Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Identitätenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Die Kriterien für die Identitätenzuordnung werden am Mandanten definiert. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Identität übereinstimmen müssen, damit die Identität dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken.

Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte Suchkriterien für die automatische Identitätenzuordnung (AccountToPersonMatchingRule) der Tabelle SAPMandant geschrieben.

Die Suchkriterien werden bei der automatischen Zuordnung von Identitäten zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Identitätenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Um Kriterien für die Identitätenzuordnung festzulegen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste den Mandanten.
  3. Wählen Sie die Aufgabe Suchkriterien für die Identitätenzuordnung definieren.
  4. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Identität übereinstimmen müssen, damit die Identität mit dem Benutzerkonto verbunden wird.
    Tabelle 51: Standardsuchkriterien für Benutzerkonten
    Anwenden auf Spalte an Identität Spalte am Benutzerkonto
    SAP Benutzerkonten des Typs "Dialog" Zentrales SAP Benutzerkonto (CentralSAPAccount) Benutzerkonto (Accnt)
  5. Speichern Sie die Änderungen.
Direkte Zuordnung von Identitäten an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich Zuordnungen können Sie anhand der Suchkriterien eine Vorschlagsliste für die Identitätenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 52: Ansichten zur manuellen Zuordnung

Ansicht

Beschreibung

Vorgeschlagene Zuordnungen

Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Identität zuordnen kann. Dazu werden die Identitäten angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.

Zugeordnete Benutzerkonten

Die Ansicht listet alle Benutzerkonten auf, denen eine Identität zugeordnet ist.

Ohne Identitätenzuordnung

Die Ansicht listet alle Benutzerkonten auf, denen keine Identität zugeordnet ist und für die über die Suchkriterien keine passende Identität ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Identität geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Identitäten direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Identität zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Identitäten zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Identitätenzuordnung.
    1. Klicken Sie Identität auswählen für das Benutzerkonto, dem eine Identität zugeordnet werden soll. Wählen Sie eine Identität aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Identitäten zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Identitäten zugeordnet, die in der Spalte Identität angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Identitätenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Identitäten entfernt.

Ausführliche Informationen zur Definition der Suchkriterien finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Automatisches Erzeugen von Abteilungen anhand von SAP Benutzerkonteninformationen

Anhand der Abteilungsinformationen der Benutzerkonten können neue Abteilungen im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen den Identitäten der Benutzerkonten als primäre Abteilung zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Identitäten über diese Zuordnungen ihre Unternehmensressourcen erhalten.

Voraussetzungen für den Einsatz dieses Verfahrens
  • Identitäten müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.
    Tabelle 53: Konfigurationsparameter für automatische Identitätenzuordnung
    Konfigurationsparameter Wirkung bei Aktivierung

    TargetSystem | SAPR3 | PersonAutoDefault

    Anhand des angegebenen Modus werden Identitäten automatisch an Benutzerkonten zugeordnet, die außerhalb der Synchronisation in der Datenbank angelegt werden.

    TargetSystem | SAPR3 | PersonAutoFullsync

    Anhand des angegebenen Modus werden Identitäten automatisch an Benutzerkonten zugeordnet, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

  • Es ist kein Synchronisationsprojekt für Personalplanungsdaten eingerichtet.

    Bei der Synchronisation von Personalplanungsdaten werden Abteilungen, die bereits aus SAP Benutzerkonteninformationen erzeugt wurden, als ausstehend markiert. Nutzen Sie das Verfahren zum automatischen Erzeugen von Abteilungen aus Benutzerkonteninformationen nur dann, wenn Abteilungen nicht durch die Synchronisation von Personalplanungsdaten in der Datenbank angelegt werden. Ausführliche Informationen zur Synchronisation von Personalplanungsdaten finden Sie im One Identity Manager Administrationshandbuch für das SAP R/3 Strukturelle Profile Add-on.

Um Abteilungen aus den Benutzerkonteninformationen zu erzeugen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | AutoCreateDepartment.

    Für alle Abteilungen, die auf diesem Weg in der One Identity Manager-Datenbank erzeugt wurden, ist als Datenquelle Import SAP R/3 angegeben (Spalte ImportSource='SAP').

Verwandte Themen

Sperren von SAP Benutzerkonten

Wie Sie Benutzerkonten sperren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte SAPUser.U_Flag.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Identitäten verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Identität gesperrt, wenn die Identität zeitweilig oder dauerhaft deaktiviert wird. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Identität keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Benutzerkonto sperren.

  4. Schließen Sie die Meldung mit OK.

Szenario: Die Benutzerkonten sind nicht mit Identitäten verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Identität verbunden ist

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Benutzerkonto sperren.

  4. Schließen Sie die Meldung mit OK.

Es wird ein Prozess generiert, der diese Änderung am Benutzerkonto in das Zielsystem publiziert. Sobald die Sperrung in das Zielsystem publiziert wurde, ist die Option Benutzerkonto gesperrt auf dem Stammdatenformular, Tabreiter Logondaten aktiviert. Der Benutzer kann sich nicht mehr mit diesem Benutzerkonto am Zielsystem anmelden.

Um ein Benutzerkonto zu entsperren

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Benutzerkonto entsperren.
  4. Schließen Sie die Meldung mit OK.

    Es wird ein Prozess generiert, der diese Änderung in das Zielsystem publiziert. Die Option Benutzerkonto gesperrt wird deaktiviert, sobald der Prozess erfolgreich beendet wurde.

Detaillierte Informationen zum Thema

Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Löschen und Wiederherstellen von SAP Benutzerkonten

HINWEIS: Solange eine Kontendefinition für eine Identität wirksam ist, behält die Identität ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht. Benutzerkonten, die als Ausstehend markiert sind, werden nur gelöscht, wenn der Konfigurationsparameter QER | Person | User | DeleteOptions | DeleteOutstanding aktiviert ist.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie , um das Benutzerkonto zu löschen.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste .
Konfigurieren der Löschverzögerung

Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Die Löschverzögerung hat keinen Einfluss auf die Anmeldeerlaubnis in den zugeordneten Tochtermandanten einer ZBVGeschlossen.

Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.

  • Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.

    Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle SAPUser in der Eigenschaft Löschverzögerungen [Tage].

  • Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.

    Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle SAPUser ein Skript (Löschverzögerung).

    Beispiel:

    Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.

    If $IsPrivilegedAccount:Bool$ Then

    Value = 10

    End If

Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen