Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung

Bei der Synchronisation des One Identity Manager mit einer SAP R/3-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation

Benutzer

Berechtigungen

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Benutzer für den Zugriff auf das Zielsystem (Synchronisationsbenutzer)

Für eine vollständige Synchronisation von Objekten einer SAP R/3-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.

Benötigte Berechtigungsobjekte und ihre Ausprägungen:

  • S_TCODE mit mindestens den Transaktionscodes SU01, SU53, PFCG

  • S_ADDRESS1 (Address Services) mit den Aktivitäten 01, 02, 03, 06 und den zulässigen Adressgruppen (mindestens BC01)

  • S_USER_AGR (Rollenpflege) mit den Aktivitäten 02, 03, 22, 78, eventuell mit Einschränkung des Namensbereiches (beispielsweise Z*)

  • S_USER_GRP (Gruppenpflege) mit den Aktivitäten 01, 02, 03, 22, 78 und PP (wenn in der SAP R/3-Umgebung vorhanden)

  • S_USER_AUT (Berechtigungen) mit den Aktivitäten 03, 08

  • S_USER_PRO (Profile) mit den Aktivitäten 01, 02, 03, 22

  • S_USER_SAS (Systemspezifische Zuordnungen) mit den Aktivitäten 01, 06, 22

  • S_USER_UID mit der Aktivität 03

  • S_RFC (Berechtigungsprüfung bei RFC-Zugriff) mit der Aktivität 16 mindestens für die Funktionsgruppen ZVI, /VIAENET/ZVI0, /VIAENET/ZVI_L, /VIAENET/Z_HR, SU_USER, SYST, SDTX, RFC1, RFC_METADATA, SDIFRUNTIME, SYSU, SUSO

  • /VIAENET/ZVIL_TABLE

    HINWEIS:

    Ab One Identity Manager Version 8.2 wird ein aktualisierter BAPI-Transport SAPTRANSPORT_70.ZIP bereitgestellt. Dieser ersetzt den SAP-Baustein RFC_READ_TABLE durch den Funktionsbaustein /VIAENET/READTABLE. Beim Zugriff auf eine SAP R/3-Umgebung prüft der SAP R/3 Konnektor, ob der Funktionsbaustein /VIAENET/READTABLE vorhanden ist und verwendet diesen.

    Ist der Funktionsbaustein nicht vorhanden, verwendet der Konnektor den SAP-Baustein RFC_READ_TABLE.

    In diesem Fall benötigt der Synchronisationsbenutzer das Berechtigungsobjekt S_TABU_NAM mit der Aktivität 03.

    Alternativ können die Zugriffsberechtigungen auf Tabellen über die Berechtigungsobjekte S_TABU_NAM oder S_TABU_DIS definiert werden. Diese werden gleichwertig geprüft.

    Im Feld TABLE können die Namen der Tabellen, die gelesen werden sollen, einzeln angegeben werden.

Neben den aufgeführten Berechtigungen muss das Benutzerkonto alle durch den mitgelieferten Transport eingespielten Berechtigungsobjekte der Berechtigungsklassen ZVIH_AUT, ZVIA_AUT und ZVIL_AUT erhalten. Mit diesen Berechtigungsobjekten wird die prinzipielle Ausführungsberechtigung der Funktionsbausteine gewährt.

Zusätzlich sind die Berechtigungsobjekte ZVIH_OP, ZVIA_OP, ZVIL_OP zuzuordnen. Diese regeln über das Berechtigungsfeld ACTVT die Art des Zugriffes auf SAP R/3 Daten. Mögliche Werte sind 01 Hinzufügen oder Erzeugen, 02 Ändern, 03 Anzeigen, 06 Löschen. Die jeweilige Aktivität wird vor dem Datenzugriff geprüft. Das bedeutet, wenn nur die Aktivität 03 Anzeigen zugewiesen wurde, kann mit diesem Benutzerkonto keinerlei Schreiboperation über die Funktionsbausteine des One Identity Manager Business Application Programing Interface ausgeführt werden.

Für die Synchronisation einer Zentralen Benutzerverwaltung werden für den Zugriff auf die Tochtersysteme zusätzlich folgende Berechtigungsobjekte benötigt:

  • S_RFC mit der Funktionsgruppe SUU6

  • S_TCODE mit dem Transaktionscode SU56

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

TIPP: Die standardmäßig ausgelieferte Transportdatei SAPROLE.zip enthält einen Transport mit einer Rolle, die das Berechtigungsobjekt des Bausteins bereits besitzt. Diese Rolle kann dem Benutzerkonto zugewiesen werden. Die Transportdatei befindet sich auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.

