Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten
SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um SAP Funktionen erstellen zu können, müssen die Berechtigungsobjekte und SAP Applikationen in die One Identity Manager-Datenbank eingelesen werden. Erstellen Sie für jeden Mandanten ein Synchronisationsprojekt, über das die benötigten Schematypen synchronisiert werden können. Dafür wird eine separate Projektvorlage bereitgestellt.
Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten.
HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.
Um ein Synchronisationsprojekt für SAP Berechtigungsobjekte einzurichten
-
Erstellen Sie ein initiales Synchronisationsprojekt wie im Handbuch One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung beschrieben. Es gelten folgende Besonderheiten:
HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden. Erstellen Sie das Synchronisationsprojekt nur für einen Mandanten, der kein -System ist.
- Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage SAP R/3 Berechtigungsobjekte.
- Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.
Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung.
-
Konfigurieren und aktivieren Sie einen Zeitplan, um regelmäßige Synchronisationen auszuführen.
Ausführliche Informationen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Verwandte Themen
Synchronisation von Berechtigungen mit sich überschneidenden Ausprägungen
Wenn in der SAP R/3-Umgebung einem SAP Profil dieselbe Berechtigung mehrfach mit sich überschneidenden Wertebereichen zugewiesen ist, wird durch die Synchronisation nur eine Berechtigungszuweisung eingelesen. In die Berechtigungsprüfung gehen dann nicht alle Ausprägungen ein, die Benutzerkonten mit diesem Profil tatsächlich nutzen können.
Wahrscheinliche Ursache
Bei der Synchronisation des Schematyps ProfileHasAuthObjectField wird gleich die vollständige Objektliste geladen. Dabei wird pro Zuweisung einer Berechtigung an ein SAP Profil immer nur ein Datensatz selektiert. Weitere Datensätze werden ignoriert.
Lösung
Wenn für ein Profil mehrere Berechtigungszuweisungen mit sich überschneidenden Wertebereichen existieren, sollen durch die Synchronisation die niedrigste untere und die höchste obere Ausprägung eingelesen werden. Dafür müssen die Datensätze bei der Synchronisation einzeln ausgewertet werden. Die Objekte müssen per Einzelsatzzugriff eingelesen werden.
Um den Einzelsatzzugriff zu ermöglichen
-
Bearbeiten Sie im Synchronization Editor die Eigenschaften des Synchronisationsschritts profileHasAuthObjectField.
-
Wählen Sie den Tabreiter Erweitert.
-
Wählen Sie die Eigenschaft Nachladeschwellwert und deaktivieren Sie Verwende Einstellungen der Startkonfiguration.
-
Erfassen Sie einen Wert zwischen 4 und 7.
- Speichern Sie die Änderungen.
HINWEIS: Die Änderung des Nachladeschwellwerts kann die Synchronisationsperformance für diesen Synchronisationsschritt beeinträchtigen.
Ausführliche Informationen zur Konfiguration des Nachladeschwellwerts finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Verwandte Themen
Einrichten von SAP Funktionen
Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition enthält mindestens eine SAP Applikation. Zu jeder SAP Applikation gehört mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Ausprägungen. Ausprägungen werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.
Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür setzen Sie in der Berechtigungsdefinition Variablen ein. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.
Abbildung 2: Struktur einer Berechtigungsdefinition
Um eine SAP Funktion einzurichten
-
Erstellen Sie eine Funktionsdefinition.
-
Erstellen Sie die Berechtigungsdefinition.
-
Berücksichtigen Sie die Erläuterungen zur Ermittlung unzulässiger Berechtigungen.
-
Beachten Sie die Hinweise für die Berechtigungsdefinition.
-
Nutzen Sie für die Werte oder Bereichsgrenzen bei Bedarf Variablen.
-
Prüfen Sie die Berechtigungsobjekte auf Vollständigkeit.
-
(Optional) Weisen Sie der Funktionsdefinition risikomindernde Maßnahmen zu, die umgesetzt werden sollen, wenn durch die SAP Funktion unzulässige Berechtigungen ermittelt werden.
-
Um die Funktionsdefinition für die Berechtigungsprüfung nutzen zu können, aktivieren Sie die Arbeitskopie dieser Funktionsdefinition.
-
Erstellen Sie mindestens eine Funktionsausprägung für diese Funktionsdefinition.
Um alle Identitäten zu ermitteln, die über ihre SAP Benutzerkonten diese SAP Funktion treffen, verwenden Sie die SAP Funktion in Complianceregeln.
Detaillierte Informationen zum Thema
Funktionsdefinitionen erstellen
Für jede neue Funktionsdefinition wird in der Datenbank eine Arbeitskopie angelegt. Erst mit Aktivierung der Arbeitskopie werden die Änderungen auf die produktive Funktionsdefinition übertragen. SAP Berechtigungen werden nur anhand aktivierter Funktionsdefinitionen überprüft.
Um eine neue Funktionsdefinition zu erstellen
-
Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Funktionsdefinitionen.
-
Klicken Sie in der Ergebnisliste .
-
Erfassen Sie die Stammdaten der Funktionsdefinition.
-
Speichern Sie die Änderungen.
Es wird eine Arbeitskopie angelegt.
-
Wählen Sie die Aufgabe Berechtigungseditor und erstellen Sie die Berechtigungsdefinition.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren und bestätigen Sie die Sicherheitsabfrage mit OK.
Es wird eine aktive Funktionsdefinition in der Datenbank angelegt. Die Arbeitskopie bleibt bestehen und wird für nachfolgende Änderungen genutzt.
Verwandte Themen