Bei der Synchronisation des One Identity Manager mit einer SAP R/3-Umgebung spielen folgende Benutzer eine Rolle.
Benutzer |
Berechtigungen |
---|---|
Benutzerkonto des One Identity Manager Service |
Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten. Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören. Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst. Das Benutzerkonto benötigt Berechtigungen für den internen Webservice. HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben: netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE" Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis. In der Standardinstallation wird der One Identity Manager installiert unter:
|
Benutzer für den Zugriff auf das Zielsystem (Synchronisationsbenutzer) |
Für eine vollständige Synchronisation von Objekten einer SAP R/3-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt. Benötigte Berechtigungsobjekte und ihre Ausprägungen:
Neben den aufgeführten Berechtigungen muss das Benutzerkonto alle durch den mitgelieferten Transport eingespielten Berechtigungen der Berechtigungsobjekte ZVIH_AUT, ZVIA_AUT und ZVIL_AUT erhalten. Mit diesen Berechtigungsobjekten wird die prinzipielle Ausführungsberechtigung der Funktionsbausteine gewährt. Zusätzlich sind die Berechtigungsobjekte ZVIH_OP, ZVIA_OP, ZVIL_OP zuzuordnen. Diese regeln über das Berechtigungsfeld ACTVT die Art des Zugriffes auf SAP R/3 Daten. Mögliche Werte sind 01 Hinzufügen oder Erzeugen, 02 Ändern, 03 Anzeigen, 06 Löschen. Die jeweilige Aktivität wird vor dem Datenzugriff geprüft. Das bedeutet, wenn nur die Aktivität 03 Anzeigen zugewiesen wurde, kann mit diesem Benutzerkonto keinerlei Schreiboperation über die Funktionsbausteine des One Identity Manager Business Application Programing Interface ausgeführt werden. Für die Synchronisation einer Zentralen Benutzerverwaltung werden für den Zugriff auf die Tochtersysteme zusätzlich folgende Berechtigungsobjekte benötigt:
|
Benutzer für den Zugriff auf die One Identity Manager-Datenbank |
Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt. |
Die genannten Berechtigungen werden benötigt, damit der SAP R/3 Konnektor sowohl lesend als auch schreibend auf das SAP R/3-System zugreifen kann. Soll nur ein lesender Zugriff erlaubt werden, richten sie ein Profil ein, welches zwar die Ausführungsberechtigungen auf die Transaktionen SU01 und PFCG zur Verfügung stellt, allerdings auf Aktivitäts- oder Feldebene das Schreiben verhindert. Beachten Sie dazu auch die Vergabe der Berechtigungen für Aktivitäten an den Berechtigungsobjekten ZVIH_OP, ZVIA_OP, ZVIL_OP. Im Fall eines nur lesenden Zugriffes sollte nur die Aktivität 03 Anzeigen aktiviert sein.
Um weitere Informationen auszulesen, benötigt das Benutzerkonto den Benutzertyp Dialog, Kommunikation oder System.
Hinweis: Die SAP R/3-Versionen bis einschließlich SAP Web Application Server 6.40 unterscheiden bei der Angabe von Benutzer und Kennwort nicht zwischen Groß- und Kleinschreibung. Ab SAP NetWeaver Application Server 7.0 gilt dies für Kennworte nicht mehr. Kennworte beachten die Groß- und Kleinschreibung.
Alle SAP-eigenen Werkzeuge, die bis SAP Web Application Server 6.40 ausgeliefert wurden, außer der SAP GUI (RFC-SDK, SAP .Net Connector), wandeln deshalb das Kennwort vor der Übertragung zum SAP R/3-System in Großbuchstaben um. Für das Benutzerkonto, mit welchem sich der SAP .Net Connector am SAP R/3-System authentifizieren soll, muss ein Kennwort in Großbuchstaben gesetzt werden. Danach kann mit allen gewohnten Werkzeugen per RFC auf SAP NetWeaver Application Server 7.0 zugegriffen werden.