Bei der Synchronisation des One Identity Manager mit einer SAP R/3-Umgebung spielen folgende Benutzer eine Rolle.
Benutzerkonto des One Identity Manager Service
Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.
Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.
Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.
Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.
HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"
Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
In der Standardinstallation wird der One Identity Manager installiert unter:
Benutzer für den Zugriff auf die One Identity Manager-Datenbank
Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.
Benutzer für den Zugriff auf das Zielsystem (Synchronisationsbenutzer)
Für eine vollständige Synchronisation von Objekten einer SAP R/3-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.
Benötigte Berechtigungsobjekte und ihre Ausprägungen:
-
S_TCODE mit mindestens den Transaktionscodes SU01, SU53, PFCG
-
S_ADDRESS1 (Address Services) mit den Aktivitäten 01, 02, 03, 06 und den zulässigen Adressgruppen (mindestens BC01)
-
S_USER_AGR (Rollenpflege) mit den Aktivitäten 02, 03, 22, 78, eventuell mit Einschränkung des Namensbereiches (beispielsweise Z*)
-
S_USER_GRP (Gruppenpflege) mit den Aktivitäten 01, 02, 03, 22, 78 und PP (wenn in der SAP R/3-Umgebung vorhanden)
-
S_USER_AUT (Berechtigungen) mit den Aktivitäten 03, 08
-
S_USER_PRO (Profile) mit den Aktivitäten 01, 02, 03, 22
-
S_USER_SAS (Systemspezifische Zuordnungen) mit den Aktivitäten 01, 06, 22
-
S_USER_UID mit der Aktivität 03
-
S_RFC (Berechtigungsprüfung bei RFC-Zugriff) mit der Aktivität 16 mindestens für die Funktionsgruppen ZVI, /VIAENET/ZVI0, /VIAENET/ZVI_L, /VIAENET/Z_HR, SU_USER, SYST, SDTX, RFC1, RFC_METADATA, SDIFRUNTIME, SYSU, SUSO
-
/VIAENET/ZVIL_TABLE
HINWEIS:
Ab One Identity Manager Version 8.2 wird ein aktualisierter BAPI-Transport SAPTRANSPORT_70.ZIP bereitgestellt. Dieser verwendet den Funktionsbaustein /VIAENET/READTABLE anstelle des SAP-Bausteins RFC_READ_TABLE. Beim Zugriff auf eine SAP R/3-Umgebung prüft der SAP R/3 Konnektor, ob der Funktionsbaustein /VIAENET/READTABLE vorhanden ist und verwendet diesen.
Ist der Funktionsbaustein nicht vorhanden, verwendet der Konnektor den SAP-Baustein RFC_READ_TABLE.
In diesem Fall benötigt der Synchronisationsbenutzer das Berechtigungsobjekt S_TABU_NAM mit der Aktivität 03.
Alternativ können die Zugriffsberechtigungen auf Tabellen über die Berechtigungsobjekte S_TABU_NAM oder S_TABU_DIS definiert werden. Diese werden gleichwertig geprüft.
Im Feld TABLE können die Namen der Tabellen, die gelesen werden sollen, einzeln angegeben werden.
Neben den aufgeführten Berechtigungen muss das Benutzerkonto alle durch den mitgelieferten Transport eingespielten Berechtigungen der Berechtigungsobjekte ZVIH_AUT, ZVIA_AUT und ZVIL_AUT erhalten. Mit diesen Berechtigungsobjekten wird die prinzipielle Ausführungsberechtigung der Funktionsbausteine gewährt.
Zusätzlich sind die Berechtigungsobjekte ZVIH_OP, ZVIA_OP, ZVIL_OP zuzuordnen. Diese regeln über das Berechtigungsfeld ACTVT die Art des Zugriffes auf SAP R/3 Daten. Mögliche Werte sind 01 Hinzufügen oder Erzeugen, 02 Ändern, 03 Anzeigen, 06 Löschen. Die jeweilige Aktivität wird vor dem Datenzugriff geprüft. Das bedeutet, wenn nur die Aktivität 03 Anzeigen zugewiesen wurde, kann mit diesem Benutzerkonto keinerlei Schreiboperation über die Funktionsbausteine des One Identity Manager Business Application Programing Interface ausgeführt werden.
Für die Synchronisation einer Zentralen Benutzerverwaltung werden für den Zugriff auf die Tochtersysteme zusätzlich folgende Berechtigungsobjekte benötigt:
TIPP: Die standardmäßig ausgelieferte Transportdatei SAPROLE.zip enthält einen Transport mit einer Rolle, die das Berechtigungsobjekt des Bausteins bereits besitzt. Diese Rolle kann dem Benutzerkonto zugewiesen werden. Die Transportdatei befindet sich auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.
Die genannten Berechtigungen werden benötigt, damit der SAP R/3 Konnektor sowohl lesend als auch schreibend auf das SAP R/3-System zugreifen kann. Soll nur ein lesender Zugriff erlaubt werden, richten sie ein Profil ein, welches zwar die Ausführungsberechtigungen auf die Transaktionen SU01 und PFCG zur Verfügung stellt, allerdings auf Aktivitäts- oder Feldebene das Schreiben verhindert. Beachten Sie dazu auch die Vergabe der Berechtigungen für Aktivitäten an den Berechtigungsobjekten ZVIH_OP, ZVIA_OP, ZVIL_OP. Im Fall eines nur lesenden Zugriffes sollte nur die Aktivität 03 Anzeigen aktiviert sein.
Um weitere Informationen auszulesen, benötigt das Benutzerkonto den Benutzertyp Dialog, Kommunikation oder System.
Hinweis: Die SAP R/3-Versionen bis einschließlich SAP Web Application Server 6.40 unterscheiden bei der Angabe von Benutzer und Kennwort nicht zwischen Groß- und Kleinschreibung. Ab SAP NetWeaver Application Server 7.0 gilt dies für Kennworte nicht mehr. Kennworte beachten die Groß- und Kleinschreibung.
Alle SAP-eigenen Werkzeuge, die bis SAP Web Application Server 6.40 ausgeliefert wurden, außer der SAP GUI (RFC-SDK, SAP .Net Connector), wandeln deshalb das Kennwort vor der Übertragung zum SAP R/3-System in Großbuchstaben um. Für das Benutzerkonto, mit welchem sich der SAP .Net Connector am SAP R/3-System authentifizieren soll, muss ein Kennwort in Großbuchstaben gesetzt werden. Danach kann mit allen gewohnten Werkzeugen per RFC auf SAP NetWeaver Application Server 7.0 zugegriffen werden.
HINWEIS: Das Business Application Programming Interface des One Identity Manager ist zertifiziert.
Zertifikate:
Ausführliche Informationen finden Sie unter SAP Certified Solutions Directory.
Um mit dem One Identity Manager auf die Daten und Geschäftsprozesse der SAP R/3-Umgebung zuzugreifen, muss das mitgelieferte Business Application Programming Interface (BAPI) in das SAP R/3-System eingespielt werden. Die erforderlichen Transportdateien finden Sie auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.
Tabelle 2: BAPI-Transporte
SAPRepository.zip |
Importiert den /VIAENET/-Namensraum im Repository des SAP Systems. |
SAPTable.zip |
Definiert die Tabellenstruktur für /VIAENET/USERS im Dictionary des SAP Systems. |
SAPTRANSPORT_70.ZIP |
Enthält die Funktionen, die im /VIAENET/-Namensraum definiert sind.
Wählen Sie das für Ihr SAP System passende Transportpaket aus.
-
Archivverzeichnis UNICODE: Transporte für Systeme, die Unicode unterstützen; Transport von Kopien
-
Archivverzeichnis NON_UNICODE: Transporte für Systeme, die kein Unicode unterstützen
-
Archivverzeichnis UNICODE_WORKBENCH: Transporte für Systeme, die Unicode unterstützen; Workbench-Transport
-
Archivverzeichnis NON_UNICODE_WORKBENCH: Transporte für Systeme, die kein Unicode unterstützen; Workbench-Transport |
SAPBusinesspartnerProxies.zip |
Enthält die Funktionen, die im /VIAENET/HELPER-Paket definiert sind.
Der Transport wird nur benötigt, wenn ein SAP S/4HANA-System angebunden wird und Geschäftspartnerdaten, die mit SAP Benutzerkonten verbunden sind, abgebildet werden sollen.
Wählen Sie das für Ihr SAP System passende Transportpaket aus.
-
Archivverzeichnis UNICODE: Transporte für Systeme, die Unicode unterstützen; Transport von Kopien
-
Archivverzeichnis UNICODE_WORKBENCH: Transporte für Systeme, die Unicode unterstützen; Workbench-Transport |
SAPAuthorization.zip |
Importiert alle Berechtigungsobjekte, die im /VIAENET/-Namensraum definiert sind als Workbench-Transport.
Das Transportpaket enthält nur die Berechtigungsobjekte aus dem vollständigen Transportpaket SAPTRANSPORT_70.ZIP. Spielen Sie dieses Transportpaket ein,
-
wenn Sie testen möchten, ob diese Berechtigungsobjekte in Ihrer SAP R/3-Umgebung Probleme verursachen
oder
-
wenn Sie das Assembly-Kit-Paket T070020759523_0000019.PAT installieren. |
SAPRole.zip |
Enthält einen Transport mit einer SAP Rolle mit allen erforderlichen Berechtigungen für den Synchronisationsbenutzer. |
T070020759523_0000019.PAT |
Enthält die Funktionen, die im /VIAENET/-Namensraum definiert sind. Es enthält keine Berechtigungsobjekte. Daher muss zuvor der Transport SAPAuthorization.zip eingespielt werden.
Am Paket ist die Option deinstall_allowed gesetzt. |
Daneben nutzt der SAP R/3 Konnektor weitere Funktionen des SAP R/3-Systems.
Aktivieren Sie für den Transport die folgenden Importoptionen:
Abhängig vom Installationsszenario installieren Sie die Transporte des BAPI in unterschiedlicher Reihenfolge.
Installationsszenario 1: Alle Objekte zusammen
Die Transportdatei SAPTRANSPORT_70.ZIP enthält alle erforderlichen Objekte für den Namensraum, die Tabellenstruktur und die Funktionen im /VIAENET/-Namensraum .
Installationsreihenfolge:
-
SAPTRANSPORT_70.ZIP
-
(Optional) SAPBusinesspartnerProxies.zip
-
(Optional) SAPRole.zip
Installationsszenario 2: SAP Add-On Assembly Kit
Mit dem SAP Add-On Assembly Kit unterstützt SAP die Deinstallation eines BAPI. Dafür wird ein deinstallierbares Assembly-Kit-Paket bereitgestellt.
Installationsreihenfolge:
-
SAPAuthorization.zip
-
Assembly Kit-Paket T070020759523_0000019.PAT
-
(Optional) SAPBusinesspartnerProxies.zip
-
(Optional) SAPRole.zip
Installationsszenario 3: Separate Transporte für den Namensraum und die Tabellenstruktur
Der /VIAENET/-Namensraum und die Tabellenstruktur können durch getrennte Transporte erstellt werden. Damit können Sie schrittweise prüfen, ob die Transporte erfolgreich installiert wurden.
Installationsreihenfolge:
-
SAPRepository.zip
Prüfen Sie, ob der /VIAENET/-Namensraum im SAP System vorhanden ist.
-
SAPTable.zip
Prüfen Sie, ob die Tabellenstruktur für /VIAENET/USERS definiert ist.
-
SAPAuthorization.zip
Prüfen Sie, ob die Berechtigungsobjekte vorhanden sind.
-
SAPTRANSPORT_70.ZIP
Prüfen Sie, ob alle Funktionen, die im /VIAENET/-Namensraum definiert sind, vorhanden sind.
-
(Optional) SAPBusinesspartnerProxies.zip
Prüfen Sie, ob die Funktionen, die im /VIAENET/HELPER-Paket definiert sind, vorhanden sind.
-
(Optional) SAPRole.zip
Weisen Sie diese Rolle an das Benutzerkonto für den Synchronisationsbenutzer zu.
Mit dem SAP Add-On Assembly Kit unterstützt SAP die Deinstallation eines BAPI. Dafür wird ein deinstallierbares Assembly-Kit-Paket bereitgestellt.
Das Paket T070020759523_0000019.PAT finden Sie auf dem One Identity Manager-Installationsmedium im Verzeichnis Modules\SAP\dvd\AddOn\Bapi.
Voraussetzungen
-
SAP NetWeaver Application Server 7.00 oder höher
-
SAP ECC 6.0
-
SAP Add-On Assembly Kit 5.0 oder höher
-
Unicode wird unterstützt.
Um einen BAPI-Transport später deinstallieren zu können, installieren Sie die Transporte wie im Installationsszenario 2 beschrieben. Weitere Informationen finden Sie unter Einspielen des One Identity Manager Business Application Programing Interface.
Für die Einrichtung der Synchronisation mit einer SAP R/3-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:
Weitere Anforderungen
- Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
- libicudecnumber.dll
- rscp4n.dll
- sapnco.dll
- sapnco_utils.dll
- Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Verzeichnis C:\Windows\System32 oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
- msvcp100.dll
- msvcr100.dll
Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.
HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).
Um einen Jobserver einzurichten, führen Sie folgende Schritte aus.
-
Erstellen Sie einen Jobserver und installieren und konfigurieren Sie den One Identity Manager Service.
Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt folgende Schritte aus:
-
Erstellen eines Jobservers.
-
Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
-
Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.
-
Konfigurieren des One Identity Manager Service.
-
Starten des One Identity Manager Service.
Mit dem Server Installer können Sie den One Identity Manager Service lokal oder remote installieren.
Für die Remote-Installation des One Identity Manager Service stellen Sie eine administrative Arbeitstation bereit, auf der die One Identity Manager-Komponenten installiert sind. Für eine lokale Installation stellen Sie sicher, dass die One Identity Manager-Komponenten auf dem Server installiert sind. Ausführliche Informationen zur Installation der One Identity Manager-Komponenten finden Sie im One Identity Manager Installationshandbuch.
-
Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, geben Sie dem One Identity Manager Service den Datenbankschlüssel bekannt. Ausführliche Informationen zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank finden Sie im One Identity Manager Installationshandbuch.
-
Für die Generierung von Prozessen für die Jobserver werden der Provider, Verbindungsparameter und die Authentifizierungsdaten benötigt. Diese Informationen werden im Standardfall aus den Verbindungsdaten der Datenbank ermittelt. Arbeitet der Jobserver über einen Anwendungsserver müssen Sie zusätzliche Verbindungsinformationen im Designer konfigurieren. Ausführliche Informationen zum Erfassen der Verbindungsinformationen finden Sie im One Identity Manager Konfigurationshandbuch.
Um den One Identity Manager Service auf einem Server zu installieren und zu konfigurieren
-
Starten Sie das Programm Server Installer.
HINWEIS: Für eine Remote-Installation starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation. Für eine lokale Installation starten Sie das Programm auf dem Server.
-
Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein.
Für die Verbindung zur Datenbank können Sie eine Verbindung über den Anwendungsserver oder die direkte Verbindung verwenden.
-
Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.
-
Wählen Sie in der Auswahlliste Server einen Jobserver aus.
- ODER -
Um einen neuen Jobserver zu erstellen, klicken Sie Hinzufügen.
-
Bearbeiten Sie folgende Informationen für den Jobserver.
-
Server: Bezeichnung des Jobservers.
-
Queue: Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder Jobserver innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.
-
Vollständiger Servername: Vollständiger Servername gemäß DNS-Syntax.
Syntax:
<Name des Servers>.<Vollqualifizierter Domänenname>
HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.
-
Auf der Seite Maschinenrollen wählen Sie SAP R/3.
-
Auf der Seite Serverfunktionen wählen Sie SAP R/3 Konnektor.
-
Auf der Seite Dienstkonfiguration erfassen Sie die Verbindungsinformationen und prüfen Sie die Konfiguration des One Identity Manager Service.
HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.
Für eine direkte Verbindung zu Datenbank:
-
Wählen Sie in der Modulliste Prozessabholung > sqlprovider.
-
Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.
-
Erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank.
-
Klicken Sie OK.
Für eine Verbindung zum Anwendungsserver:
-
Wählen Sie in der Modulliste den Eintrag Prozessabholung, klicken Sie die Schaltfläche Einfügen.
-
Wählen Sie AppServerJobProvider und klicken Sie OK.
-
Wählen Sie in der Modulliste Prozessabholung > AppServerJobProvider.
-
Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.
-
Erfassen Sie die Adresse (URL) zum Anwendungsserver und klicken Sie OK.
-
Klicken Sie auf den Eintrag Authentifizierungsdaten und klicken Sie die Schaltfläche Bearbeiten.
-
Wählen Sie unter Authentifizierungsverfahren das Authentifizierungsmodul für die Anmeldung. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager-Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
-
Klicken Sie OK.
-
Zur Konfiguration der Installation, klicken Sie Weiter.
-
Bestätigen Sie die Sicherheitsabfrage mit Ja.
-
Auf der Seite Installationsquelle festlegen prüfen Sie das Verzeichnis mit den Installationsdateien. Ändern Sie gegebenenfalls das Verzeichnis.
-
Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
-
Computer: Wählen Sie den Server über die Auswahlliste oder erfassen Sie den Namen oder die IP-Adresse des Servers, auf dem der Dienst installiert und gestartet wird.
Um die Installation lokal auszuführen, wählen Sie in der Auswahlliste den Eintrag <lokale Installation>.
-
Dienstkonto: Erfassen Sie die Angaben zum Benutzerkonto unter dem der One Identity Manager Service läuft. Erfassen Sie das Benutzerkonto, das Kennwort zum Benutzerkonto und die Kennwortwiederholung.
Die Installation des Dienstes erfolgt mit dem Benutzerkonto, mit dem Sie an der administrativen Arbeitsstation angemeldet sind. Möchten Sie ein anderes Benutzerkonto für die Installation des Dienstes nutzen, können Sie dieses in den erweiterten Optionen eintragen.
Angaben zum One Identity Manager Service können Sie ebenfalls über die erweiterten Optionen ändern, beispielsweise das Installationsverzeichnis, den Namen, den Anzeigenamen und die Beschreibung für den One Identity Manager Service.
-
Um die Installation des Dienstes zu starten, klicken Sie Weiter.
Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.
-
Auf der letzten Seite des Server Installer klicken Sie Fertig.
HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung One Identity Manager Service in der Dienstverwaltung des Servers eingetragen.