Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Gültigkeitszeitraum indirekter Rollenzuweisungen konfigurieren

Bei der Ermittlung des Gültigkeitszeitraums werden die folgenden Konfigurationsparameter ausgewertet. Die Konfigurationsparameter sind standardmäßig deaktiviert.

  • TargetSystem | SAPR3 | ValidDateHandling | DoNotUsePWODate

    Legt fest, ob bei der Bestellung von Rollenzuweisungen der Gültigkeitszeitraum der Bestellung übernommen wird.

    Nicht aktiviert: Der Gültigkeitszeitraum der Bestellung wird übernommen. Ist kein Gültigkeitszeitraum angegeben, werden die Standardwerte 1900-01-01 und 9999-12-31 gesetzt.

    Aktiviert: Die Rollenzuweisung ist unbefristet.

  • TargetSystem | SAPR3 | ValidDateHandling | ReuseInheritedDate

    Steuert die Nachnutzung von bereits vorhandenen Rollenzuweisungen, wenn eine weitere Zuweisung für dieselbe Kombination aus Benutzerkonto und SAP Rolle eingefügt wird.

    Aktiviert: Bereits vorhandene Rollenzuweisungen werden nachgenutzt, wenn dieselbe Zuweisung über verschiedene Vererbungswege entsteht. Dabei gilt:

    • Das Gültig von-Datum der vorhandenen Zuweisung liegt in der Vergangenheit.

    • Das Gültig bis-Datum der vorhandenen Zuweisung ist 9999-12-31 oder die neu hinzukommende Zuweisung hat dasselbe Gültig bis-Datum, wie die bereits vorhandene Zuweisung.

    Für jede weitere unbefristete Zuweisung und für jede weitere Zuweisung mit demselben Gültig bis-Datum wird kein neuer Eintrag in der Tabelle SAPUserInSAPRole erzeugt. Dadurch kann die Anzahl der Einträge in der Tabelle SAPUserInSAPRole reduziert werden.

    Nicht aktiviert: Für jede neue Rollenzuweisung wird ein neuer Eintrag in der Tabelle SAPUserInSAPRole erzeugt. Bestehende Zuweisungen werden nicht nachgenutzt.

    HINWEIS: In Datenbanken, die aus einer Version älter als 7.0 migriert wurden, kann es Zuweisungen mit dem Gültig bis-Datum 9998-12-31 geben. Das ist ein gültiger Wert für unbefristete Rollenzuweisungen, sodass diese Zuweisungen ebenfalls nachgenutzt werden.

  • TargetSystem | SAPR3 | ValidDateHandling | ReuseInheritedDate | UseTodayForInheritedValidFrom

    Legt fest, welchen Wert das Gültig von-Datum indirekter Rollenzuweisungen bei Neuanlage erhält.

    Nicht aktiviert: 1900-01-01

    Aktiviert: <Heute>

    WICHTIG: Abhängig von der Menge der zu verarbeitenden Daten kann die Berechnung der indirekten Rollenzuweisungen dadurch deutlich verlangsamt werden.

    Lassen Sie den Konfigurationsparameter deaktiviert, wenn die Information, seit wann die Rollenzuweisung gültig ist, in der SAP R/3-Umgebung nicht zwingend benötigt wird.

Um bestehende Rollenzuweisungen nachzunutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | ValidDateHandling | ReuseInheritedDate.

Um das Datum der Zuweisung als ersten Gültigkeitstag der Rollenzuweisung zu setzen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | ValidDateHandling | ReuseInheritedDate | UseTodayForInheritedValidFrom.

Um zu verhindern, dass der Gültigkeitszeitraum der Bestellung an die Rollenzuweisung übernommen wird

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | ValidDateHandling | DoNotUsePWODate.

    Es wird eine unbefristete Rollenzuweisung angelegt.

Verwandte Themen

Gültigkeitszeitraum indirekter Rollenzuweisungen ermitteln

SAP Rollen, die an Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen zugewiesen sind, werden dadurch indirekt an die Benutzerkonten zugewiesen. Indirekte Zuweisungen sind standardmäßig unbefristet. Für die Ermittlung des Gültigkeitszeitraums indirekter Zuweisungen werden die Konfigurationsparameter unter TargetSystem | SAPR3 | ValidDateHandling ausgewertet.

Bei Bestellungen im IT Shop kann ein Gültigkeitszeitraum für die Bestellung angegeben werden. Ein Eintrag in der Tabelle SAPUserInSAPRole existiert nur zwischen dem ersten und letzten Gültigkeitstag der Bestellung. Der Gültigkeitszeitraum der Bestellung wird unter folgenden Voraussetzungen an die Rollenzuweisungen übernommen:

  • Der Konfigurationsparameter DoNotUsePWODate ist deaktiviert (Standard).

  • Die SAP Rolle wurde direkt bestellt.

    - ODER -

  • Die Zuweisung ist über eine Zuweisungsbestellung entstanden. Dabei wurde eine Zuweisung an Rollen bestellt. Für diese ist BaseTreeHasSAPRole.XOrigin='8' gesetzt.

Standardmäßig wird für jede neue Rollenzuweisung ein neuer Eintrag in der Tabelle SAPUserInSAPRole erzeugt. Entsteht dieselbe Zuweisung über verschiedene Vererbungswege, kann die Zahl der Einträge in der Tabelle SAPUserInSAPRole schnell anwachsen. Für diesen Fall können bestehende Einträge nachgenutzt werden, wenn der Gültigkeitszeitraum identisch ist. Bereits vorhandene Rollenzuweisungen werden unter folgenden Voraussetzungen nachgenutzt:

  • Der Konfigurationsparameter ReuseInheritedDate ist aktiviert.

  • Das Gültig von-Datum der vorhandenen Zuweisung liegt in der Vergangenheit.

  • Das Gültig bis-Datum der vorhandenen Zuweisung ist 9999-12-31 oder die neu hinzukommende Zuweisung hat dasselbe Gültig bis-Datum, wie die bereits vorhandene Zuweisung.

  • Es wird eine weitere Zuweisung für dieselbe Kombination aus Benutzerkonto und SAP Rolle eingefügt.

Für jede weitere unbefristete Zuweisung und für jede weitere Zuweisung mit demselben Gültig bis-Datum wird kein neuer Eintrag in der Tabelle SAPUserInSAPRole erzeugt. Die Anzahl der Einträge in der Tabelle SAPUserInSAPRole kann dadurch reduziert werden.

HINWEIS: In Datenbanken, die aus einer Version älter als 7.0 migriert wurden, kann es Zuweisungen mit dem Gültig bis-Datum 9998-12-31 geben. Das ist ein gültiger Wert für unbefristete Rollenzuweisungen, sodass diese Zuweisungen ebenfalls nachgenutzt werden.

Der erste Gültigkeitstag indirekter Zuweisungen ist standardmäßig 1900-01-01. Damit ist nicht ersichtlich, wann die Zuweisung entstanden ist. Wenn diese Information benötigt wird, kann an das Gültig von-Datum das aktuelle Datum eingetragen werden, an dem die SAP Rolle zugewiesen wird. Das Datum der Zuweisung wird unter folgenden Voraussetzungen als erster Gültigkeitstag indirekter Rollenzuweisungen gesetzt:

  • Der Konfigurationsparameter ReuseInheritedDate | UseTodayForInheritedValidFrom ist aktiviert.

    Ausnahmen: Der Konfigurationsparameter DoNotUsePWODate ist deaktiviert und

    • die Zuweisung wurde bestellt und an der Bestellung ist ein Gültig von-Datum angegeben.
    • die Zuweisung wurde bestellt und an der Bestellung ist ein Gültig bis- aber kein Gültig von-Datum angegeben.

WICHTIG: Abhängig von der Menge der zu verarbeitenden Daten kann die Berechnung der indirekten Rollenzuweisungen dadurch deutlich verlangsamt werden.

Lassen Sie den Konfigurationsparameter UseTodayForInheritedValidFrom deaktiviert, wenn die Information, seit wann die Rollenzuweisung gültig ist, in der SAP R/3-Umgebung nicht zwingend benötigt wird.

Detaillierte Informationen zum Thema
Verwandte Themen

SAP Produkte

Installierte Module: Systemrollenmodul

Im One Identity Manager können Sie SAP Produkte als Zusammenstellung von verschiedenen Gruppen, Rollen oder Profilen definieren. SAP Produkte sind Systemrollen mit dem Systemrollentyp "SAP Produkt". Identitäten können SAP Produkte direkt erhalten, über hierarchische Rolle erben oder im IT Shop bestellen.

Unabhängig vom Weg der Zuweisung werden dem Benutzerkonto einer Identität die Gruppen, Rollen und Profile zugewiesen, die im SAP Produkt enthalten sind. Wird ein SAP Produkt im One Identity Manager durch Hinzufügen oder Entfernen einer Gruppe, einer Rolle oder eines Profils verändert, so werden die Mitgliedschaften der Benutzerkonten entsprechend angepasst.

