Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um SAP Funktionen erstellen zu können, müssen die Berechtigungsobjekte und SAP Applikationen in die One Identity Manager-Datenbank eingelesen werden. Erstellen Sie für jeden Mandanten ein Synchronisationsprojekt, über das die benötigten Schematypen synchronisiert werden können. Dafür wird eine separate Projektvorlage bereitgestellt.

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein Synchronisationsprojekt für SAP Berechtigungsobjekte einzurichten

  1. Erstellen Sie ein initiales Synchronisationsprojekt wie im Handbuch One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung beschrieben. Es gelten folgende Besonderheiten:

    HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden. Erstellen Sie das Synchronisationsprojekt nur für einen Mandanten, der kein ZBVGeschlossen-System ist.

    1. Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage SAP R/3 Berechtigungsobjekte.
    2. Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.

    Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung.

  2. Konfigurieren und aktivieren Sie einen Zeitplan, um regelmäßige Synchronisationen auszuführen.

    Ausführliche Informationen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Synchronisation von SAP Berechtigungen mit sich überschneidenden Ausprägungen

Wenn in der SAP R/3-Umgebung einem SAP Profil dieselbe Berechtigung mehrfach mit sich überschneidenden Wertebereichen zugewiesen ist, wird durch die Synchronisation nur eine Berechtigungszuweisung eingelesen. In die Berechtigungsprüfung gehen dann nicht alle Ausprägungen ein, die Benutzerkonten mit diesem Profil tatsächlich nutzen können.

Wahrscheinliche Ursache

Bei der Synchronisation des Schematyps ProfileHasAuthObjectField wird gleich die vollständige Objektliste geladen. Dabei wird pro Zuweisung einer Berechtigung an ein SAP Profil immer nur ein Datensatz selektiert. Weitere Datensätze werden ignoriert.

Lösung

Wenn für ein Profil mehrere Berechtigungszuweisungen mit sich überschneidenden Wertebereichen existieren, sollen durch die Synchronisation die niedrigste untere und die höchste obere Ausprägung eingelesen werden. Dafür müssen die Datensätze bei der Synchronisation einzeln ausgewertet werden. Die Objekte müssen per Einzelsatzzugriff eingelesen werden.

Um den Einzelsatzzugriff zu ermöglichen

  1. Bearbeiten Sie im Synchronization Editor die Eigenschaften des Synchronisationsschritts profileHasAuthObjectField.

  2. Wählen Sie den Tabreiter Erweitert.

  3. Wählen Sie die Eigenschaft Nachladeschwellwert und deaktivieren Sie Verwende Einstellungen der Startkonfiguration.

  4. Erfassen Sie einen Wert zwischen 4 und 7.

  5. Speichern Sie die Änderungen.

HINWEIS: Die Änderung des Nachladeschwellwerts kann die Synchronisationsperformance für diesen Synchronisationsschritt beeinträchtigen.

Ausführliche Informationen zur Konfiguration des Nachladeschwellwerts finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Objekte der Tabelle USOBHASH werden nicht vollständig eingelesen

Bei der Synchronisation von SAP Berechtigungsobjekten werden nicht alle Objekte der Tabelle USOBHASH in die One Identity Manager-Datenbank eingelesen.

Wahrscheinliche Ursache

Geänderte Implementierung der ABAP-Funktion AUTH_TRACE_GET_USOBHASH ab der Version SAP BASIS 7.57 (SAP S/4HANA 2022).

Lösung
  • Spielen Sie den aktuellen Transport SAPTRANSPORT_70.ZIP in das zu synchronisierende SAP R/3-System ein.

    Ab One Identity Manager Version 9.1.3 wird ein aktualisierter BAPI-Transport SAPTRANSPORT_70.ZIP bereitgestellt. Dieser verwendet den Funktionsbaustein /VIAENET/LISTUSOBHASH anstelle des SAP-Bausteins AUTH_TRACE_GET_USOBHASH. Beim Zugriff auf eine SAP R/3-Umgebung prüft der SAP R/3 Konnektor, ob der Funktionsbaustein /VIAENET/LISTUSOBHASH vorhanden ist und verwendet diesen. Damit werden alle Objekte der Tabelle USOBHASH synchronisiert.

Ist der Funktionsbaustein nicht vorhanden, verwendet der Konnektor den SAP-Baustein AUTH_TRACE_GET_USOBHASH.

Im Synchronisationsprotokoll wird aufgezeichnet, ob der Funktionsbaustein /VIAENET/LISTUSOBHASH verwendet wird.

Synchronisation massenhafter SAP Berechtigungen

Wenn die SAP R/3-Umgebung eine sehr große Anzahl an Berechtigungen ProfileHasAuthObjectField enthält (mehrere Millionen), kann es passieren, dass die Synchronisation nicht zum Ende kommt oder unerwartet abbricht.

Lösung

Falls die Gesamtzahl der Berechtigungen für die Verarbeitung zu umfangreich ist, kann die Synchronisation auf mehrere Synchronisationsschritte aufgeteilt werden.

Um die Synchronisation von ProfileHasAuthObjectField auf mehrere Schritte aufzuteilen

  1. Bearbeiten Sie im Synchronization Editor den Synchronisationsworkflow für die Synchronisation von SAP Berechtigungsobjekten (Standard: Initial Synchronization).

  2. Aktivieren Sie die Synchronisationsschritte profileHasAuthObjectFieldPart1, profileHasAuthObjectFieldPart2, profileHasAuthObjectFieldPart3 und profileHasAuthObjectFieldPart4.

    • Wenn diese Synchronisationsschritte nicht vorhanden sind, wenden Sie zuerst den Patch VPR#37380 an.

      Der Patch legt diese Synchronisationsschritte in Synchronisationsprojekten an, die in einer One Identity Manager Version älter als 9.2 eingerichtet wurden.

  3. Deaktivieren Sie den Synchronisationsschritt profileHasAuthObjectField.

  4. Speichern Sie die Änderungen.

Bei der folgenden Synchronisation werden alle ProfileHasAuthObjectField-Objekte in vier Blöcke aufgeteilt und unabhängig voneinander verarbeitet.

Ausführliche Informationen zur Bearbeitung von Synchronisationsschritten und zum Anwenden von Patches finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen