Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

SAP Gruppen, SAP Rollen und SAP Profile in Systemrollen aufnehmen

Installierte Module: Systemrollenmodul

Gruppen, Rollen und Profile können in verschiedene Systemrollen aufgenommen werden. Wenn Sie eine Systemrolle an Personen zuweisen, werden die Gruppen, Rollen und Profile an alle SAP Benutzerkonten vererbt, die diese Personen besitzen. Systemrollen, in der ausschließlich SAP Gruppen, Rollen oder Profile zusammengefasst sind, können mit dem Systemrollentyp „SAP Produkt“ gekennzeichnet werden. Gruppen, Rollen und Profile können auch in Systemrollen aufgenommen werden, die keine SAP Produkte sind.

Hinweis: Es können nur solche Profile an Systemrollen zugewiesen werden, die keiner SAP Rolle zugeordnet sind.
Hinweis: Gruppen, Rollen und Profile, bei denen die Option Verwendung nur im IT Shop aktiviert ist, können nur an Systemrollen zugewiesen werden, bei denen diese Option ebenfalls aktiviert ist. Ausführliche Informationen über die Bereitstellung von Systemrollen im IT Shop finden Sie im One Identity Manager Administrationshandbuch für Systemrollen.

Um eine Gruppe an Systemrollen zuzuweisen

  1. Wählen Sie die Kategorie SAP R/3 | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Systemrollen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemrollen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Systemrollen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Systemrolle und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Um eine Rolle an Systemrollen zuzuweisen

  1. Wählen Sie die Kategorie SAP R/3 | Rollen.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe Systemrollen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemrollen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Systemrollen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Systemrolle und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Um ein Profil an Systemrollen zuzuweisen

  1. Wählen Sie die Kategorie SAP R/3 | Profile.
  2. Wählen Sie in der Ergebnisliste das Profil.
  3. Wählen Sie die Aufgabe Systemrollen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemrollen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Systemrollen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Systemrolle und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

SAP Gruppen, SAP Rollen und SAP Profile in den IT Shop aufnehmen

Hinweis: Es können nur solche Profile an IT Shop Regale zugewiesen werden, die keiner SAP Rolle zugeordnet sind.

Mit der Zuweisung einer Gruppe, einer Rolle oder eines Profils an ein IT Shop Regal kann sie von den Kunden des Shops bestellt werden. Für die Bestellbarkeit sind weitere Voraussetzungen zu gewährleisten.

  • Die Gruppe , die Rolle oder das Profil muss mit der Option IT Shop gekennzeichnet sein.

  • Der Gruppe , der Rolle oder dem Profil muss eine Leistungsposition zugeordnet sein.

    TIPP: Im Web Portal werden alle bestellbaren Produkte nach Servicekategorien zusammengestellt. Damit die Gruppe, die Rolle oder das Profil im Web Portal leichter gefunden werden kann, weisen Sie der Leistungsposition eine Servicekategorie zu.

  • Soll die Gruppe, die Rolle oder das Profil nur über IT Shop-Bestellungen an Personen zugewiesen werden können, muss die Gruppe, die Rolle oder das Profil zusätzlich mit der Option Verwendung nur im IT Shop gekennzeichnet sein. Eine direkte Zuweisung an hierarchische Rollen oder Benutzerkonten ist dann nicht mehr zulässig.

HINWEIS: Bei rollenbasierter Anmeldung können die IT Shop Administratoren Gruppen, Rollen und Profile an IT Shop Regale zuweisen. Zielsystemadministratoren sind nicht berechtigt Gruppen, Rollen und Profile in den IT Shop aufzunehmen.

Um eine Gruppe, eine Rolle oder ein Profil in den IT Shop aufzunehmen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppe, die Rolle oder das Profil an die IT Shop Regale zu.

  6. Speichern Sie die Änderungen.

Um eine Gruppe, eine Rolle oder ein Profil aus einzelnen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Entfernen Sie im Bereich Zuordnungen entfernen die Gruppe, die Rolle oder das Profil aus den IT Shop Regalen.

  6. Speichern Sie die Änderungen.

Um eine Gruppe, eine Rolle oder ein Profil aus allen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen oder SAP R/3 > Rollen oder SAP R/3 > Profile (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > SAP Gruppen oder Berechtigungen > SAP Rollen oder Berechtigungen > SAP Profile (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe, die Rolle oder das Profil.

  3. Wählen Sie die Aufgabe Entfernen aus allen Regalen (IT Shop).

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  5. Klicken Sie OK.

    Die Gruppe , die Rolle oder das Profil wird durch den One Identity Manager Service aus allen Regalen entfernt. Dabei werden sämtliche Bestellungen und Zuweisungsbestellungen mit dieser Gruppe, dieser Rolle oder diesem Profil abbestellt.

Ausführliche Informationen zur Bestellung von Unternehmensressourcen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwandte Themen

Zuordnung und Vererbung von SAP Profilen und SAP Rollen an SAP Benutzerkonten

Die nachfolgenden SAP-seitigen Einschränkungen beeinflussen die Zuordnung und die Vererbung der Profile und Rollen an Benutzerkonten im One Identity Manager.

  • Sammelprofile können aus 0..n Profilen oder Sammelprofilen zusammengesetzt sein. Wird ein Benutzerkonto einem Sammelprofil zugeordnet, so liefert das Zielsystem jeweils nur die Mitgliedschaft des Benutzers im zugeordneten Sammelprofil, jedoch nicht die Mitgliedschaft in untergeordneten Profilen.

  • Einzelrollen können aus 0..n Profilen zusammengesetzt sein. Es können nur Profile zugeordnet sein, die keine Sammelprofile sind. Profile, die einer Einzelrolle zugewiesen sind, können nicht mehr an ein Benutzerkonto zugewiesen werden.

  • Sammelrollen können aus 0..n Einzelrollen zusammengesetzt sein. Die Zuweisung von Profilen oder Sammelprofilen an Sammelrollen ist nicht möglich.

Aus diesen Einschränkungen ergeben sich folgende Besonderheiten:

In der Zuordnung:

  • Die Zuordnung von Profilen, die an Einzelrollen zugewiesen sind, an Benutzerkonten, Systemrollen, hierarchische Rollen und Personen wird per Trigger unterbunden.

Im Vererbungsverhalten:

  • Ist einem Benutzerkonto eine Sammelrolle zugeordnet, die Einzelrollen besitzt, dann werden die Einzelrollen nicht in die Tabelle SAPUserInSAPRole übernommen.

  • Ist einem Benutzerkonto eine Einzelrolle zugeordnet, die Profile besitzt, dann werden die Profile nicht in die Tabelle SAPUserInSAPProfile übernommen.

  • Ist einem Benutzerkonto eine Einzelrolle zugeordnet und ist diese Einzelrolle Bestandteil einer Sammelrolle, die dem Benutzerkonto ebenfalls zugewiesen ist, dann wird die Einzelrolle unter folgenden Bedingungen nicht in die Tabelle SAPUserInSAPRole übernommen:

    • Der Gültigkeitszeitraum beider Zuweisungen ist identisch.

      - ODER -

    • Der Konfigurationsparameter TargetSystem | SAPR3 | KeepRedundantProfiles ist deaktiviert.

  • Ist einem Benutzerkonto ein Sammelprofil zugeordnet, das untergeordnete Profile besitzt, dann werden die untergeordneten Profile nicht in die Tabelle SAPUserInSAPProfile übernommen. Wenn ein untergeordnetes Profil dem Benutzerkonto zusätzlich direkt zugewiesen ist, dann enthält die Tabelle SAPUserInSAPProfile auch diese Direktzuweisung.

Erhält ein Benutzerkonto Rollen oder Profile zusätzlich über einen Referenzbenutzer, dann werden diese Rollen oder Profile nur für den Referenzbenutzer in die Tabellen SAPUserInSAPRole und SAPUserInSAPProfile übernommen. Bei der Berechnung der Unternehmensressourcen, die einer Person zugewiesen sind (Tabelle PersonHasObject), werden auch die Rollen und Profile berücksichtigt, die ein Benutzerkonto über Einzelrollen, Sammelrollen, Sammelprofile und Referenzbenutzer erbt.

Verwandte Themen

Zuweisung von Einzelrollen konfigurieren

In der Tabelle SAPUserInSAPRole werden nur direkt zugewiesene Einzel- und Sammelrollen abgebildet. Die Zuordnungen von Einzelrollen an Sammelrollen sind in der Tabelle SAPCollectionRPG abgebildet. Über beide Tabellen zusammen kann ermittelt werden, welche Einzelrollen einem Benutzerkonto indirekt zugewiesen sind.

Für die Vererbung von Einzelrollen an Benutzerkonten gilt standardmäßig: Ist einem Benutzerkonto eine Einzelrolle zugewiesen und ist diese Einzelrolle Bestandteil einer Sammelrolle, die dem Benutzerkonto ebenfalls zugewiesen ist, dann wird die Zuweisung der Einzelrolle zusätzlich in der Tabelle SAPUserInSAPRole abgebildet, wenn der Gültigkeitszeitraum der zugewiesenen Einzel- und Sammelrolle nicht identisch ist.

Um Mitgliedschaften in Einzelrollen nicht in der Tabelle SAPUserInSAPRole abzubilden, wenn die Einzelrollen Bestandteil von zugewiesenen Sammelrollen sind

  • Deaktivieren Sie im Designer den Konfigurationsparameter TargetSystem | SAPR3 | KeepRedundantProfiles.

    Die Tabelle enthält nur die Mitgliedschaft in der Sammelrolle.

Wirkung des Konfigurationsparameters KeepRedundantProfiles

Einem Benutzerkonto ist eine Einzelrolle zugewiesen sowie eine Sammelrolle, welche diese Einzelrolle enthält.

  • Der Konfigurationsparameter ist aktiviert. Beide Rollenzuweisungen haben einen unterschiedlichen Gültigkeitszeitraum.

    Die Tabelle SAPUserInSAPRole enthält sowohl die Zuweisung der Sammelrolle als auch die Zuweisung der Einzelrolle.

  • Der Konfigurationsparameter ist aktiviert. Beide Rollenzuweisungen haben den gleichen Gültigkeitszeitraum.

    Die Tabelle SAPUserInSAPRole enthält nur die Zuweisung der Sammelrolle.

  • Der Konfigurationsparameter ist deaktiviert.

    Die Tabelle SAPUserInSAPRole enthält nur die Zuweisung der Sammelrolle. Das gilt unabhängig vom Gültigkeitszeitraum beider Rollenzuweisungen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating