Pflege von SAP Funktionen
An SAP Funktionen können Identitäten zugewiesen werden, die inhaltlich für diese SAP Funktionen verantwortlich sind. Dazu ordnen Sie den Funktionsdefinitionen eine Anwendungsrolle für die Pflege von SAP Funktionen zu. Dieser Anwendungsrolle weisen Sie die Identitäten zu, die berechtigt sind, die Arbeitskopie dieser Funktionsdefinition zu bearbeiten, zu aktivieren und Funktionsausprägungen zu definieren.
Im One Identity Manager ist eine Standardanwendungsrolle für die Pflege von SAP Funktionen vorhanden. Bei Bedarf erstellen Sie weitere Anwendungsrollen. Ausführliche Informationen zum Einsatz und zur Bearbeitung von Anwendungsrollen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Tabelle 24: Standardanwendungsrolle für die Pflege von SAP Funktionen
|
Verantwortliche für die Pflege der SAP Funktionen |
Verantwortliche für die Pflege der SAP Funktionen müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Pflege SAP Funktionen oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sind inhaltlich für die SAP Funktionen verantwortlich.
-
Bearbeiten die Arbeitskopien der Funktionsdefinitionen, für die sie verantwortlich sind.
-
Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.
-
Weisen risikomindernde Maßnahmen zu. |
Um Identitäten in die Standardanwendungsrolle für die Pflege von SAP Funktionen aufzunehmen
-
Wählen Sie im Manager die Kategorie Identity Audit > Basisdaten zur Konfiguration > Pflege SAP Funktionen.
-
Wählen Sie die Aufgabe Identitäten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Alle Funktionsdefinitionen exportieren
Um SAP Funktionen beispielsweise aus einer Entwicklungsumgebung in eine Produktivdatenbank zu übernehmen, können die Funktionsdefinitionen in CSV-Dateien exportiert werden. Diese CSV-Dateien können in andere Datenbanken importiert werden.
Über ein Plugin können alle Funktionsdefinitionen in eine einzige CSV-Datei exportiert werden.
Um alle Funktionsdefinitionen in eine CSV-Datei zu exportieren
-
Wählen Sie im Manager die Kategorie Identity Audit.
-
Wählen Sie das Menü Plugins > Alle SAP Funktionsdefinitionen exportieren.
-
Um nur die Arbeitskopien zu exportieren, klicken Sie Ja.
- ODER -
Um nur die aktivierten SAP Funktionen zu exportieren, klicken Sie Nein.
-
Legen Sie den Dateinamen und Speicherort für die CSV-Datei fest.
-
Klicken Sie Speichern.
Es werden alle Funktionsdefinitionen fortlaufend in die Datei geschrieben.
Folgende Eigenschaften werden exportiert:
Tabelle 25: Exportierte Stammdaten einer Funktionsdefinition
|
Name der Funktionsdefinition (SAPFunction.Ident_SAPFunction) |
Function |
|
zugeordnete Funktionskategorie (SAPFunctionCategory.Ident_SAPFunctionCategory) |
Process |
|
Beschreibung (SAPFunction.Description) |
Function Description |
|
Auswirkung (SAPFunction.SignificancyClass) |
Risk Level |
|
Berechtigungsobjekte (SAPFunctionDetail.Ident_SAPAuthObject) |
Object |
|
Berechtigungsfelder (SAPFunctionDetail.ElementName) |
Field |
|
Beschreibung der Berechtigungsfelder (SAPFunctionDetail.Description) |
Field Description |
|
Wert/Untere Bereichsgrenze (SAPFunctionDetail.LowerLimit) |
Value From |
|
Obere Bereichsgrenze (SAPFunctionDetail.UpperLimit) |
Value To |
|
Funktionsargument (SACAbility.AbilityName) |
Ability Name |
|
Bedingung (SAPFunction.ConditionString) |
Condition String |
Zu jedem Datensatz wird in der CSV-Datei eine zusätzliche Information zum Importstatus (State) geführt. Der Importstatus wird beim Export standardmäßig auf 1 gesetzt. Diese Information wird beim Import von Funktionsdefinitionen ausgewertet.
HINWEIS: Verantwortliche für die Pflege der SAP Funktionen können nur die Funktionsdefinitionen exportieren, für die sie als Verantwortliche in den Stammdaten eingetragen sind.
Import von Funktionsdefinitionen
Um SAP Funktionen beispielsweise aus einer Entwicklungsumgebung in eine Produktivdatenbank zu übernehmen, können die Funktionsdefinitionen in CSV-Dateien exportiert werden. Diese CSV-Dateien können in andere Datenbanken importiert werden.
Beim Import von SAP Funktionen aus einer vorhandenen CSV-Datei werden die in der CSV-Datei enthaltenen Funktionsdefinitionen als Arbeitskopien in die Datenbank übertragen.
Voraussetzungen und Hinweise für den Import von Funktionsdefinitionen
Damit Funktionsdefinitionen importiert werden können, müssen folgende Datenfelder in der CSV-Datei vorhanden sein.
Tabelle 26: Datenfelder für den Import von Funktionsdefinitionen
|
Function |
Funktionsdefinition (SAPFunction.Ident_SAPFunction) |
|
Object |
Berechtigungsobjekt (SAPFunctionDetail.Ident_SAPAuthObject) |
|
Field |
Berechtigungsfeld (SAPFunctionDetail.ElementName) |
|
Value From |
Wert/Untere Bereichsgrenze (SAPFunctionDetail.LowerLimit) |
|
Value To |
Obere Bereichsgrenze (SAPFunctionDetail.UpperLimit) |
|
State |
Keine Entsprechung.
Über den Importstatus wird geregelt, welche Datensätze in den One Identity Manager importiert werden sollen.
1: importieren |
|
Ability Name (optional) |
Funktionsargument (SACAbility.AbilityName) |
|
Condition String (optional) |
Bedingung (SAPFunction.ConditionString) |
|
Process (optional) |
Funktionskategorie (SAPFunctionCategory.Ident_SAPFunctionCategory) |
|
Function Description (optional) |
Beschreibung der Funktionsdefinition. (SAPFunction.Description) |
|
Risk Level (optional) |
Auswirkung (SAPFunction.SignificancyClass)
Mögliche Werte sind:
-
0|<leer>|none
-
1|verylow|very low
-
2|low
-
3|medium
-
4|high
-
5|veryhigh|very high
-
6|critical |
|
Field Description (optional) |
Beschreibung der Berechtigungsfelder und Berechtigungsobjekte. (SAPFunctionDetail.Description) |
HINWEIS:
-
Die Reihenfolge der Datenfelder ist beliebig.
-
Alle benötigten Datenfelder müssen in der Kopfzeile definiert und in den Datensätzen vorhanden sein.
-
Datenfelder ohne Wert sind durch zwei aufeinanderfolgende Trennzeichen zu kennzeichnen.
-
Datensätze mit fehlenden Pflichtfeldern werden nicht importiert.
.