModelName_ALEModelName".
  11. Klicken Sie OK.
  12. Speichern Sie die Änderungen.

HINWEIS: Abhängig von den Einstellungen im Synchronisationsprotokoll werden nicht erfolgreiche Datenbankoperationen für Zuweisungen von SAP Rollen und Profilen zu Benutzerkonten, die aus dem zeitweilig ausgeschlossenen Tochtersystem stammen, protokolliert. Diese Meldungen können ignoriert werden. Sobald das Tochtersystem wieder verfügbar ist, werden diese Mitgliedschaften korrekt bearbeitet.

Sobald das Tochtersystem wieder Bestandteil der Zentralen Benutzerverwaltung ist, muss auch die Synchronisation der SAP Rollen und Profile wieder aktiviert werden.

Um ein Tochtersystem wieder in die Synchronisation einzubeziehen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste das Tochtersystem. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Erfassen Sie im Eingabefeld ALE Modellname den ALE Modellnamen des Zentralsystems der ZBVGeschlossen.

    Das Tochtersystem wird nur synchronisiert, wenn am Zentralsystem und am Tochtersystem derselbe ALE Modellname angegeben ist.

  4. Speichern Sie die Änderungen.

  5. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  6. Wählen Sie die Kategorie Workflows.
  7. Wählen Sie in der Navigationsansicht den Workflow, der für die Synchronisation des Zentralsystems genutzt wird (standardmäßig "Initial Synchronization").
  8. Doppelklicken Sie in der Workflowansicht auf den Synchronisationsschritt "mandant".
  9. Wählen Sie den Tabreiter Regelfilter.
  10. Deaktivieren Sie im Bereich Auszuschließende Regeln die Property-Mapping-Regel "ALEModelName_ALEModelName".
  11. Klicken Sie OK.
  12. Speichern Sie die Änderungen.

Ausführliche Informationen zur Bearbeitung von Synchronisationsschritten finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Synchronisationsergebnisse anzeigen

Die Ergebnisse der Synchronisation werden im Synchronisationsprotokoll zusammengefasst. Der Umfang des Synchronisationsprotokolls kann für jede Systemverbindung separat festgelegt werden. Der One Identity Manager stellt verschiedene Berichte bereit, in denen die Synchronisationsergebnisse nach verschiedenen Kriterien aufbereitet sind.

Um das Protokoll einer Synchronisation anzuzeigen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Protokolle.

  3. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Synchronisationsläufe angezeigt.

  4. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Synchronisation wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Um das Protokoll einer Provisionierung anzuzeigen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Protokolle.

  3. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Provisionierungsprozesse angezeigt.

  4. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Provisionierung wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Die Protokolle sind in der Navigationsansicht farblich gekennzeichnet. Die Kennzeichnung gibt den Ausführungsstatus der Synchronisation/Provisionierung wieder.

TIPP: Die Protokolle werden auch im Manager unter der Kategorie <Zielsystemtyp> > Synchronisationsprotokolle angezeigt.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen