Externe Benutzerkennungen für SAP Benutzerkonten erfassen
In einer SAP R/3-Umgebung können externe Authentifizierungsmechanismen zu Anmeldung an einem System genutzt werden. Der One Identity Manager ermöglicht die Pflege der Anmeldedaten für die Anmeldung von Benutzern externer Systeme, wie beispielsweise Active Directory, an einer SAP R/3-Umgebung.
Mit dem One Identity Manager können externe Benutzerkennungen erfasst und gelöscht werden.
Um externe Kennungen zu erfassen
-
Wählen Sie die Kategorie SAP R/3 | Externe Kennungen.
-
Wählen Sie in der Ergebnisliste die externe Kennung. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- ODER -
Klicken Sie in der Ergebnisliste .
-
Erfassen Sie auf dem Stammdatenformular die benötigten Daten.
- Speichern Sie die Änderungen.
Für eine externe Benutzerkennung erfassen Sie folgende Daten.
Tabelle 53: Eigenschaften einer externen Kennung
Externe Benutzerkennung |
Anmeldename, mit dem sich der Benutzer am externen System anmeldet. Die Syntax ist abhängig von der gewählten Authentifizierungsart. Die vollständige Benutzerkennung wird per Bildungsregel zusammengesetzt.
Hinweis: Das BAPI des One Identity Manager nutzt für die Generierung der Benutzerkennung die Standardeinstellungen des Programmes RSUSREXT, das heißt der Benutzername wird der externen Kennung nachgestellt. Der in der Schnittstelle bereitgestellte Wert wird als Präfix übergeben.
Wenn Ihre SAP R/3-Umgebung andere als diese Standardeinstellungen nutzt, passen Sie die Bildungsregel für die Spalte SAPUserExtId.EXTID entsprechend an. |
Typ der externen Kennung |
Authentifizierungsart für den externen Benutzer. Daraus ergibt sich die Syntax für die externe Kennung.
-
Definierter Name für X.509: Die Anmeldung erfolgt über den Distinguished Name für X.509.
-
Windows NTLM oder Kennwortverifizierung: Die Anmeldung erfolgt über Windows NT Lan Manager oder Kennwortverifizierung mit dem Windows-Domänen-Controller.
-
LDAP-Bind <benutzerdefiniert>: Die Anmeldung erfolgt über LDAP Bind (für andere externe Authentifizierungsmechanismen).
-
SAML Token: Die Authentifizierung erfolgt über ein SAML-Token-Profil.
Der Standardtyp ist im Konfigurationsparameter TargetSystem | SAPR3 | Accounts | ExtID_Type festgelegt. |
Zielsystemtyp |
Wird zusammen mit dem Typ der externen Kennung zur Überprüfung der Anmeldedaten herangezogen. Der Standardwert ist im Konfigurationsparameter TargetSystem | SAPR3 | Accounts | TargetSystemID festgelegt. Zulässige Werte sind ADSACCOUNT und NTACCOUNT. |
Externe Benutzerkennung ist aktiviert |
Gibt an, ob die externe Benutzerkennung genutzt werden kann und sich der Benutzer über ein externes Authentifizierungssystem am System anmelden kann. |
Benutzerkonto |
Zuordnung der externen Kennung zu einem Benutzerkonto. |
Laufende Nummer |
Laufende Nummer, wenn ein Benutzerkonto mehrere externe Kennungen besitzt. |
Gültig von |
Datum, ab dem die externe Benutzerkennung gültig ist. |
SAP Gruppen, SAP Rollen und SAP Profile
Um den Benutzerkonten die benötigten Berechtigungen zur Verfügung zu stellen, werden im One Identity Manager Gruppen, Rollen und Profile abgebildet. Gruppen, Rollen und Profile können im One Identity Manager an Benutzerkonten zugewiesen, bestellt oder über hierarchische Rollen vererbt werden. Es können keine Gruppen, Rollen oder Profile neu angelegt oder gelöscht werden.
Gruppen
Mit der Zuordnung von Benutzerkonten zu Gruppen können Sie die Pflege der Benutzerkonten auf unterschiedliche Benutzeradministratoren verteilen.
Rollen
Eine Rolle umfasst alle Transaktionen und Benutzermenüs, die ein SAP Benutzer für seine Aufgaben benötigt. Rollen werden in Einzelrollen und Sammelrollen unterschieden. Einzelrollen können in Sammelrollen zusammengefasst werden. Die Mitgliedschaft eines Benutzerkontos in den Rollen kann zeitlich begrenzt sein.
Profile
Über Profile werden die Zugriffsrechte auf das System geregelt. Profile werden über Einzelrollen oder direkt an Benutzerkonten zugewiesen. Profile können zu Sammelprofilen zusammengefasst sein.
Bearbeiten der Stammdaten für SAP Gruppen, SAP Rollen und SAP Profile
Im One Identity Manager können Sie folgende Informationen über Gruppen, Rollen und Profile bearbeiten:
- Zugewiesene SAP Benutzerkonten
- Nutzung im IT Shop
- Risikobewertung
- Vererbung über hierarchische Rollen und Einschränkung der Vererbung
- Lizenzinformationen für die Systemvermessung
Um die Stammdaten einer Gruppe zu bearbeiten
- Wählen Sie die Kategorie SAP R/3 | Gruppen.
- Wählen Sie in der Ergebnisliste die Gruppe. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Erfassen Sie auf dem Stammdatenformular die benötigten Daten.
- Speichern Sie die Änderungen.
Um die Stammdaten eines Profils zu bearbeiten
- Wählen Sie die Kategorie SAP R/3 | Profile.
- Wählen Sie in der Ergebnisliste das Profil. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Erfassen Sie auf dem Stammdatenformular die benötigten Daten.
- Speichern Sie die Änderungen.
Um die Stammdaten einer Rolle zu bearbeiten
- Wählen Sie die Kategorie SAP R/3 | Rollen.
- Wählen Sie in der Ergebnisliste die Rolle. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Erfassen Sie auf dem Stammdatenformular die benötigten Daten.
- Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Allgemeine Stammdaten von SAP Gruppen
Tabelle 54: Konfigurationsparameter für die Risikobewertung von SAP Benutzerkonten
QER | CalculateRiskIndex |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.
Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden. |
Für eine Gruppe bearbeiten Sie folgende Stammdaten.
Tabelle 55: Stammdaten von SAP Gruppen
Anzeigename |
Name der Gruppe zur Anzeige in den One Identity Manager-Werkzeugen. Wird standardmäßig aus der Bezeichnung der Gruppe gebildet. |
Bezeichnung |
Bezeichnung der Gruppe im Zielsystem. |
Mandant |
Mandant, in dem die Gruppe angelegt ist. |
Leistungsposition |
Leistungsposition, um die Gruppe über den IT Shop zu bestellen. |
Risikoindex |
Wert zur Bewertung des Risikos von Zuweisungen der Gruppe an Benutzerkonten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. |
Kategorie |
Kategorien für die Vererbung von Gruppen. Gruppen können selektiv an Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
IT Shop |
Gibt an, ob die Gruppe über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Gruppe kann weiterhin direkt an Benutzerkonten und hierarchische Rollen zugewiesen werden. |
Verwendung nur im IT Shop |
Gibt an, ob die Gruppe ausschließlich über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Gruppe an hierarchische Rollen oder Benutzerkonten ist nicht zulässig. |
Detaillierte Informationen zum Thema