Werden Benutzerkonten über die Zentrale Benutzerverwaltung administriert, können SAP Rollen und Profile nur dann an Benutzerkonten vererbt werden, wenn die Benutzerkonten eine Zugriffsberechtigung für die Mandaten haben, zu denen die Rollen und Profile gehören. Standardmäßig werden die Rollen und Profile nur dann an die Benutzerkonten vererbt, wenn der Zugriff auf die Mandanten explizit gewährt wurde. Andernfalls werden die Rollen und Profile nicht vererbt.
Den Benutzerkonten kann der fehlende Zugriff auf einen Mandanten automatisch gewährt werden, sobald eine Rolle oder ein Profil aus diesem Mandanten vererbt wird.
Um Benutzerkonten fehlende Zugriffsberechtigungen automatisch zu gewähren
Bei der Vererbungsberechnung wird die fehlende Zugriffsberechtigung erteilt (Eintrag in der Tabelle SAPUserMandant) und die Rollen und Profile werden an die Benutzerkonten zugewiesen.
|
VORSICHT: Da die Vererbung ein automatisierter Prozess ist, können Benutzerkonten somit die Zugriffsberechtigung für Mandanten erhalten, ohne dass die Zielsystemverantwortlichen davon erfahren. |
Verwandte Themen
Um einen Überblick über eine Gruppe zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Gruppen.
- Wählen Sie in der Ergebnisliste die Gruppe.
- Wählen Sie die Aufgabe Überblick über die SAP Gruppe.
Um einen Überblick über ein Profil zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Profile.
- Wählen Sie in der Ergebnisliste das Profil.
- Wählen Sie die Aufgabe Überblick über das SAP Profil.
Um einen Überblick über eine Rolle zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Rollen.
- Wählen Sie in der Ergebnisliste die Rolle.
- Wählen Sie die Aufgabe Überblick über die SAP Rolle.
Hinweis: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.
Tabelle 62: Konfigurationsparameter für die bedingte Vererbung
QER | Structures | Inherite | GroupExclusion |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Konfigurationsparameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Konfigurationsparameter erfordert eine Kompilierung der Datenbank. |
Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
- Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
- Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in den Tabellen SAPUserInSAPGrp und BaseTreeHasSAPGrp über die Spalte XIsInEffect abgebildet.
Beispiel: Wirksamkeit von Gruppenmitgliedschaften
- In einem Mandanten ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
- Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.
Clara Harris hat ein Benutzerkonto in diesem Mandanten. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.
Tabelle 63: Festlegen der ausgeschlossenen Gruppen (Tabelle SAPGrpExclusion)
Gruppe A |
|
Gruppe B |
Gruppe A |
Gruppe C |
Gruppe B |
Tabelle 64: Wirksame Zuweisungen
Ben King |
Marketing |
Gruppe A |
Jan Bloggs |
Marketing, Finanzen |
Gruppe B |
Clara Harris |
Marketing, Finanzen, Kontrollgruppe |
Gruppe C |
Jenny Basset |
Marketing, Kontrollgruppe |
Gruppe A, Gruppe C |
Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.
Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.
Tabelle 65: Ausgeschlossene Gruppen und wirksame Zuweisungen
Jenny Basset
|
Marketing |
Gruppe A |
|
Gruppe C
|
Kontrollgruppe |
Gruppe C |
Gruppe B
Gruppe A |
Voraussetzungen
-
Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.
Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Sich ausschließende Gruppen, Rollen und Profile gehören zum selben Mandanten.
Um Gruppen auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen.
-
Wählen Sie in der Ergebnisliste eine Gruppe.
-
Wählen Sie die Aufgabe Gruppen ausschließen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Um Rollen auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Rollen.
-
Wählen Sie in der Ergebnisliste die Rolle.
-
Wählen Sie die Aufgabe SAP Rollen ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Rollen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Um Profile auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Profile.
-
Wählen Sie in der Ergebnisliste das Profil.
-
Wählen Sie die Aufgabe Profile ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Profile, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.