Sperren von SAP Benutzerkonten
Wie Sie Benutzerkonten sperren, ist abhängig von der Art der Verwaltung der Benutzerkonten.
Szenario:
Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.
Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte SAPUser.U_Flag.
Szenario:
Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.
Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden gesperrt, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.
-
Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person gesperrt, wenn die Person zeitweilig oder dauerhaft deaktiviert wird. Auf diese Benutzerkonten können die Aufgaben Benutzerkonto sperren und Benutzerkonto entsperren nicht angewendet werden.
-
Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.
Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren
-
Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Benutzerkonto sperren.
-
Schließen Sie die Meldung mit OK.
Szenario:
Benutzerkonten sind nicht mit Personen verbunden.
Um ein Benutzerkonto zu sperren, das nicht mit einer Person verbunden ist
-
Wählen Sie im Manager die Kategorie SAP R/3 > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Benutzerkonto sperren.
-
Schließen Sie die Meldung mit OK.
Es wird ein Prozess generiert, der diese Änderung am Benutzerkonto in das Zielsystem publiziert. Sobald die Sperrung in das Zielsystem publiziert wurde, ist die Option Benutzerkonto gesperrt auf dem Stammdatenformular, Tabreiter Logondaten aktiviert. Der Benutzer kann sich nicht mehr mit diesem Benutzerkonto am Zielsystem anmelden.
Um ein Benutzerkonto zu entsperren
- Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
- Wählen Sie in der Ergebnisliste das Benutzerkonto.
- Wählen Sie die Aufgabe Benutzerkonto entsperren.
- Schließen Sie die Meldung mit OK.
Es wird ein Prozess generiert, der diese Änderung in das Zielsystem publiziert. Die Option Benutzerkonto gesperrt wird deaktiviert, sobald der Prozess erfolgreich beendet wurde.
Detaillierte Informationen zum Thema
Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Verwandte Themen
Löschen und Wiederherstellen von SAP Benutzerkonten
HINWEIS: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.
Um ein Benutzerkonto zu löschen
- Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
- Wählen Sie in der Ergebnisliste das Benutzerkonto.
- Klicken Sie
, um das Benutzerkonto zu löschen.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Um ein Benutzerkonto wiederherzustellen
- Wählen Sie die Kategorie SAP R/3 | Benutzerkonten.
- Wählen Sie in der Ergebnisliste das Benutzerkonto.
- Klicken Sie in der Ergebnisliste
.
Konfigurieren der Löschverzögerung
Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Die Löschverzögerung hat keinen Einfluss auf die Anmeldeerlaubnis in den zugeordneten Tochtermandanten einer .
Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.
-
Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.
Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle SAPUser in der Eigenschaft Löschverzögerungen [Tage].
-
Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.
Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle SAPUser ein Skript (Löschverzögerung).
Beispiel:
Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.
If $IsPrivilegedAccount:Bool$ Then
End If
Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.
Erfassen von externen Benutzerkennungen für ein SAP Benutzerkonto
In einer SAP R/3-Umgebung können externe Authentifizierungsmechanismen zu Anmeldung an einem System genutzt werden. Der One Identity Manager ermöglicht die Pflege der Anmeldedaten für die Anmeldung von Benutzern externer Systeme, wie beispielsweise Active Directory, an einer SAP R/3-Umgebung.
Mit dem One Identity Manager können externe Benutzerkennungen erfasst und gelöscht werden. Für bestehende Benutzerkennungen kann nur die Option "Konto ist aktiviert" bearbeitet werden.
Um externe Kennungen zu erfassen
- Wählen Sie die Kategorie SAP R/3 | Externe Kennungen.
- Wählen Sie in der Ergebnisliste die externe Kennung. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- ODER -
Klicken Sie in der Ergebnisliste 
.
- Erfassen Sie auf dem Stammdatenformular die benötigten Daten.
- Speichern Sie die Änderungen.
Für eine externe Benutzerkennung erfassen Sie folgende Daten.
Tabelle 54: Eigenschaften einer externen Kennung
| Externe Benutzerkennung |
Anmeldename, mit dem sich der Benutzer am externen System anmeldet. Die Syntax ist abhängig von der gewählten Authentifizierungsart. Die vollständige Benutzerkennung wird per Bildungsregel zusammengesetzt.
Hinweis: Das BAPI des One Identity Manager nutzt für die Generierung der Benutzerkennung die Standardeinstellungen des Programmes RSUSREXT, das heißt der Benutzername wird der externen Kennung nachgestellt. Der in der Schnittstelle bereitgestellte Wert wird als Präfix übergeben.
Wenn Ihre SAP R/3-Umgebung andere als diese Standardeinstellungen nutzt, passen Sie die Bildungsregel für die Spalte SAPUserExtId.EXTID entsprechend an. |
| Typ der externen Kennung |
Authentifizierungsart für den externen Benutzer. Daraus ergibt sich die Syntax für die externe Kennung.
Tabelle 55: Typen für externe Kennungen
|
Definierter Name für X.509 |
Die Anmeldung erfolgt über den Distinguished Name für X.509. |
|
Windows NTLM oder Kennwortverifizierung |
Die Anmeldung erfolgt über Windows NT Lan Manager oder Kennwortverifizierung mit dem Windows-Domänen-Controller. |
| LDAP-Bind <benutzerdefiniert> |
Die Anmeldung erfolgt über LDAP Bind (für andere externe Authentifizierungsmechanismen). |
| SAML Token |
Die Authentifizierung erfolgt über ein SAML-Token-Profil. |
Der Standardtyp ist im Konfigurationsparameter "TargetSystem\SAPR3\Accounts\ExtID_Type" festgelegt. |
| Zielsystemtyp |
Wird zusammen mit dem Typ der externen Kennung zur Überprüfung der Anmeldedaten herangezogen. Der Standardwert ist im Konfigurationsparameter "TargetSystem\SAPR3\Accounts\TargetSystemID" festgelegt. Zulässige Werte sind ADSACCOUNT und NTACCOUNT. |
| Konto ist aktiviert |
Angabe, ob sich der Benutzer über ein externes Authentifizierungssystem am System anmelden kann. |
| Benutzerkonto |
Zuordnung der externen Kennung zu einem Benutzerkonto. |
| Laufende Nummer |
Laufende Nummer, wenn ein Benutzerkonto mehrere externe Kennungen besitzt. |
| Gültig von |
Datum, ab dem die externe Benutzerkennung gültig ist. |
Verwandte Themen
SAP Gruppen, SAP Rollen und SAP Profile
Um den Benutzerkonten die benötigten Berechtigungen zur Verfügung zu stellen, werden im One Identity Manager Gruppen, Rollen und Profile abgebildet. Gruppen, Rollen und Profile können im One Identity Manager an Benutzerkonten zugewiesen, bestellt oder über hierarchische Rollen vererbt werden. Es können keine Gruppen, Rollen oder Profile neu angelegt oder gelöscht werden.
Gruppen
Mit der Zuordnung von Benutzerkonten zu Gruppen können Sie die Pflege der Benutzerkonten auf unterschiedliche Benutzeradministratoren verteilen.
Rollen
Eine Rolle umfasst alle Transaktionen und Benutzermenüs, die ein SAP Benutzer für seine Aufgaben benötigt. Rollen werden in Einzelrollen und Sammelrollen unterschieden. Einzelrollen können in Sammelrollen zusammengefasst werden. Die Mitgliedschaft eines Benutzerkontos in den Rollen kann zeitlich begrenzt sein.
Profile
Über Profile werden die Zugriffsrechte auf das System geregelt. Profile werden über Einzelrollen oder direkt an Benutzerkonten zugewiesen. Profile können zu Sammelprofilen zusammengefasst sein.