Die genannten Berechtigungen werden benötigt, damit der SAP R/3 Konnektor sowohl lesend als auch schreibend auf das SAP R/3-System zugreifen kann. Soll nur ein lesender Zugriff erlaubt werden, richten sie ein Profil ein, welches zwar die Ausführungsberechtigungen auf die Transaktionen SU01 und PFCG zur Verfügung stellt, allerdings auf Aktivitäts- oder Feldebene das Schreiben verhindert. Beachten Sie dazu auch die Vergabe der Berechtigungen für Aktivitäten an den Berechtigungsobjekten ZVIH_OP, ZVIA_OP, ZVIL_OP. Im Fall eines nur lesenden Zugriffes sollte nur die Aktivität 03 Anzeigen aktiviert sein.

Um weitere Informationen auszulesen, benötigt das Benutzerkonto den Benutzertyp Dialog, Kommunikation oder System.

Hinweis: Die SAP R/3-Versionen bis einschließlich SAP Web Application Server 6.40 unterscheiden bei der Angabe von Benutzer und Kennwort nicht zwischen Groß- und Kleinschreibung. Ab SAP NetWeaver Application Server 7.0 gilt dies für Kennworte nicht mehr. Kennworte beachten die Groß- und Kleinschreibung.

Alle SAP-eigenen Werkzeuge, die bis SAP Web Application Server 6.40 ausgeliefert wurden, außer der SAP GUI (RFC-SDK, SAP .Net Connector), wandeln deshalb das Kennwort vor der Übertragung zum SAP R/3-System in Großbuchstaben um. Für das Benutzerkonto, mit welchem sich der SAP .Net Connector am SAP R/3-System authentifizieren soll, muss ein Kennwort in Großbuchstaben gesetzt werden. Danach kann mit allen gewohnten Werkzeugen per RFC auf SAP NetWeaver Application Server 7.0 zugegriffen werden.

Verwandte Themen

Einspielen des One Identity Manager Business Application Programing Interface

HINWEIS: Das Business Application Programming Interface des One Identity Manager ist zertifiziert.

Zertifikate:

  • Integration with SAP S/4HANA

  • Powered by SAP NetWeaver

Ausführliche Informationen finden Sie unter https://www.sapappcenter.com/apps/5513#!overview.

Um mit dem One Identity Manager auf die Daten und Geschäftsprozesse der SAP R/3-Umgebung zuzugreifen, muss das mitgelieferte Business Application Programming Interface (BAPI) in das SAP R/3-System eingespielt werden. Die erforderlichen Transportdateien finden Sie auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.

TIPP: Anstelle der Transportdatei SAPTRANSPORT_70.ZIP können Sie auch das Assembly Kit-Paket T070020759523_0000006.PAT installieren. Weitere Informationen finden Sie unter Deinstallieren von BAPI-Transporten.

Installieren Sie die Transporte des BAPI in folgender Reihenfolge:

Tabelle 3: BAPI-Transporte

Transport

Erläuterung

1

SAPRepository.zip

Erstellt die /VIAENET/-Umgebung im Repository des SAP Systems.

2

SAPTable.zip

Definiert die Tabellenstruktur für /VIAENET/USERS im Dictionary des SAP Systems.

3

SAPTRANSPORT_70.ZIP

Enthält die Funktionen, die in der /VIAENET/-Umgebung definiert sind.

Wählen Sie das für Ihr SAP System passende Transportpaket aus.

  • Archivverzeichnis UNICODE: Transporte für Systeme, die Unicode unterstützen; Transport von Kopien

  • Archivverzeichnis NON_UNICODE: Transporte für Systeme, die kein Unicode unterstützen

  • Archivverzeichnis UNICODE_WORKBENCH: Transporte für Systeme, die Unicode unterstützen; Workbench-Transport

  • Archivverzeichnis NON_UNICODE_WORKBENCH: Transporte für Systeme, die kein Unicode unterstützen; Workbench-Transport

4

(Optional) SAPBusinesspartnerProxies.zip

Enthält die Funktionen, die im /VIAENET/HELPER-Paket definiert sind.

Der Transport wird nur benötigt, wenn ein SAP S/4HANA-System angebunden wird und Geschäftspartnerdaten, die mit SAP Benutzerkonten verbunden sind, abgebildet werden sollen.

Wählen Sie das für Ihr SAP System passende Transportpaket aus.

  • Archivverzeichnis UNICODE: Transporte für Systeme, die Unicode unterstützen; Transport von Kopien

  • Archivverzeichnis UNICODE_WORKBENCH: Transporte für Systeme, die Unicode unterstützen; Workbench-Transport

Aktivieren Sie für den Transport die folgenden Importoptionen:

  • Originale überschreiben

  • Objekte in unbestätigten Reparaturen überschreiben

  • Nicht passende Komponentenversion ignorieren

Daneben nutzt der SAP R/3 Konnektor weitere BAPIs des SAP R/3-Systems.

Verwandte Themen

Deinstallieren von BAPI-Transporten

Mit dem SAP Add-On Assembly Kit unterstützt SAP die Deinstallation eines BAPI. Dafür wird ein deinstallierbares Assembly Kit-Paket bereitgestellt.

Voraussetzungen

  • SAP NetWeaver Application Server 7.00 oder höher

  • SAP ECC 6.0

  • SAP Add-On Assembly Kit 5.0 oder höher

  • Unicode wird unterstützt.

Um einen BAPI-Transport später deinstallieren zu können

  • Installieren Sie das Assembly Kit-Paket T070020759523_0000006.PAT anstelle der Transportdatei SAPTRANSPORT_70.ZIP.

    Das Paket finden Sie auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.

Das Paket enthält die Funktionen, die in der /VIAENET/-Umgebung definiert sind. Am Paket ist die Option deinstall_allowed gesetzt.

Verwandte Themen

Einrichten des Synchronisationsservers

Für die Einrichtung der Synchronisation mit einer SAP R/3-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 2012 R2

    • Windows Server 2012

  • Microsoft .NET Framework Version 4.8 oder höher

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • Windows Installer
  • SAP .Net Connector for .NET 4.0 on x64, mindestens Version 3.0.15.0
  • One Identity Manager Service, Synchronization Editor, SAP R/3 Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | Jobserver | SAP R/3.

Weitere Anforderungen

  • Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
    • libicudecnumber.dll
    • rscp4n.dll
    • sapnco.dll
    • sapnco_utils.dll
  • Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Verzeichnis C:\Windows\System32 oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
    • msvcp100.dll
    • msvcr100.dll

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt folgende Schritte aus:

  • Erstellen eines Jobservers.

  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.

  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.

  • Konfigurieren des One Identity Manager Service.

  • Starten des One Identity Manager Service.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich.

Für die Remote-Installation des One Identity Manager Service benötigen Sie eine administrative Arbeitsstation, auf der die One Identity Manager-Komponenten installiert sind. Ausführliche Informationen zur Installation einer Arbeitsstation finden Sie im One Identity Manager Installationshandbuch.

HINWEIS: Für die Generierung von Prozessen für die Jobserver werden der Provider, Verbindungsparameter und die Authentifizierungsdaten benötigt. Diese Informationen werden im Standardfall aus den Verbindungsdaten der Datenbank ermittelt. Arbeitet der Jobserver über einen Anwendungsserver müssen Sie zusätzliche Verbindungsinformationen im Designer konfigurieren. Ausführliche Informationen zum Einrichten des Jobservers finden Sie im One Identity Manager Konfigurationshandbuch.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.

  1. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein.

  2. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.

    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.

      • Server: Bezeichnung des Jobservers.

      • Queue: Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder Jobserver innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      • Vollständiger Servername: Vollständiger Servername gemäß DNS Syntax.

        Syntax:

        <Name des Servers>.<Vollqualifizierter Domänenname>

      HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.

  1. Auf der Seite Maschinenrollen wählen Sie SAP R/3.

  2. Auf der Seite Serverfunktionen wählen Sie SAP R/3 Konnektor.

  3. Auf der Seite Dienstkonfiguration erfassen Sie die Verbindungsinformationen und prüfen Sie die Konfiguration des One Identity Manager Service.

    HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.

    • Für eine direkte Verbindung zu Datenbank:

      1. Wählen Sie Prozessabholung > sqlprovider

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank.

    • Für eine Verbindung zum Anwendungsserver:

      1. Wählen Sie Prozessabholung, klicken Sie die Schaltfläche Einfügen und wählen Sie AppServerJobProvider.

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zum Anwendungsserver.

      4. Klicken Sie auf den Eintrag Authentifizierungsdaten und klicken Sie die Schaltfläche Bearbeiten.

      5. Wählen Sie das Authentifizierungsmodul. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  4. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.

  1. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  2. Auf der Seite Installationsquelle festlegen prüfen Sie das Verzeichnis mit den Installationsdateien. Ändern Sie gegebenenfalls das Verzeichnis.

  3. Wenn die Datenbank verschlüsselt ist, wählen Sie auf der Seite Datenbankschlüsseldatei auswählen die Datei mit dem privaten Schlüssel.

  4. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.

    • Computer: Erfassen Sie den Namen oder die IP-Adresse des Servers, auf dem der Dienst installiert und gestartet wird.

    • Dienstkonto: Erfassen Sie die Angaben zum Benutzerkonto unter dem der One Identity Manager Service läuft. Erfassen Sie das Benutzerkonto, das Kennwort zum Benutzerkonto und die Kennwortwiederholung.

    Die Installation des Dienstes erfolgt mit dem Benutzerkonto, mit dem Sie an der administrativen Arbeitsstation angemeldet sind. Möchten Sie ein anderes Benutzerkonto für die Installation des Dienstes nutzen, können Sie dieses in den erweiterten Optionen eintragen. Angaben zum One Identity Manager Service können Sie ebenfalls über die erweiterten Optionen ändern, beispielsweise das Installationsverzeichnis, den Namen, den Anzeigenamen und die Beschreibung für den One Identity Manager Service.

  5. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  6. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung One Identity Manager Service in der Dienstverwaltung des Servers eingetragen.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen