Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Benutzerkonten mit Personen verbinden

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Personen mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager-Datenbank eingelesen und mit den Personen verbunden werden. Für jede Person kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Personen werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager-Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Person mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Personen und ihre Benutzerkonten zu verknüpfen:

  • Personen erhalten ihre Benutzerkonten automatisch über Kontendefinitionen. Hat eine Person noch kein Benutzerkonto in einem Mandanten, wird durch die Zuweisung der Kontendefinition an eine Person über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

    Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Personen festlegen.

  • Beim Einfügen eines Benutzerkontos wird automatisch eine vorhandene Person zugeordnet oder im Bedarfsfall eine neue Person erstellt. Dabei werden die Personenstammdaten anhand vorhandener Benutzerkontenstammdaten erzeugt. Dieser Mechanismus kann eingesetzt werden, wenn ein neues Benutzerkonto manuell oder durch eine Synchronisation erstellt wird. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Für die automatische Personenzuordnung definieren Sie Kriterien, anhand derer die Personen ermittelt werden sollen.
  • Personen und Benutzerkonten können manuell erfasst und einander zugeordnet werden.
Verwandte Themen

Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Unterstützte Typen von Benutzerkonten

Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.

Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.

  • Identität

    Mit der Eigenschaft Identität (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.

    Tabelle 39: Identitäten von Benutzerkonten
    Identität Beschreibung Wert der Spalte IdentityType

    Primäre Identität

    Standardbenutzerkonto einer Person.

    Primary

    Organisatorische Identität

    Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

    Organizational

    Persönliche Administratoridentität

    Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.

    Admin

    Zusatzidentität

    Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

    Sponsored

    Gruppenidentität

    Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird.

    Shared

    Dienstidentität

    Dienstkonto.

    Service

    HINWEIS: Um mit Identitäten für Benutzerkonten zu arbeiten, benötigen die Personen ebenfalls Identitäten. Benutzerkonten, denen eine Identität zugeordnet ist, können Sie nur mit Personen verbinden, die dieselbe Identität haben.

    Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität werden für die verschiedenen Benutzerkonten genutzt, mit denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.

    Um Benutzerkonten mit einer persönlichen Administratoridentität oder einer organisatorische Identität für eine Person bereitzustellen, richten Sie für die Person Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.

    Benutzerkonten mit einer Zusatzidentität, einer Gruppenidentität oder einer Dienstidentität verbinden Sie mit Pseudo-Personen, die keinen Bezug zu einer realen Person haben. Diese Pseudo-Personen werden benötigt, um Berechtigungen an die Benutzerkonten vererben zu können. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob die Pseudo-Personen gesondert betrachtet werden müssen.

    Ausführliche Informationen zur Abbildung von Identitäten von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  • Privilegiertes Benutzerkonto

    Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

Standardbenutzerkonten

In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.

Um Standardbenutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.

  2. Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  3. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_SAPGrp, IsGroupAccount_SAPProfile und IsGroupAccount_SAPRole den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.

  4. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  5. Weisen Sie die Kontendefinition an die Personen zu.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Administrative Benutzerkonten

Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.

Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.

HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.

Administrative Benutzerkonten können Sie als Persönliche Administratoridentität oder als Gruppenidentität kennzeichnen. Um die Personen, welche diese Benutzerkonten nutzen, mit den benötigten Berechtigungen zu versorgen, gehen Sie folgendermaßen vor.

  • Persönliche Administratoridentität

    1. Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Person.

      Nutzen Sie eine Person mit derselben Identität oder erstellen Sie eine neue Person.

    2. Weisen Sie diese Person an hierarchische Rollen zu.

  • Gruppenidentität

    1. Weisen Sie dem Benutzerkonto alle Personen mit Nutzungsberechtigungen zu.

    2. Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Pseudo-Person.

      Nutzen Sie eine Person mit derselben Identität oder erstellen Sie eine neue Person.

    3. Weisen Sie diese Pseudo-Person an hierarchische Rollen zu.

    Das Benutzerkonto erhält seine Berechtigungen über die Pseudo-Person.

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie Abbildungsvorschriften für die Spalten IsGroupAccount_SAPGrp, IsGroupAccount_SAPProfile und IsGroupAccount_SAPRole mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

Zentrale Benutzerverwaltung im One Identity Manager

Werden Benutzerkonten in der SAP R/3-Umgebung über die Zentrale Benutzerverwaltung (ZBVGeschlossen) administriert, kann den Benutzerkonten im One Identity Manager der Zugriff auf die Tochtersysteme gewährt und entzogen werden. Dafür werden die Mandanten im One Identity Manager als Zentralsystem oder Tochtersystem gekennzeichnet. Die Benutzerkonten werden im Zentralsystem verwaltet. Für jedes Benutzerkonto legen Sie fest, in welchen Mandanten es Zugriffsberechtigungen erhalten darf (Tabelle SAPUserMandant). Einem Benutzerkonto können nur SAP Rollen oder Profile aus diesen Mandanten zugewiesen werden. Über Zugriffsberechtigungen im Zentralsystem verfügt ein Benutzerkonto nur, wenn auch das Zentralsystem in der Tabelle SAPUserMandant explizit zugewiesen ist.

HINWEIS: Im One Identity Manager werden nur die SAP Gruppen aus dem Zentralsystem abgebildet. SAP Gruppen werden nicht über die Zentrale Benutzerverwaltung administriert.

Um die automatische Personenzuordnung für die Benutzerkonten einer Zentralen Benutzerverwaltung (ZBV) zu nutzen, weisen Sie dem Zentralsystem der ZBV eine Kontendefinition mit der Benutzerkontentabelle SAPUser zu.

Die Zugriffsberechtigungen für Zentral- und Tochtersysteme werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen. Im One Identity Manager kann die Zugriffsberechtigung sowohl über IT Shop-Bestellungen und indirekte Zuweisung als auch über Direktzuweisung gewährt werden.

Um einer Person den Zugriff auf einen Mandanten durch indirekte Zuweisung oder Bestellung zu gewähren

  1. Erstellen Sie eine Kontendefinition zum Erzeugen von Benutzerkonten im Zentralsystem.

    Wählen Sie im Eingabefeld Benutzerkontentabelle die Tabelle SAPUser. Weitere Informationen finden Sie unter Stammdaten einer Kontendefinition.

    Diese Kontendefinition wird benötigt, um ein Benutzerkonto im Zentralsystem zu erzeugen, falls die Person noch kein Benutzerkonto besitzt.

  2. Erstellen Sie eine Kontendefinition für den Mandanten, für den der Zugriff gewährt werden soll. Es gelten folgende Besonderheiten:

    Tabelle 40: Stammdaten einer Kontendefinition für den Zugriff auf Mandanten
    Eigenschaft Beschreibung
    Benutzerkontentabelle Wählen Sie aus der Auswahlliste SAPUserMandant.

    Zielsystem

    Mandant, für den der Zugriff gewährt werden soll.

    Vorausgesetzte Kontendefinition

    Wählen Sie aus der Auswahlliste die Kontendefinition zum Erzeugen von Benutzerkonten im Zentralsystem. Damit wird ein Benutzerkonto im Zentralsystem erzeugt, falls die Person noch kein Benutzerkonto hat.

    Automatisierungsgrad (initial)

    Wählen Sie aus der Auswahlliste Unmanaged.

    Leistungsposition

    Leistungsposition, über welche die Kontendefinition im IT Shop bestellt wird. Weisen Sie eine vorhandene Leistungsposition zu oder legen Sie eine neue Leistungsposition an.

    IT Shop

    Aktivieren Sie die Option, wenn der Zugriff auf das Tochtersystem im Web Portal bestellt werden darf.

    Verwendung nur im IT Shop

    Aktivieren Sie die Option, wenn der Zugriff auf das Tochtersystem ausschließlich im Web Portal bestellt werden soll. Eine indirekte Zuweisung über Geschäftsrollen oder Organisationen ist nicht möglich. Der Zugriff eines Benutzerkontos auf das Tochtersystem kann aber noch direkt gewährt werden.

    Es wird je eine Kontendefinition für jedes Tochtersystem und für das Zentralsystem benötigt, in denen der Zugriff gewährt werden soll.

  3. Weisen Sie die Kontendefinition für den Mandanten an eine hierarchische Rolle oder ein IT Shop Regal zu.

  4. Nehmen Sie die Person als Mitglied in die hierarchische Rolle oder als Kunde in den IT Shop auf.

Um einem Benutzerkonto den Zugriff auf einen Mandanten direkt zu gewähren

Dem Benutzerkonto können nun die SAP Rollen und Profile aus diesen Mandanten zugewiesen werden.

Detaillierte Informationen zum Thema
Verwandte Themen

Erfassen der Stammdaten für SAP Benutzerkonten

Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.

HINWEIS: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet.

HINWEIS: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales SAP Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

Um ein Benutzerkonto zu erstellen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Benutzerkontos.

  4. Speichern Sie die Änderungen.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Benutzerkontos.

  5. Speichern Sie die Änderungen.

Um ein Benutzerkonto für eine Person manuell zuzuweisen

  1. Wählen Sie im Manager die Kategorie Personen > Personen.

  2. Wählen Sie in der Ergebnisliste die Person.

  3. Wählen Sie die Aufgabe SAP Benutzerkonten zuweisen.

  4. Weisen Sie ein Benutzerkonto zu.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen