Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Synchronisationsprojekt bearbeiten

Synchronisationsprojekte, in denen ein Mandant bereits als Basisobjekt verwendet wird, können auch über den Manager geöffnet werden. In diesem Modus können beispielsweise die Konfigurationseinstellungen überprüft oder die Synchronisationsprotokolle eingesehen werden. Der Synchronization Editor wird nicht mit seinem vollen Funktionsumfang gestartet. Verschiedene Funktionen, wie Simulieren oder Ausführen einer Synchronisation, Starten des Zielsystembrowsers und andere, können nicht ausgeführt werden.

HINWEIS: Der Manager ist währenddessen für die Bearbeitung gesperrt. Um Objekte im Manager bearbeiten zu können, schließen Sie den Synchronization Editor.

Um ein bestehendes Synchronisationsprojekt im Synchronization Editor zu öffnen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste den Mandanten. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Wählen Sie die Aufgabe Synchronisationsprojekt bearbeiten....
Detaillierte Informationen zum Thema
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Verwandte Themen

SAP Benutzerkonten

Mit dem One Identity Manager können Sie die Benutzerkonten einer SAP R/3-Umgebung verwalten. Dabei konzentriert sich der One Identity Manager auf die Einrichtung und Bearbeitung von SAP Benutzerkonten. Um den SAP Benutzerkonten die benötigten Berechtigungen zur Verfügung zu stellen, werden im One Identity Manager Gruppen, Rollen und Profile abgebildet. Zusätzlich werden die benötigten Daten zur Systemvermessung abgebildet. Im One Identity Manager werden die Daten zur Systemvermessung zur Verfügung gestellt, die eigentliche Vermessung erfolgt jedoch in der SAP R/3-Umgebung.

Werden Benutzerkonten in der SAP R/3-Umgebung über die Zentrale Benutzerverwaltung (ZBVGeschlossen) administriert, kann den Benutzerkonten im One Identity Manager der Zugriff auf die Tochtersysteme gewährt und entzogen werden.

HINWEIS: Folgende Benutzerkonten werden bei der Synchronisation in die One Identity Manager-Datenbank eingelesen, können im One Identity Manager jedoch nicht bearbeitet, angelegt oder gelöscht werden.

  • sap*

  • sapcpic

  • sapjsf

  • ddic

  • j2ee_admin

  • j2ee_guest

  • sladpiuser

  • slddsuser

  • adsuser

  • ads_agent

  • tmsadm

  • earlywatch

Änderungen an diesen Benutzerkonten können ausschließlich in der SAP R/3-Umgebung vorgenommen und durch eine anschließende Synchronisation in den One Identity Manager übernommen werden.

Detaillierte Informationen zum Thema

Benutzerkonten mit Identitäten verbinden

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Identitäten mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager-Datenbank eingelesen und mit den Identitäten verbunden werden. Für jede Identität kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Identitäten werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager-Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Identität mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Identitäten und ihre Benutzerkonten zu verknüpfen:

  • Identitäten erhalten ihre Benutzerkonten automatisch über Kontendefinitionen.

    Hat eine Identität noch kein Benutzerkonto in einem Mandanten, wird durch die Zuweisung der Kontendefinition an eine Identität über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

    Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Identitäten festlegen.

  • Beim Einfügen eines Benutzerkontos wird automatisch eine vorhandene Identität zugeordnet oder im Bedarfsfall eine neue Identität erstellt. Dabei werden die Identitätenstammdaten anhand vorhandener Benutzerkontenstammdaten erzeugt. Dieser Mechanismus kann eingesetzt werden, wenn ein neues Benutzerkonto manuell oder durch eine Synchronisation erstellt wird. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Für die automatische Identitätenzuordnung definieren Sie Kriterien, anhand derer die Identitäten ermittelt werden sollen.

  • Identitäten und Benutzerkonten können manuell erfasst und einander zugeordnet werden.

Verwandte Themen

Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Identitäten und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Unterstützte Typen von Benutzerkonten

Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.

Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.

  • Identitätstyp

    Mit der Eigenschaft Identitätstyp (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.

    Tabelle 39: Identitätstypen von Benutzerkonten
    Identitätstyp Beschreibung Wert der Spalte IdentityType

    Primäre Identität

    Standardbenutzerkonto einer Identität.

    Primary

    Organisatorische Identität

    Sekundäres Benutzerkonto, welches für unterschiedliche Rollen im Unternehmen verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

    Organizational

    Persönliche Administratoridentität

    Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird.

    Admin

    Zusatzidentität

    Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

    Sponsored

    Gruppenidentität

    Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird.

    Shared

    Dienstidentität

    Dienstkonto.

    Service

  • Privilegiertes Benutzerkonto

    Privilegierte Benutzerkonten werden eingesetzt, um Identitäten mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

Standardbenutzerkonten

In der Regel erhält jede Identität ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Identität. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Identität an die Benutzerkonten konfiguriert werden.

Um Standardbenutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.

  2. Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  3. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Identität ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_SAPGrp, IsGroupAccount_SAPProfile und IsGroupAccount_SAPRole den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.

  4. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  5. Weisen Sie die Kontendefinition an die Identitäten zu.

    Durch die Zuweisung der Kontendefinition an eine Identität wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Administrative Benutzerkonten

Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.

Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.

HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.

Administrative Benutzerkonten können Sie als Persönliche Administratoridentität oder als Gruppenidentität kennzeichnen. Um die Identitäten, welche diese Benutzerkonten nutzen, mit den benötigten Berechtigungen zu versorgen, gehen Sie folgendermaßen vor.

  • Persönliche Administratoridentität

    1. Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Identität.

      Nutzen Sie eine Identität mit demselben Identitätstyp oder erstellen Sie eine neue Identität.

    2. Weisen Sie diese Identität an hierarchische Rollen zu.

  • Gruppenidentität

    1. Weisen Sie dem Benutzerkonto alle Identitäten mit Nutzungsberechtigungen zu.

    2. Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Pseudo-Identität.

      Nutzen Sie eine Identität mit demselben Identitätstyp oder erstellen Sie eine neue Identität.

    3. Weisen Sie diese Pseudo-Identität an hierarchische Rollen zu.

    Das Benutzerkonto erhält seine Berechtigungen über die Pseudo-Identität.

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Identitäten mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Identität ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie Abbildungsvorschriften für die Spalten IsGroupAccount_SAPGrp, IsGroupAccount_SAPProfile und IsGroupAccount_SAPRole mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Identitäten zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Identität wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen