Chatee ahora con Soporte
Chat con el soporte

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Die Kriterien für die Personenzuordnung werden am Mandanten definiert. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken.

Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte Suchkriterien für die automatische Personenzuordnung (AccountToPersonMatchingRule) der Tabelle SAPMandant geschrieben.

Die Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Um Kriterien für die Personenzuordnung festzulegen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste den Mandanten.
  3. Wählen Sie die Aufgabe Suchkriterien für die Personenzuordnung definieren.
  4. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person mit dem Benutzerkonto verbunden wird.
    Tabelle 51: Standardsuchkriterien für Benutzerkonten
    Anwenden auf Spalte an Person Spalte am Benutzerkonto
    SAP Benutzerkonten des Typs "Dialog" Zentrales SAP Benutzerkonto (CentralSAPAccount) Benutzerkonto (Accnt)
  5. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich Zuordnungen können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 52: Ansichten zur manuellen Zuordnung

Ansicht

Beschreibung

Vorgeschlagene Zuordnungen

Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.

Zugeordnete Benutzerkonten

Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.

Ohne Personenzuordnung

Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte Person angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Ausführliche Informationen zur Definition der Suchkriterien finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Automatisches Erzeugen von Abteilungen anhand von SAP Benutzerkonteninformationen

Anhand der Abteilungsinformationen der Benutzerkonten können neue Abteilungen im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen den Personen der Benutzerkonten als primäre Abteilung zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Personen über diese Zuordnungen ihre Unternehmensressourcen erhalten.

Voraussetzungen für den Einsatz dieses Verfahrens
  • Personen müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.
    Tabelle 53: Konfigurationsparameter für automatische Personenzuordnung
    Konfigurationsparameter Wirkung bei Aktivierung

    TargetSystem | SAPR3 | PersonAutoDefault

    Anhand des angegebenen Modus werden Personen automatisch an Benutzerkonten zugeordnet, die außerhalb der Synchronisation in der Datenbank angelegt werden.

    TargetSystem | SAPR3 | PersonAutoFullsync

    Anhand des angegebenen Modus werden Personen automatisch an Benutzerkonten zugeordnet, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

  • Es ist kein Synchronisationsprojekt für Personalplanungsdaten eingerichtet.

    Bei der Synchronisation von Personalplanungsdaten werden Abteilungen, die bereits aus SAP Benutzerkonteninformationen erzeugt wurden, als ausstehend markiert. Nutzen Sie das Verfahren zum automatischen Erzeugen von Abteilungen aus Benutzerkonteninformationen nur dann, wenn Abteilungen nicht durch die Synchronisation von Personalplanungsdaten in der Datenbank angelegt werden. Ausführliche Informationen zur Synchronisation von Personalplanungsdaten finden Sie im One Identity Manager Administrationshandbuch für das SAP R/3 Strukturelle Profile Add-on.

Um Abteilungen aus den Benutzerkonteninformationen zu erzeugen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | AutoCreateDepartment.

    Für alle Abteilungen, die auf diesem Weg in der One Identity Manager-Datenbank erzeugt wurden, ist als Datenquelle Import SAP R/3 angegeben (Spalte ImportSource='SAP').

Verwandte Themen

Sperren von SAP Benutzerkonten

Wie Sie Benutzerkonten sperren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte SAPUser.U_Flag.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Identitäten verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Identität gesperrt, wenn die Identität zeitweilig oder dauerhaft deaktiviert wird. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Identität keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Benutzerkonto sperren.

  4. Schließen Sie die Meldung mit OK.

Szenario: Die Benutzerkonten sind nicht mit Identitäten verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Identität verbunden ist

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Benutzerkonto sperren.

  4. Schließen Sie die Meldung mit OK.

Es wird ein Prozess generiert, der diese Änderung am Benutzerkonto in das Zielsystem publiziert. Sobald die Sperrung in das Zielsystem publiziert wurde, ist die Option Benutzerkonto gesperrt auf dem Stammdatenformular, Tabreiter Logondaten aktiviert. Der Benutzer kann sich nicht mehr mit diesem Benutzerkonto am Zielsystem anmelden.

Um ein Benutzerkonto zu entsperren

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Benutzerkonto entsperren.
  4. Schließen Sie die Meldung mit OK.

    Es wird ein Prozess generiert, der diese Änderung in das Zielsystem publiziert. Die Option Benutzerkonto gesperrt wird deaktiviert, sobald der Prozess erfolgreich beendet wurde.

Detaillierte Informationen zum Thema

Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Löschen und Wiederherstellen von SAP Benutzerkonten

HINWEIS: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie , um das Benutzerkonto zu löschen.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste .
Konfigurieren der Löschverzögerung

Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Die Löschverzögerung hat keinen Einfluss auf die Anmeldeerlaubnis in den zugeordneten Tochtermandanten einer ZBVGeschlossen.

Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.

  • Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.

    Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle SAPUser in der Eigenschaft Löschverzögerungen [Tage].

  • Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.

    Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle SAPUser ein Skript (Löschverzögerung).

    Beispiel:

    Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.

    If $IsPrivilegedAccount:Bool$ Then

    Value = 10

    End If

Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.

Documentos relacionados

The document was helpful.

Seleccionar calificación

I easily found the information I needed.

Seleccionar calificación