Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Zusätzliche Aufgaben zur Verwaltung der SAP Gruppen, SAP Rollen und SAP Profile

Nachdem Sie die Stammdaten erfasst haben, können Sie die folgenden Aufgaben ausführen.

Überblick über die SAP Gruppen, SAP Rollen, SAP Profile

Um einen Überblick über eine Gruppe zu erhalten

  1. Wählen Sie die Kategorie SAP R/3 | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Überblick über die SAP Gruppe.

Um einen Überblick über ein Profil zu erhalten

  1. Wählen Sie die Kategorie SAP R/3 | Profile.
  2. Wählen Sie in der Ergebnisliste das Profil.
  3. Wählen Sie die Aufgabe Überblick über das SAP Profil.

Um einen Überblick über eine Rolle zu erhalten

  1. Wählen Sie die Kategorie SAP R/3 | Rollen.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe Überblick über die SAP Rolle.

Wirksamkeit von SAP Gruppen, SAP Rollen und SAP Profilen

Hinweis: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.
Tabelle 60: Konfigurationsparameter für die bedingte Vererbung
Konfigurationsparameter Wirkung bei Aktivierung

QER | Structures | Inherite | GroupExclusion

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Konfigurationsparameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Konfigurationsparameter erfordert eine Kompilierung der Datenbank.

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Identität zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.

Die Wirksamkeit der Zuweisungen wird in den Tabellen SAPUserInSAPGrp und BaseTreeHasSAPGrp über die Spalte XIsInEffect abgebildet.

Beispiel: Wirksamkeit von Gruppenmitgliedschaften
  • In einem Mandanten ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in diesem Mandanten. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Identität sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Identität, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 61: Festlegen der ausgeschlossenen Gruppen (Tabelle SAPGrpExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 62: Wirksame Zuweisungen

Identität

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 63: Ausgeschlossene Gruppen und wirksame Zuweisungen

Identität

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

Gruppe B

Gruppe A

Voraussetzungen
  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sich ausschließende Gruppen, Rollen und Profile gehören zum selben Mandanten.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.

Um Rollen auszuschließen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Rollen.

  2. Wählen Sie in der Ergebnisliste die Rolle.

  3. Wählen Sie die Aufgabe SAP Rollen ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Rollen, die sich nicht länger ausschließen.

  4. Speichern Sie die Änderungen.

Um Profile auszuschließen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Profile.

  2. Wählen Sie in der Ergebnisliste das Profil.

  3. Wählen Sie die Aufgabe Profile ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Profile, die sich nicht länger ausschließen.

  4. Speichern Sie die Änderungen.

Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen anhand von Kategorien

HINWEIS: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.

Im One Identity Manager können Gruppen selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält verschiedene Tabellen. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 63.

Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.

HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.

Tabelle 64: Beispiele für Kategorien
Kategorieposition Kategorien für Benutzerkonten Kategorien für Gruppen
1 Standardbenutzer Standardberechtigung
2 Systembenutzer Systembenutzerberechtigung
3 Systemadministrator Systemadministratorberechtigung

Abbildung 5: Beispiel für die Vererbung über Kategorien

Um die Vererbung über Kategorien zu nutzen

  1. Definieren Sie am Mandanten die Kategorien.

    HINWEIS: Wenn eine Zentrale Benutzerverwaltung eingesetzt wird, definieren Sie die Kategorien sowohl am Zentralsystem als auch an den Tochtersystemen. Damit Gruppen aus einem Tochtersystem an Benutzerkonten vererbt werden können, müssen an den Tochtersystemen die selben Kategorien definiert sein wie am Zentralsystem.

  2. Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.

  3. Weisen Sie die Kategorien den Gruppen, Rollen und Profilen über ihre Stammdaten zu.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen