SAP Systeme, in denen das Personalplanungsmodul integriert ist (SAP HCM Systeme), enthalten zusätzliche Information über die SAP Benutzer, ihre Aufgaben und organisatorische Einordnung im Unternehmen. Aus diesen Informationen werden Hierarchien aufgebaut. Die Berechtigungen, mit denen SAP Benutzern der Zugriff auf die Objekte dieser Hierarchie gewährt wird, werden im HCM System als strukturelle Profile abgebildet.
In den One Identity Manager können zum Einen die Identitätenstammdaten und Teile der Organisationsstruktur aus dem HCM System importiert werden. Zum Anderen werden die strukturellen Profile mit ihren Eigenschaften abgebildet. Dadurch können Identitäten über ihre SAP Benutzerkonten mit allen erforderlichen Berechtigungen im HCM System versorgt werden. Die Standardfunktionen des One Identity Manager, wie IT Shop oder Identity Audit, können für strukturelle Profile und die importierten Personalplanungsdaten genutzt werden.
Strukturelle Profile aus den Tochtersystemen einer Zentralen Benutzerverwaltung und ihre Zuordnungen zu Benutzerkonten werden nicht synchronisiert.
In die Einrichtung und Verwaltung der HCM-Daten sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Identitäten als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | SAP R/3 oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Systemberechtigungen zur Aufnahme in den IT Shop vor.
-
Können Identitäten anlegen, die nicht den Identitätstyp Primäre Identität haben.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Identitäten als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Die Synchronisation von strukturellen Profilen und Personalplanungsdaten kann als Add-on zum SAP R/3 Benutzermanagement-Modul eingerichtet werden. Das heißt, bevor Sie strukturelle Profile und Personalplanungsdaten synchronisieren können, richten Sie die Synchronisation für die SAP R/3 Basisadministration ein. Erstellen Sie danach die Synchronisationsprojekte für die strukturellen Profile und die Personalplanungsdaten. Folgen Sie dafür den Anleitungen im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung. Besonderheiten sind in diesem Handbuch beschrieben.
Um die Objekte eines HCM Systems initial in die One Identity Manager-Datenbank einzulesen
- Stellen Sie im HCM System ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.
-
Die One Identity Manager Bestandteile für die Verwaltung von HCM Systemen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | SAPR3 | HRProfile aktiviert ist.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema
Für die Synchronisation des One Identity Manager mit einem SAP HCM System benötigt der Benutzer für den Zugriff auf das Zielsystem zusätzlich folgende Berechtigungen:
- strukturelles Profil "ALL" (zugeordnet in der Tabelle T77UA)
- Berechtigungsobjekt S_RFC (Berechtigungsprüfung bei RFC - Zugriff) mit der Aktivität 16, mindestens für die Funktionsgruppen PERS, PADR, RH65, RPAI.
Ausführliche Informationen zu allen erforderlichen Berechtigungen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung.
Verwandte Themen