Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Tochtersysteme herauslösen

Die Tochtersysteme können einzeln aus der ZBVGeschlossen herausgelöst werden, ohne die komplette ZBV aufzulösen. Das Auflösen einer ZBV kann dadurch Schritt für Schritt umgesetzt und getestet werden. Folgende Schritte müssen für jedes Tochtersystem ausgeführt werden:

  1. Tochtersystem im One Identity Manager aus der ZBV herauslösen
  2. Neues Synchronisationsprojekt einrichten und Mandant synchronisieren
  3. Tochtersysteme aus dem ZBV-Verteilungsmodell der SAP R/3-Umgebung herauslösen

Um ein Tochtersystem aus der ZBV herauszulösen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste das Tochtersystem, das Sie herauslösen möchten.

  3. Wählen Sie die Aufgabe Mandant aus der ZBV lösen und bestätigen Sie die Sicherheitsabfrage mit Ja.

Nach einer Prüfung, ob der Mandant herausgelöst werden kann, konvertiert der One Identity Manager die Daten.

  • Benutzerkonten und ihre externen Kennungen werden vom Zentralsystem in das Tochtersystem kopiert.
  • SAP Gruppen und die Zuweisungen der Gruppen an Benutzerkonten werden vom Zentralsystem in das Tochtersystem kopiert.
  • SAP Rollen und Profile werden konvertiert und den kopierten Benutzerkonten zugewiesen.
  • Die Zugriffsberechtigungen der Benutzerkonten auf das Tochtersystem werden entfernt (Bereinigung der Tabelle SAPUserMandant).
  • Die Zuordnung des Mandanten zum Zentralsystem wird gelöst.
  • Wenn dem Mandanten eine Kontendefinition zugewiesen ist, wird diese konvertiert. Die Tabelle SAPUser wird als Benutzerkontentabelle zugeordnet.

Um die Synchronisation für den herausgelösten Mandanten einzurichten

  1. Wenn der Mandant in einem anderen SAP System gehostet wird als das Zentralsystem, dann ist für diesen Mandanten ein Synchronisationsprojekt vorhanden. Löschen Sie dieses Synchronisationsprojekt.

  2. Erstellen Sie ein neues Synchronisationsprojekt. Nutzen Sie dafür die Projektvorlage SAP R/3 Synchronization (Base Administration).

    Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten.

    TIPP: Exisitiert bereits ein passendes Synchronisationsprojekt für einen SAP Mandant mit identischem Schema, dann kann der herausgelöste Mandant als weiteres Basisobjekt zu diesem Synchronisationsprojekt zugeordnet werden.

  3. Starten Sie die Synchronisation.

  4. Prüfen Sie das Synchronisationsergebnis. Beheben Sie Fehler und behandeln Sie ausstehende Objekte.

Um das Tochtersystem aus dem ZBV-Verteilungsmodell herauszulösen

  • Wenn die Synchronisation fehlerfrei ausgeführt wurde, löschen Sie das Tochtersystem aus dem Verteilungsmodell der ZBV in der SAP R/3-Umgebung.

    Dabei soll lediglich die Zuordnung des Mandanten zum ZBV-Verteilungsmodell entfernt werden. Ausführliche Informationen finden Sie in der Dokumentation Ihrer SAP R/3-Umgebung.

Verwandte Themen

Zentralsystem konvertieren

Sobald alle Tochtersysteme aus einer Zentralen Benutzerverwaltung herausgelöst wurden, kann auch das Zentralsystem konvertiert werden. Folgende Schritte müssen ausgeführt werden:

  1. Zentralsystem im One Identity Manager konvertieren
  2. Benutzerkonten ohne Zulassung zum Zentralsystem löschen
  3. ZBVGeschlossen aus dem Verteilungsmodell der SAP R/3-Umgebung löschen
  4. Neues Synchronisationsprojekt einrichten und Mandant synchronisieren

Um das Zentralsystem zu konvertieren

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste das Zentralsystem.

  3. Wählen Sie die Aufgabe Mandant aus der ZBV lösen und bestätigen Sie die Sicherheitsabfrage mit Ja.

    Nach einer Prüfung, ob der Mandant zur Konvertierung zugelassen ist, werden die Daten in der One Identity Manager-Datenbank konvertiert.

    • SAP Rollen und Profile des Zentralsystems werden konvertiert.
    • Zuweisungen der SAP Rollen und Profile an die Benutzerkonten werden konvertiert.
    • Die Zugriffsberechtigungen der Benutzerkonten auf das Zentralsystem werden entfernt (Bereinigung der Tabelle SAPUserMandant).
    • Die Kennzeichnung des Mandanten als Zentralsystem wird entfernt.

  4. Wenn die Konvertierung abgeschlossen ist, muss entschieden werden, wie mit Benutzerkonten verfahren werden soll, die innerhalb der ZBV keine Zugriffsberechtigung für das Zentralsystem hatten.

    • Wenn diese Benutzerkonten gelöscht werden sollen, klicken Sie Ja.

      Wählen Sie diese Möglichkeit, um sicherzustellen, dass nur die Benutzer Zugriff auf den Mandanten erhalten, die auch vor der Konvertierung zugriffsberechtigt waren. Benutzerkonten, die durch eine IT Shop-Bestellung oder durch Vererbung einer gültigen Kontendefinition entstanden sind, bleiben erhalten.

      Alle übrigen Benutzerkonten ohne Zugriffsberechtigung werden gelöscht.

    • Wenn diese Benutzerkonten erhalten bleiben sollen, klicken Sie Nein.

      Die Benutzerkonten bleiben erhalten und sind dadurch in diesem Mandanten zugriffsberechtigt.

  5. Entscheiden Sie, wie mit Benutzerkonten verfahren werden soll, die über eine gültige Kontendefinition entstanden sind. Wenn diese Benutzerkonten gelöscht werden sollen, entfernen Sie die Zuweisung der Kontendefinition an die Personen.

    Weitere Informationen finden Sie unter Zuweisen der Kontendefinition an Personen.

WICHTIG: Alle Provisionierungsprozesse müssen abgearbeitet sein, bevor die Konvertierung fortgesetzt werden kann.

Führen Sie den folgenden Schritt aus, bevor Sie ein neues Synchronisationsprojekt für den Mandanten erstellen.

Um die ZBV aus dem Verteilungsmodell der SAP R/3-Umgebung zu löschen

  • Wenn alle Tochtersysteme aus dem ZBV-Verteilungsmodell in der SAP R/3-Umgebung herausgelöst wurden, löschen Sie die gesamte ZBV aus dem Verteilungsmodell.

    • Legen Sie fest, wie mit Benutzerkonten verfahren werden soll, die innerhalb der ZBV keine Zugriffsberechtigung für das Zentralsystem hatten.

      Wenn diese Benutzerkonten im One Identity Manager gelöscht wurden, wählen Sie hier die Option Benutzer zusätzlich lokal sperren.

      Dadurch werden die Benutzerkonten, die über eine Kontendefinition entstanden sind, gesperrt und erhalten damit keine Zugriffsberechtigung auf den Mandanten.

    Ausführliche Informationen finden Sie in der Dokumentation Ihrer SAP R/3-Umgebung.

Um die Synchronisation für den Mandanten einzurichten

  1. Löschen Sie das Synchronisationsprojekt für das Zentralsystem.

  2. Erstellen Sie ein neues Synchronisationsprojekt. Nutzen Sie dafür die Projektvorlage SAP R/3 Synchronization (Base Administration).

    • Deaktivieren Sie auf der Seite Zusätzliche Einstellungen die Option Zentralsystem einer ZBV.

    Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten.

    TIPP: Existiert bereits ein passendes Synchronisationsprojekt für einen SAP Mandant mit identischem Schema, dann kann der herausgelöste Mandant als weiteres Basisobjekt zu diesem Synchronisationsprojekt zugeordnet werden.

  3. Starten Sie die Synchronisation.

  4. Prüfen Sie das Synchronisationsergebnis. Beheben Sie Fehler und behandeln Sie ausstehende Objekte.

    Benutzerkonten, die keine Zugriffsberechtigung für das Zentralsystem hatten und über eine Kontendefinition entstanden sind, sind gesperrt.

  5. Prüfen Sie die gesperrten Benutzerkonten.

    1. Entsperren Sie alle Benutzerkonten, die Zugriff auf den Mandanten erhalten sollen.

    2. Für alle Benutzerkonten, die gelöscht werden sollen, entziehen Sie den verbundenen Personen die Kontendefinition.

      Weitere Informationen finden Sie unter Zuweisen der Kontendefinition an Personen.