Um SAP Produkte zu bearbeiten

  1. Wählen Sie die Kategorie SAP R/3 | Produkte.
  2. Wählen Sie in der Ergebnisliste ein SAP Produkt.

    – ODER –

    Klicken Sie in der Ergebnisliste .

    Das Stammdatenformular einer Systemrolle wird geöffnet.

  3. Bearbeiten Sie die Stammdaten der Systemrolle.
  4. Speichern Sie die Änderungen.

Ausführliche Informationen zu Systemrollen finden Sie im One Identity Manager Administrationshandbuch für Systemrollen.

Allgemeine Stammdaten eines SAP Produkts

Tabelle 66: Konfigurationsparameter für die Risikobewertung von SAP Benutzerkonten
Konfigurationsparameter Wirkung bei Aktivierung
QER | CalculateRiskIndex Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden.

Für Systemrollen erfassen Sie folgende Stammdaten.

Tabelle 67: Stammdaten einer Systemrolle

Eigenschaft

Beschreibung

Anzeigename

Bezeichnung unter der die Systemrolle in den Werkzeugen des One Identity Manager angezeigt werden soll.

Systemrolle

Eindeutige Bezeichnung für die Systemrolle.

Interner Produktname

Zusätzliche interne Bezeichnung für die Systemrolle.

Systemrollentyp

Gibt an, welcher Art Unternehmensressourcen in der Systemrolle zusammengefasst werden.

Leistungsposition

Um eine Systemrolle innerhalb des IT Shops zu verwenden, weisen Sie ihr eine Leistungsposition zu oder legen Sie eine neue Leistungsposition an. Ausführliche Informationen über Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verantwortlicher der Systemrolle

Verantwortlicher für die Systemrolle. Ordnen Sie eine beliebige Identität zu. Diese Identität kann die Stammdaten der Systemrolle bearbeiten. Sie kann als Attestierer für die Eigenschaften der Systemrolle ermittelt werden.

Wenn die Systemrolle im IT Shop bestellt werden kann, wird der Verantwortliche automatisch Mitglied in der Anwendungsrolle für Produkteigner, die der Leistungsposition zugeordnet ist.

Freigabedatum

Legen Sie einen Zeitpunkt fest, an dem die Systemrolle aktiviert werden soll. Liegt das Freigabedatum in der Zukunft, wird die Systemrolle als deaktivierte Systemrolle behandelt. Ist das Freigabedatum erreicht wird die Systemrolle aktiviert. Unternehmensressourcen, die der Systemrolle zugewiesen sind, werden an Identitäten vererbt.

Ist das Freigabedatum überschritten oder ist kein Datum eingetragen, wird die Systemrolle als aktivierte Systemrolle behandelt. Die Vererbung der Unternehmensressourcen kann in diesen Fällen über die Option Deaktiviert gesteuert werden.

HINWEIS: Konfigurieren und aktivieren Sie im Designer den Zeitplan Systemrollen freigeben, um das Freigabedatum zu überprüfen. Ausführliche Informationen zu Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Unternehmensressourcen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen zur Berechnung des Risikoindex finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kommentar

Freitextfeld für zusätzliche Erläuterungen.

Bemerkungen

Freitextfeld für zusätzliche Erläuterungen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Deaktiviert

Gibt an, ob die Unternehmensressourcen, die in der Systemrolle zusammengefasst sind, an Identitäten und Arbeitsplätze vererbt werden.

Ist die Option aktiviert, kann die Systemrolle an Identitäten, Arbeitsplätze, hierarchische Rollen und IT Shop Regale zugewiesen werden. Die enthaltenen Unternehmensressourcen werden jedoch nicht vererbt. Die Systemrolle kann nicht im Web Portal bestellt werden.

Ist die Option deaktiviert, werden die Unternehmensressourcen, die der Systemrolle zugewiesen sind, vererbt. Wird die Option zu einem späteren Zeitpunkt aktiviert, werden bestehende Zuweisungen entfernt.

IT Shop

Gibt an, ob die Systemrolle über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Systemrolle kann weiterhin direkt an Identitäten und hierarchische Rollen zugewiesen werden. Ausführliche Informationen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwendung im IT Shop

Gibt an, ob die Systemrolle ausschließlich über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Systemrolle an hierarchische Rollen ist nicht zulässig.

Freies Feld Nr. 01 ... Freies Feld Nr. 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Ausführliche Informationen über Systemrollen finden Sie im One Identity Manager Administrationshandbuch für Systemrollen.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen