サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung Einspielen des One Identity Manager Business Application Programing Interface Einrichten des Synchronisationsservers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV Synchronisationsergebnisse anzeigen Anpassen einer Synchronisationskonfiguration Beschleunigung der Synchronisation durch Revisionsfilterung Einschränken der Synchronisationsobjekte über Benutzerrechte Nachbehandlung ausstehender Objekte Provisionierung von Mitgliedschaften konfigurieren Einzelobjektsynchronisation konfigurieren Beschleunigung der Provisionierung und Einzelobjektsynchronisation Unterstützung bei der Analyse von Synchronisationsproblemen Deaktivieren der Synchronisation Einzelobjekte synchronisieren Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

SAP Gruppen, SAP Rollen und SAP Profile in den IT Shop aufnehmen

Hinweis: Es können nur solche Profile an IT Shop Regale zugewiesen werden, die keiner SAP Rolle zugeordnet sind.

Mit der Zuweisung einer Gruppe, einer Rolle oder eines Profils an ein IT Shop Regal kann sie von den Kunden des Shops bestellt werden. Für die Bestellbarkeit sind weitere Voraussetzungen zu gewährleisten.

  • Die Gruppe , die Rolle oder das Profil muss mit der Option IT Shop gekennzeichnet sein.

  • Der Gruppe , der Rolle oder dem Profil muss eine Leistungsposition zugeordnet sein.

    TIPP: Im Web Portal werden alle bestellbaren Produkte nach Servicekategorien zusammengestellt. Damit die Gruppe, die Rolle oder das Profil im Web Portal leichter gefunden werden kann, weisen Sie der Leistungsposition eine Servicekategorie zu.

  • Soll die Gruppe, die Rolle oder das Profil nur über IT Shop-Bestellungen an Identitäten zugewiesen werden können, muss die Gruppe, die Rolle oder das Profil zusätzlich mit der Option Verwendung nur im IT Shop gekennzeichnet sein. Eine direkte Zuweisung an hierarchische Rollen oder Benutzerkonten ist dann nicht mehr zulässig.

HINWEIS: Bei rollenbasierter Anmeldung können die IT Shop Administratoren Gruppen, Rollen und Profile an IT Shop Regale zuweisen. Zielsystemadministratoren sind nicht berechtigt Gruppen, Rollen und Profile in den IT Shop aufzunehmen.

Um eine Gruppe, eine Rolle oder ein Profil in den IT Shop aufzunehmen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppe, die Rolle oder das Profil an die IT Shop Regale zu.

  6. Speichern Sie die Änderungen.

Um eine Gruppe, eine Rolle oder ein Profil aus einzelnen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Entfernen Sie im Bereich Zuordnungen entfernen die Gruppe, die Rolle oder das Profil aus den IT Shop Regalen.

  6. Speichern Sie die Änderungen.

Um eine Gruppe, eine Rolle oder ein Profil aus allen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe Entfernen aus allen Regalen (IT Shop).

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Klicken Sie OK.

    Die Gruppe , die Rolle oder das Profil wird durch den One Identity Manager Service aus allen Regalen entfernt. Dabei werden sämtliche Bestellungen und Zuweisungsbestellungen mit dieser Gruppe, dieser Rolle oder diesem Profil abbestellt.

Ausführliche Informationen zur Bestellung von Unternehmensressourcen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwandte Themen

Zuordnung und Vererbung von SAP Profilen und SAP Rollen an SAP Benutzerkonten

Die nachfolgenden SAP-seitigen Einschränkungen beeinflussen die Zuordnung und die Vererbung der Profile und Rollen an Benutzerkonten im One Identity Manager.

  • Sammelprofile können aus 0..n Profilen oder Sammelprofilen zusammengesetzt sein. Wird ein Benutzerkonto einem Sammelprofil zugeordnet, so liefert das Zielsystem jeweils nur die Mitgliedschaft des Benutzers im zugeordneten Sammelprofil, jedoch nicht die Mitgliedschaft in untergeordneten Profilen.

  • Einzelrollen können aus 0..n Profilen zusammengesetzt sein. Es können nur Profile zugeordnet sein, die keine Sammelprofile sind. Profile, die einer Einzelrolle zugewiesen sind, können nicht mehr an ein Benutzerkonto zugewiesen werden.

  • Sammelrollen können aus 0..n Einzelrollen zusammengesetzt sein. Die Zuweisung von Profilen oder Sammelprofilen an Sammelrollen ist nicht möglich.

Aus diesen Einschränkungen ergeben sich folgende Besonderheiten:

In der Zuordnung:

  • Die Zuordnung von Profilen, die an Einzelrollen zugewiesen sind, an Benutzerkonten, Systemrollen, hierarchische Rollen und Identitäten wird per Trigger unterbunden.

Im Vererbungsverhalten:

  • Ist einem Benutzerkonto eine Sammelrolle zugeordnet, die Einzelrollen besitzt, dann werden die Einzelrollen nicht in die Tabelle SAPUserInSAPRole übernommen.

  • Ist einem Benutzerkonto eine Einzelrolle zugeordnet, die Profile besitzt, dann werden die Profile nicht in die Tabelle SAPUserInSAPProfile übernommen.

  • Ist einem Benutzerkonto eine Einzelrolle zugeordnet und ist diese Einzelrolle Bestandteil einer Sammelrolle, die dem Benutzerkonto ebenfalls zugewiesen ist, dann wird die Einzelrolle unter folgenden Bedingungen nicht in die Tabelle SAPUserInSAPRole übernommen:

    • Der Gültigkeitszeitraum beider Zuweisungen ist identisch.

      - ODER -

    • Der Konfigurationsparameter TargetSystem | SAPR3 | KeepRedundantProfiles ist deaktiviert.

  • Ist einem Benutzerkonto ein Sammelprofil zugeordnet, das untergeordnete Profile besitzt, dann werden die untergeordneten Profile nicht in die Tabelle SAPUserInSAPProfile übernommen. Wenn ein untergeordnetes Profil dem Benutzerkonto zusätzlich direkt zugewiesen ist, dann enthält die Tabelle SAPUserInSAPProfile auch diese Direktzuweisung.

Erhält ein Benutzerkonto Rollen oder Profile zusätzlich über einen Referenzbenutzer, dann werden diese Rollen oder Profile nur für den Referenzbenutzer in die Tabellen SAPUserInSAPRole und SAPUserInSAPProfile übernommen. Bei der Berechnung der Unternehmensressourcen, die einer Identität zugewiesen sind (Tabelle PersonHasObject), werden auch die Rollen und Profile berücksichtigt, die ein Benutzerkonto über Einzelrollen, Sammelrollen, Sammelprofile und Referenzbenutzer erbt.

Verwandte Themen

Zuweisung von Einzelrollen konfigurieren

In der Tabelle SAPUserInSAPRole werden nur direkt zugewiesene Einzel- und Sammelrollen abgebildet. Die Zuordnungen von Einzelrollen an Sammelrollen sind in der Tabelle SAPCollectionRPG abgebildet. Über beide Tabellen zusammen kann ermittelt werden, welche Einzelrollen einem Benutzerkonto indirekt zugewiesen sind.

Für die Vererbung von Einzelrollen an Benutzerkonten gilt standardmäßig: Ist einem Benutzerkonto eine Einzelrolle zugewiesen und ist diese Einzelrolle Bestandteil einer Sammelrolle, die dem Benutzerkonto ebenfalls zugewiesen ist, dann wird die Zuweisung der Einzelrolle zusätzlich in der Tabelle SAPUserInSAPRole abgebildet, wenn der Gültigkeitszeitraum der zugewiesenen Einzel- und Sammelrolle nicht identisch ist.

Um Mitgliedschaften in Einzelrollen nicht in der Tabelle SAPUserInSAPRole abzubilden, wenn die Einzelrollen Bestandteil von zugewiesenen Sammelrollen sind

  • Deaktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | KeepRedundantProfiles.

    Die Tabelle enthält nur die Mitgliedschaft in der Sammelrolle.

Wirkung des Konfigurationsparameters KeepRedundantProfiles

Einem Benutzerkonto ist eine Einzelrolle zugewiesen sowie eine Sammelrolle, welche diese Einzelrolle enthält.

  • Der Konfigurationsparameter ist aktiviert. Beide Rollenzuweisungen haben einen unterschiedlichen Gültigkeitszeitraum.

    Die Tabelle SAPUserInSAPRole enthält sowohl die Zuweisung der Sammelrolle als auch die Zuweisung der Einzelrolle.

  • Der Konfigurationsparameter ist aktiviert. Beide Rollenzuweisungen haben den gleichen Gültigkeitszeitraum.

    Die Tabelle SAPUserInSAPRole enthält nur die Zuweisung der Sammelrolle.

  • Der Konfigurationsparameter ist deaktiviert.

    Die Tabelle SAPUserInSAPRole enthält nur die Zuweisung der Sammelrolle. Das gilt unabhängig vom Gültigkeitszeitraum beider Rollenzuweisungen.

Verwandte Themen

Vererbung von SAP Profilen und SAP Rollen in einer Zentralen Benutzerverwaltung

Werden Benutzerkonten über die Zentrale Benutzerverwaltung administriert, können SAP Rollen und Profile nur dann an Benutzerkonten vererbt werden, wenn die Benutzerkonten eine Zugriffsberechtigung für die Mandaten haben, zu denen die Rollen und Profile gehören. Standardmäßig werden die Rollen und Profile nur dann an die Benutzerkonten vererbt, wenn der Zugriff auf die Mandanten explizit gewährt wurde. Andernfalls werden die Rollen und Profile nicht vererbt.

Den Benutzerkonten kann der fehlende Zugriff auf einen Mandanten automatisch gewährt werden, sobald eine Rolle oder ein Profil aus diesem Mandanten vererbt wird.

Um Benutzerkonten fehlende Zugriffsberechtigungen automatisch zu gewähren

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | AutoFillSAPUserMandant.

Bei der Vererbungsberechnung wird die fehlende Zugriffsberechtigung erteilt (Eintrag in der Tabelle SAPUserMandant) und die Rollen und Profile werden an die Benutzerkonten zugewiesen.

VORSICHT: Da die Vererbung ein automatisierter Prozess ist, können Benutzerkonten somit die Zugriffsberechtigung für Mandanten erhalten, ohne dass die Zielsystemverantwortlichen davon erfahren.

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択