Verwandte Themen

Erfolgreiche Konvertierung prüfen

Wurden alle Tochtersysteme fehlerfrei herausgelöst und das Zentralsystem fehlerfrei konvertiert, ist die ZBVGeschlossen aufgelöst. Die SAP Benutzerkonten in allen ehemals beteiligten Mandanten können wahlweise separat oder über die verbundene Person administriert werden.

Um die korrekte Konvertierung eines Tochtersystems zu prüfen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste den Mandanten des ehemaligen Tochtersystems.

  3. Prüfen Sie folgende Stammdaten:

    • ALE Name: Wert gelöscht.
    • ALE Modelname: Wert gelöscht.
    • ZBV Status: kein ZBV-System
    • Zentralsystem der ZBV: nicht zugeordnet

  4. Wählen Sie die Aufgabe Überblick über den SAP Mandanten.

  5. Klicken Sie auf das Formularelement für die zugeordnete Kontendefinition und prüfen Sie die Stammdaten der Kontendefinition.

    • Benutzerkontentabelle: SAPUser

    • Vorausgesetzte Kontendefinition: Die Kontendefinition des Zentralsystems ist zugeordnet.

  6. Prüfen Sie, ob die vorausgesetzte Kontendefinition noch benötigt wird.

    Nach Auflösung der ZBV ist ein Benutzerkonto im Zentralsystem nicht mehr notwendige Voraussetzung für die Erstellung eines Benutzerkontos im ehemaligen Tochtersystem. In diesem Fall kann die vorausgesetzte Kontendefinition entfernt werden.

  7. Die Synchronisation ist eingerichtet und funktioniert fehlerfrei.

Um die korrekte Konvertierung des Zentralsystems zu prüfen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste den Mandanten des ehemaligen Zentralsystems.

  3. Prüfen Sie folgende Stammdaten:

    • ALE Name: Wert gelöscht.
    • ALE Modelname: Wert gelöscht.
    • ZBV Status: kein ZBV-System

  4. Wählen Sie die Aufgabe Überblick über den SAP Mandanten.

    Es ist kein Tochtersystem zugeordnet.

  5. Die Synchronisation ist eingerichtet und funktioniert fehlerfrei.

Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 76: Konfigurationsparameter

Konfigurationsparameter

 Beschreibung

TargetSystem | SAPR3

Der Bereich SAP wird unterstützt. Der Parameter ist ein präprozessorrelevanter Konfigurationsparameter. Die Aktivierung oder Deaktivierung erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | SAPR3 | Accounts

Standardwerte für SAP Benutzerkonten sollen verwendet werden.

TargetSystem | SAPR3 | Accounts | CalculateLicence

Parameter zur Steuerung der Berechnung der SAP Systemvermessung für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | Datfm

 Festlegung des Standard-Datumsformates für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | Dcpfm

 Festlegung des Standard-Dezimalpunktformates für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | ExtID_Type

 Festlegung des Standardtyps für externe Kennungen für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | Fax_Group

 Festlegung der Standard-Faxgruppe für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | Guiflag

 Festlegung für SAP Benutzerkonten, ob die unsichere Kommunikation erlaubt ist.

TargetSystem | SAPR3 | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | SAPR3 | Accounts | InitialRandomPassword |
SendTo

 Der Konfigurationsparameter enthält die Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter "TargetSystem | SAPR3 | DefaultAddress" hinterlegte Adresse versandt.

TargetSystem | SAPR3 | Accounts | InitialRandomPassword |
SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.

TargetSystem | SAPR3 | Accounts | InitialRandomPassword |
SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | SAPR3 | Accounts | Langu_p

 Festlegung des Standard-Sprachenschlüssels für SAP Benutzerkonten.

TargetSystem | SAPR3 | Accounts | Langup_iso

 Festlegung der Standardsprache (ISO 639).

TargetSystem | SAPR3 | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | SAPR3 | Accounts | Spda

 Festlegung der Standardeinstellung für Druckparameter 3 (Löschen nach Druck).

TargetSystem | SAPR3 | Accounts | Spdb

 Festlegung der Standardeinstellung für Druckparameter 2 (Drucken sofort).

TargetSystem | SAPR3 | Accounts | Splg

 Festlegung des Standarddruckers (Druckparameter 1).

TargetSystem | SAPR3 | Accounts | TargetSystemID

 Festlegung der Standard-Zielsystemkennung für die Abbildung externer Benutzer

TargetSystem | SAPR3 | Accounts | Time_zone

 Festlegung des Standardwertes für die Zeitzone der Adresse eines SAP Benutzerkontos.

TargetSystem | SAPR3 | Accounts | Tzone

 Festlegung des Standardwertes für die Zeitzone.

TargetSystem | SAPR3 | Accounts | Ustyp

 Festlegung des Standard-Benutzertyps für SAP Benutzerkonten.

TargetSystem | SAPR3 | AutoCreateDepartment

Der Konfigurationsparameter legt fest, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Abteilungen erzeugt werden.

TargetSystem | SAPR3 | AutoFillSAPUserMandant

Gibt an, ob SAP Rollen und SAP Profile an die Benutzerkonten in einer Zentralen Benutzerverwaltung vererbt werden können, wenn die Benutzerkonten keine Zugriffsberechtigung für die Mandanten haben, zu denen diese Rollen und Profile gehören.

Wenn der Konfigurationsparameter aktiviert ist, wird bei der Vererbungsberechnung die Zugriffsberechtigung erteilt (Eintrag in der Tabelle SAPUserMandant) und die Rollen und Profile werden an die Benutzerkonten zugewiesen. Wenn der Konfigurationsparameter deaktiviert ist, werden diese Rollen und Profile nicht vererbt (Standard).

TargetSystem | SAPR3 | DefaultAddress

 Standard-E-Mail-Adresse (Empfänger) für Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | SAPR3 | KeepRedundantProfiles

Der Konfigurationsparameter regelt das Verhalten für die Behandlung von Einzelrollen- und Profilzuweisungen an Benutzer.

Ist der Parameter aktiviert, bleiben Einzelrollen oder Profile des Benutzers, die bereits Bestandteil von Sammelrollen des Benutzers sind, erhalten.

Ist der Parameter deaktiviert, werden Einzelrollen oder Profile des Benutzers, die bereits Bestandteil von Sammelrollen des Benutzers sind, entfernt (Standard).

TargetSystem | SAPR3 | MaxFullsyncDuration

 Angabe der maximalen Laufzeit für eine Synchronisation.

TargetSystem | SAPR3 | PersonAutoDefault

Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | SAPR3 | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | SAPR3 | PersonAutoFullsync

Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | SAPR3 | ValidDateHandling

 Konfigurationsparameter zur Behandlung der Gültigkeitsdaten in Zuweisungen von SAP Rollen und strukturellen Profilen an SAP Benutzerkonten.

TargetSystem | SAPR3 | ValidDateHandling |
DoNotUsePWODate

 Der Konfigurationsparameter legt fest, ob die Gültigkeitsdaten aus dem Bestellvorgang in die Zuweisung von SAP Rollen und strukturellen Profilen an SAP Benutzerkonten übernommen werden. Wenn der Konfigurationsparameter aktiviert ist, werden die Daten Gültig von und Gültig bis nicht aus dem Bestellvorgang an die Zuweisungen übernommen.

TargetSystem | SAPR3 | ValidDateHandling |
ReuseInheritedDate

Steuert die Nachnutzung bereits vorhandener Zuweisungen von SAP Rollen und strukturellen Profilen an SAP Benutzerkonten.

Wenn der Konfigurationsparameter aktiviert ist, werden bereits vorhandene Zuweisungen nachgenutzt, wenn dieselbe Zuweisung über verschiedene Vererbungswege entsteht und der Gültigkeitszeitraum übereinstimmt.

TargetSystem | SAPR3 | ValidDateHandling |
ReuseInheritedDate | UseTodayForInheritedValidFrom

Der Konfigurationsparameter legt fest, ob das Gültig von-Datum indirekter Zuweisungen von SAP Rollen und strukturellen Profilen an SAP Benutzkonten auf <Heute> oder auf 1900-01-01 gesetzt wird.

TargetSystem | SAPR3 | VerifyUpdates

Gibt an, ob bei einem Update geänderte Eigenschaften im Zielsystem überprüft werden. Ist der Parameter aktiviert, werden nach jedem Update die Eigenschaften des Objektes im Zielsystem verifiziert.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen