Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten
SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um SAP Funktionen erstellen zu können, müssen die Berechtigungsobjekte und SAP Applikationen in die One Identity Manager-Datenbank eingelesen werden. Erstellen Sie für jeden Mandanten ein Synchronisationsprojekt, über das die benötigten Schematypen synchronisiert werden können. Dafür wird eine separate Projektvorlage bereitgestellt.
Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten.
HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.
Um ein Synchronisationsprojekt für SAP Berechtigungsobjekte einzurichten
-
Erstellen Sie ein initiales Synchronisationsprojekt wie im Handbuch One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung beschrieben. Es gelten folgende Besonderheiten:
HINWEIS: Die Berechtigungen in den Mandanten einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden. Erstellen Sie das Synchronisationsprojekt nur für Mandanten mit dem Status kein ZBV-System.
- Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage SAP R/3 Berechtigungsobjekte.
- Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.
Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung.
-
Konfigurieren und aktivieren Sie einen Zeitplan, um regelmäßige Synchronisationen auszuführen.
Ausführliche Informationen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Objekte der Tabelle USOBHASH werden nicht vollständig eingelesen
Bei der Synchronisation von SAP Berechtigungsobjekten werden nicht alle Objekte der Tabelle USOBHASH in die One Identity Manager-Datenbank eingelesen.
Wahrscheinliche Ursache
Geänderte Implementierung der ABAP-Funktion AUTH_TRACE_GET_USOBHASH ab der Version SAP BASIS 7.57 (SAP S/4HANA 2022).
Lösung
-
Spielen Sie den aktuellen Transport SAPTRANSPORT_70.ZIP in das zu synchronisierende SAP R/3-System ein.
Ab One Identity Manager Version 9.1.3 wird ein aktualisierter BAPI-Transport SAPTRANSPORT_70.ZIP bereitgestellt. Dieser verwendet den Funktionsbaustein /VIAENET/LISTUSOBHASH anstelle des SAP-Bausteins AUTH_TRACE_GET_USOBHASH. Beim Zugriff auf eine SAP R/3-Umgebung prüft der SAP R/3 Konnektor, ob der Funktionsbaustein /VIAENET/LISTUSOBHASH vorhanden ist und verwendet diesen. Damit werden alle Objekte der Tabelle USOBHASH synchronisiert.
Ist der Funktionsbaustein nicht vorhanden, verwendet der Konnektor den SAP-Baustein AUTH_TRACE_GET_USOBHASH.
Im Synchronisationsprotokoll wird aufgezeichnet, ob der Funktionsbaustein /VIAENET/LISTUSOBHASH verwendet wird.
Synchronisation massenhafter SAP Berechtigungen
Wenn die SAP R/3-Umgebung eine sehr große Anzahl an Berechtigungen ProfileHasAuthObjectField enthält (mehrere Millionen), kann es passieren, dass die Synchronisation nicht zum Ende kommt oder unerwartet abbricht.
Lösung
Falls die Gesamtzahl der Berechtigungen für die Verarbeitung zu umfangreich ist, kann die Synchronisation auf mehrere Synchronisationsschritte aufgeteilt werden.
Um die Synchronisation von ProfileHasAuthObjectField auf mehrere Schritte aufzuteilen
-
Bearbeiten Sie im Synchronization Editor den Synchronisationsworkflow für die Synchronisation von SAP Berechtigungsobjekten (Standard: Initial Synchronization).
-
Aktivieren Sie die Synchronisationsschritte profileHasAuthObjectFieldPart1, profileHasAuthObjectFieldPart2, profileHasAuthObjectFieldPart3 und profileHasAuthObjectFieldPart4.
-
Wenn diese Synchronisationsschritte nicht vorhanden sind, wenden Sie zuerst den Patch VPR#37380 an.
Der Patch legt diese Synchronisationsschritte in Synchronisationsprojekten an, die in einer One Identity Manager Version älter als 9.2 eingerichtet wurden.
-
Deaktivieren Sie den Synchronisationsschritt profileHasAuthObjectField.
-
Speichern Sie die Änderungen.
Bei der folgenden Synchronisation werden alle ProfileHasAuthObjectField-Objekte in vier Blöcke aufgeteilt und unabhängig voneinander verarbeitet.
Ausführliche Informationen zur Bearbeitung von Synchronisationsschritten und zum Anwenden von Patches finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Grundlagen der Berechtigungsprüfung
Neben den Möglichkeiten der Regelprüfung, bietet der One Identity Manager für SAP R/3-Zielsysteme eine detaillierte Überprüfung der effektiven Berechtigungen von SAP Benutzern an. Dafür ermittelt der One Identity Manager die detaillierten Berechtigungen aller SAP Rollen, Profile und Benutzerkonten und prüft, ob diese zulässig sind. Die Kriterien für diese Prüfung definieren Sie in den Berechtigungsdefinitionen von SAP Funktionen.
SAP Berechtigungen werden auf der Basis der für ein technisches Profil (AuthLevel) zulässigen Berechtigungsobjekte überprüft. Eine Berechtigungsdefinition fasst alle zu prüfenden Berechtigungsobjekte mit den konkreten Werten zusammen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte mit der Berechtigungsdefinition ab. Dabei wird geprüft, ob alle für ein Berechtigungsobjekt definierten Funktionselemente mit ihren Werten innerhalb eines technischen Profils vorkommen. Über die Einzelprofile, die diese technischen Profilen enthalten, werden alle SAP Rollen, Sammelprofile und Benutzerkonten ermittelt, denen diese Berechtigungsobjekte zugeordnet sind.
Eine Berechtigungsdefinition kann entweder ein einzelnes Berechtigungsobjekt enthalten oder eine komplexe Kombination aus mehreren Berechtigungsobjekten umfassen. Mehrere Berechtigungsobjekte werden durch logische Operatoren verknüpft. Die Verknüpfung aller Berechtigungsobjekte wird als Bedingung in der Funktionsdefinition gespeichert. Um die Berechtigungsobjekte in der Bedingung eindeutig identifizieren zu können, wird für jedes Berechtigungsobjekt ein Funktionsargument erzeugt. Diese Funktionsargumente werden genutzt, um die Bedingung zu formulieren.
Abbildung 2: Beispiel für eine Berechtigungsdefinition mit Bedingung
Welche Berechtigungen durch eine Berechtigungsdefinition geprüft werden und wie viele Berechtigungsobjekte in einer Berechtigungsdefinition kombiniert werden, ist abhängig von den Anforderungen und Richtlinien für die Definition von SAP Profilen in Ihrer SAP R/3-Umgebung.
Durch die Verbindung der SAP Benutzerkonten zu Identitäten können auch Kombinationen von SAP Berechtigungen überprüft werden, die eine Identität über verschiedene SAP Benutzerkonten erhält. Unzulässige oder potentiell gefährliche Berechtigungen und Berechtigungskombinationen können auf diese Weise leicht erkannt und geeignete Maßnahmen ergriffen werden. Für diese Prüfung werden SAP Funktionen in die Regelbedingung von Complianceregeln aufgenommen. Weitere Informationen finden Sie unter Complianceregeln für SAP Funktionen.
Berechtigungsprüfungen mit SAP Funktionen können folgende Fragen beantworten:
-
Gibt es SAP Rollen oder Benutzerkonten mit unzulässigen Berechtigungskombinationen?
-
Gibt es Identitäten, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen?
Zentrale Benutzerverwaltung. Status kein ZBV-System.