Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung
Einrichten von Kontendefinitionen Basisdaten zur Benutzerverwaltung Bearbeiten eines Servers Zielsystemverantwortliche
SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Systeme Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung

Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung

Bei der SynchronisationClosed des One Identity Manager mit einer SAP R/3-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und Dateien anlegen und bearbeiten).

Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log on as a service).

Das Benutzerkonto benötigt Rechte für den internen Webservice.

Hinweis: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Benutzer für den Zugriff auf das Zielsystem

Für eine vollständige Synchronisation von Objekten einer SAP R/3-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.

Benötigte Berechtigungsobjekte und ihre Ausprägungen:

  • S_TCODE mit mindestens den Transaktionscodes SU01, SU53, PFCG
  • S_ADDRESS1 (Address Services) mit den Aktivitäten 01, 02, 03, 06 und den zulässigen Adressgruppen (mindestens "BC01")
  • S_USER_AGR (Rollenpflege) mit den Aktivitäten 02, 03, 22, 78 eventuell mit Einschränkung des Namensbereiches (z. B. "Z*")
  • S_USER_GRP (Gruppenpflege) mit den Aktivitäten 02, 03, 22
  • S_USER_AUT (Berechtigungen) mit den Aktivitäten 03, 08
  • S_USER_PRO (Profile) mit den Aktivitäten 01, 02, 03, 22
  • S_USER_SAS (Systemspezifische Zuordnungen) mit den Aktivitäten 01, 06, 22
  • S_RFC (Berechtigungsprüfung bei RFC-Zugriff) mit der Aktivität 16 mindestens für die Funktionsgruppen ZVI, /VIAENET/ZVI0, /VIAENET/ZVI_L, /VIAENET/Z_HR, SU_USER, SYST, SDTX, RFC1, RFC_METADATA, SDIFRUNTIME, SYSU
  • S_TABU_DIS (Tabellenpflege über Standardtools wie SM30) mit der Aktivität 03

Neben den aufgeführten Berechtigungen muss das Benutzerkonto alle durch den mitgelieferten Transport eingespielten Berechtigungsobjekte der Berechtigungsklassen "ZVIH_AUT", "ZVIA_AUT" und "ZVIL_AUT" erhalten.

Für die Synchronisation einer Zentralen Benutzerverwaltung werden für den Zugriff auf die Tochtersysteme zusätzlich folgende Berechtigungsobjekte benötigt:

  • S_RFC mit der Funktionsgruppe SUU6
  • S_TCODE mit dem Transaktionscode SU56
Benutzer für den Zugriff auf die One Identity Manager Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer "Synchronization" bereitgestellt.

TIPP: Die standardmäßig ausgelieferte Transportdatei "SAPROLE.zip" enthält einen Transport mit einer Rolle, die das Berechtigungsobjekt des Bausteins bereits besitzt. Diese Rolle kann dem Benutzerkonto zugewiesen werden. Die Transportdatei befindet sich auf dem One Identity Manager-Installationsmedium im Verzeichnis ..\Modules\SAP\dvd\AddOn\Bapi.

Die genannten Berechtigungen werden benötigt, damit der SAP R/3 Konnektor sowohl lesend als auch schreibend auf das SAP R/3-System zugreifen kann. Soll nur ein lesender Zugriff erlaubt werden, so empfehlen wir die Einrichtung eines Profils, welches zwar die Ausführungsberechtigungen auf die Transaktionen SU01 und PFCG zur Verfügung stellt, allerdings auf Aktivitäts- oder Feldebene das Schreiben verhindert.

Um weitere Informationen auszulesen, benötigt das Benutzerkonto den Benutzertyp "Dialog", "Kommunikation" oder "System".

Hinweis: Die SAP R/3-Versionen bis einschließlich SAP Web Application Server 6.40 unterscheiden bei der Angabe von Benutzer und Kennwort nicht zwischen Groß- und Kleinschreibung. Ab SAP NetWeaver Application Server 7.0 gilt dies für Kennworte nicht mehr. Kennworte sind "case sensitiv".

Alle SAP-eigenen Werkzeuge, die bis SAP Web Application Server 6.40 ausgeliefert wurden, außer der SAP GUI (RFC-SDK, SAP .Net Connector), wandeln deshalb das Kennwort vor der Übertragung zum SAP R/3-System in Großbuchstaben um. Für das Benutzerkonto, mit welchem sich der SAP .Net Connector am SAP R/3-System authentifizieren soll, muss ein Kennwort in Großbuchstaben gesetzt werden. Danach kann mit allen gewohnten Werkzeugen per RFC auf SAP NetWeaver Application Server 7.0 zugegriffen werden.

Verwandte Themen

Einspielen des One Identity Manager Business Application Programing Interface

Einspielen des One Identity Manager Business Application Programing Interface

Um mit dem One Identity Manager auf die Daten und Geschäftsprozesse der SAP R/3-Umgebung zuzugreifen, muss das mitgelieferte Business Application Programming Interface (BAPI) in das SAP R/3-System eingespielt werden. Die erforderlichen Transportdateien finden Sie auf dem One Identity Manager-Installationsmedium im Verzeichnis ..\Modules\SAP\dvd\AddOn\Bapi.

Installieren Sie die Transporte des BAPI in folgender Reihenfolge:

Tabelle 3: BAPI-Transporte
Transport Erläuterung
1 SAPRepository.zip Erstellt die /VIAENET/-Umgebung im Repository des SAP Systems.
2 SAPTable.zip Definiert die Tabellenstruktur für /VIAENET/USERS im Dictionary des SAP Systems.
3 SAPTRANSPORT_70.ZIP Enthält die Funktionen, die in der /VIAENET/-Umgebung definiert sind.

Archivverzeichnis UNICODE: Transporte für Systeme, die Unicode unterstützen

Archivverzeichnis NON_UNICODE: Transporte für Systeme, die kein Unicode unterstützen

Hinweis: Wenn Ihr SAP System Unicode unterstützt, wählen Sie aus der Archivdatei das Transportpaket für Unicode aus. Entsprechend enthalten die Archivdateien in separaten Verzeichnissen auch Transportpakete für Systeme, die kein Unicode unterstützen.

Aktivieren Sie für den Transport die folgenden Importoptionen:

  • Originale überschreiben
  • Objekte in unbestätigten Reparaturen überschreiben
  • Nicht passende Komponentenversion ignorieren

Daneben nutzt der SAP R/3 Konnektor weitere BAPIs des SAP R/3-Systems. Weitere Informationen finden Sie unter Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe.

Einrichten des Synchronisationsservers

Einrichten des Synchronisationsservers

Für die Einrichtung der SynchronisationClosed mit einer SAP R/3-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack 2
    • Windows Server 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Microsoft .NET Framework Version 4.5.2 oder höher

    Hinweis: Microsoft .NET Framework Version 4.6 wird nicht unterstützt.

    Hinweis: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • Windows Installer
  • SAP .Net Connector for .NET 4.0 on x64, mindestens Version 3.0.15.0
  • One Identity Manager Service, Synchronization EditorClosed, SAP R/3 Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | JobserverClosed | SAP R/3.

Weitere Anforderungen

  • Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
    • libicudecnumber.dll
    • rscp4n.dll
    • sapnco.dll
    • sapnco_utils.dll
  • Folgende Dateien müssen entweder im Global Assemblies Cache (GAC) oder im Verzeichnis C:\Windows\System32 oder im Installationsverzeichnis des One Identity Manager vorhanden sein.
    • msvcp100.dll
    • msvcr100.dll

Vom SynchronisationsserverClosed werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

Hinweis: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt die folgenden Schritte aus.

  • Erstellen eines Jobservers.
  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.
  • Konfigurieren des One Identity Manager Service.
  • Starten des One Identity Manager Service.

Hinweis: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
  2. Auf der Seite DatenbankverbindungClosed geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter.
  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.
    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.
      Tabelle 4: Eigenschaften eines Jobservers
      Eigenschaft Beschreibung
      Server Bezeichnung des Jobservers.
      Queue

      Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      Vollständiger Servername

      Vollständiger Servername gemäß DNS Syntax.

      Beispiel:

      <Name des Servers>.<Vollqualifizierter Domänenname>

      Hinweis: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.
  4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die auf dem Jobserver installiert werden.

    Wählen Sie mindestens folgende Rollen:

    • SAP R/3
  5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity Manager-Umgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

    Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können die Serverfunktionen hier weiter einschränken.

    Wählen Sie mindestens folgende Serverfunktionen:

    • SAP R/3 Konnektor
  6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service.

    Hinweis: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.
  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.
  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.
  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    Hinweis: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.
  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
    Tabelle 5: Installationsinformationen
    Eingabe Beschreibung
    Computer Server, auf dem der Dienst installiert und gestartet wird.

    Um einen Server auszuwählen

    • Erfassen Sie den Servernamen.

      -ODER-

    • Wählen Sie einen Eintrag in der Liste.
    Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.

    Um ein Benutzerkonto für den One Identity Manager Service zu erfassen

    • Aktivieren Sie die Option Lokales Systemkonto.

      Damit wird der One Identity Manager Service unter dem Konto "NT AUTHORITY\SYSTEM" gestartet.

      - ODER-

    • Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.
    Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

    Um ein administratives Benutzerkonto für die Installation zu erfassen

    • Aktivieren Sie die Option Erweitert.
    • Aktivieren Sie die Option Angemeldeter Benutzer.

      Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      - ODER-

    • Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.
  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    Hinweis: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" in der Dienstverwaltung des Servers eingetragen.

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten

Verwenden Sie den Synchronization EditorClosed, um die SynchronisationClosed zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den WorkflowClosed-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein SynchronisationsprojektClosed an.

Für die Einrichtung des Synchronisationsprojektes halten Sie die folgenden Informationen bereit.

Tabelle 6: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen
SAP R/3-Anwendungsserver Name des Anwendungsserver, über den die RFC-Kommunikation stattfindet.
Systemnummer Nummer des SAP Systems, mit dem sich der SAP R/3 Konnektor verbinden soll.
System-ID System-ID dieses SAP Systems.
Mandant Nummer des Mandanten, der synchronisiert werden soll. Wenn eine Zentrale Benutzerverwaltung (ZBVClosed) synchronisiert werden soll, benötigen Sie die Mandantennummer des Zentralsystems.
Anmeldename und Kennwort

Name und Kennwort des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3 System anmeldet. Stellen Sie ein Benutzerkonto mit ausreichenden Berechtigungen bereit.

Wenn eine gesicherte Netzwerkverbindung hergestellt werden soll, benötigen Sie den SNC Namen des Benutzerkontos.

Loginsprache Loginsprache für die Anmeldung des SAP R/3 Konnektors am SAP R/3-System.

SynchronisationsserverClosed

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Installierte Komponenten:

  • SAP .Net Connector for .NET 4.0 on x64, mindestens Version 3.0.15.0
  • One Identity Manager Service (gestartet)
  • Synchronization Editor
  • SAP R/3 Konnektor

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

Tabelle 7: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion SAP R/3 Konnektor
Maschinenrolle Server/Jobserver/SAP R/3

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Verbindungsdaten zur One Identity Manager Datenbank

SQL Server:

  • Datenbankserver
  • Datenbank
  • Datenbankbenutzer und Kennwort
  • Angabe, ob integrierte Windows Authentifizierung verwendet wird.

    Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows Authentifizierung unterstützt.

Oracle:

  • Angabe, ob der Zugriff direkt oder über Oracle Client erfolgt

    Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option.

  • Datenbankserver
  • Port der Oracle Instanz
  • Service Name
  • Oracle Datenbankbenutzer und Kennwort
  • Datenquelle (TNS Alias Name aus der TNSNames.ora)
RemoteverbindungsserverClosed

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Wenn der direkte Zugriff von der Arbeitsstation, auf der der Synchronization Editor installiert ist, nicht möglich ist, beispielsweise aufgrund der Firewall-Konfiguration, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet
  • RemoteConnectPlugin ist installiert
  • SAP R/3 Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Je nach Konfiguration des SAP R/3-Systems können zusätzliche Informationen für die Einrichtung des Synchronisationsprojekts benötigt werden.

Tabelle 8: Zusätzliche Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen
SAP R/3-Router Name des Routers, der dem SAP R/3 Konnektor einen Netzwerkport zur Kommunikation mit dem Anwendungsserver bereitstellt.
SAP R/3-Message-Server Name des Message-Servers, mit dem der SAP R/3 Konnektor beim Login kommuniziert.
Logongruppe Name der Logongruppe, bei der sich der SAP R/3 Konnektor anmeldet, wenn die Kommunikation innerhalb der SAP R/3-Umgebung über einen Message-Server läuft.
SNC Hostname SNC Name des Hosts, zu dem die gesicherte Netzwerkverbindung hergestellt werden soll.
SNC Name SNC Name des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3-System anmeldet, wenn eine gesicherte Netzwerkverbindung hergestellt werden soll.
SNC Client API API, die die SNC Verschlüsselung enthält.

Hinweis: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor
  • im Standardmodus ausgeführt wird und
  • aus dem Launchpad gestartet wird.

Wenn der ProjektassistentClosed im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für einen SAP Mandanten einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    Hinweis: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die DatenbankverbindungClosed über den Anwendungsserver her.
  2. Wählen Sie den Eintrag ZielsystemtypClosed SAP R/3. Klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.
    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.
    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Seite Verbindungstyp wählen Sie den Verbindungstyp.
    Tabelle 9: Verbindungstypen
    Eigenschaft Beschreibung
    SAP R/3-Anwendungsserver oder SAP R/3-Router Angabe, ob die Verbindung über einen Anwendungsserver oder Router aufgebaut werden soll.
    SAP R/3-Message-Server Angabe, ob die Verbindung über einen Message-Server aufgebaut werden soll.
    • Auf der Seite Verbindungsdaten erfassen Sie die Verbindungsdaten für den Verbindungstyp "SAP R/3-Anwendungsserver oder SAP R/3-Router".
      Tabelle 10: Systemverbindung
      Eigenschaft Beschreibung
      SAP R/3-Host oder Router Name des Anwendungsservers oder Routers, über den der SAP R/3 Konnektor kommuniziert.
      Systemnummer Nummer des SAP Systems.
      System-ID System-ID des SAP Systems. Sie wird in den One Identity Manager-Werkzeugen als Anzeigename verwendet.
    • Auf der Seite Message-Server erfassen Sie die Verbindungsdaten für den Verbindungstyp "SAP R/3-Message-Server".
      Tabelle 11: Systemverbindung
      Eigenschaft Beschreibung
      SAP R/3-Message-Server Name des Message-Servers, über den die Verbindung aufgebaut werden soll.
      Logongruppe Name der Logongruppe, bei der sich der SAP R/3 Konnektor anmeldet.
      SAP R/3-Router Name des Routers, wenn der SAP R/3 Konnektor über einen Router kommuniziert.
      Systemnummer Nummer des SAP Systems.
      System-ID System-ID des SAP Systems. Sie wird in den One Identity Manager-Werkzeugen als Anzeigename verwendet.
  2. Auf der Seite Gesicherte Verbindung erfassen Sie die Netzwerkeinstellungen.
    Tabelle 12: Netzwerkeinstellungen
    Eigenschaft Beschreibung
    Program ID Bezeichnung der Verbindung, die der SAP R/3 Konnektor mit dem SAP R/3-System aufbaut.
    SNC Login Angabe, ob zur Anmeldung des SAP R/3 Konnektors am SAP R/3-System der SNC Name des Benutzerkontos verwendet werden soll.
  3. Wenn Sie auf der Seite Gesicherte Verbindung die Option SNC Login aktiviert haben, wird die Seite SNC Verbindungskonfiguration geöffnet. Erfassen Sie die Daten, die zur Anmeldung am Zielsystem über eine gesicherte Netzwerkverbindung benötigt werden.
    Tabelle 13: SNC Systemverbindung
    Eigenschaft Beschreibung
    Mandant Nummer des Mandanten, der synchronisiert werden soll. Wenn eine Zentrale Benutzerverwaltung synchronisiert werden soll, geben Sie die Mandantennummer des Zentralsystems an.
    SNC Hostname SNC Name des Hosts, zu dem die gesicherte Netzwerkverbindung hergestellt werden soll.
    SNC Name SNC Name des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3-System anmelde.
    SNC Client API API, welche die SNC Verschlüsselung enthält.
    Authentifizierung Wählen Sie die Sicherheitsstufe für die Anmeldung am SAP R/3-Systems aus.
    Integritätsschutz
    Verschlüsselung
    Höchste verfügb. Stufe
    Loginsprache Loginsprache für die Anmeldung des SAP R/3 Konnektors am SAP R/3-System. Die gewählte Sprache entscheidet über die Sprache der Beschreibungstexte für alle SAP-Objekte dieses Mandanten. Wenn Sie hier „EN“ wählen, werden alle Texte von SAP Gruppen, Rollen, Profilen und Startmenüs in englischer Sprache synchronisiert.
  4. Auf der Seite Anmeldedaten erfassen Sie die Daten, die zur Anmeldung am Zielsystem benötigt werden.
    Tabelle 14: Anmeldedaten
    Eigenschaft Beschreibung
    Mandant Nummer des Mandanten, der synchronisiert werden soll. Wenn eine Zentrale Benutzerverwaltung synchronisiert werden soll, geben Sie die Mandantennummer des Zentralsystems an.
    Anmeldename Name des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3-System anmeldet. Wenn Sie auf der Seite Gesicherte Verbindung die Option SNC Login aktiviert haben, geben Sie den SCN Namen dieses Benutzerkontos an.
    Anmeldekennwort Kennwort des Benutzerkontos, mit dem sich der SAP R/3 Konnektor am SAP R/3-System anmeldet.
    Loginsprache Loginsprache für die Anmeldung des SAP R/3 Konnektors am SAP R/3-System. Die gewählte Sprache entscheidet über die Sprache der Beschreibungstexte für alle SAP-Objekte dieses Mandanten. Wenn Sie hier „EN“ wählen, werden alle Texte von SAP Gruppen, Rollen, Profilen und Startmenüs in englischer Sprache synchronisiert.
  5. Auf der Seite Zusätzliche Einstellungen liefern Sie zusätzliche Informationen zur Synchronisation von Objekten und Eigenschaften. Sie können die Verbindungseinstellungen überprüfen.
    • Im Bereich Zentrale Benutzerverwaltung (ZBV) geben Sie an, ob die Verbindung zu einem Zentralsystem einer Zentralen Benutzerverwaltung aufgebaut werden soll. Aktivieren Sie in diesem Fall Zentralsystem einer ZBV.
    • Im Bereich Verbindungseinstellungen prüfen können Sie die erfassten Verbindungsdaten überprüfen. Klicken Sie Jetzt prüfen.

      Es wird versucht eine Verbindung zum Anwendungsserver aufzubauen. Wenn die Option Zentralsystem einer ZBV aktiviert ist, wird getestet, ob der angegebene Mandant das Zentralsystem einer ZBV ist.

      Hinweis: Es wird nicht geprüft, ob das mitgelieferte BAPI eingespielt ist.
    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.
  6. Auf der Seite SAP HCM Einstellungen klicken Sie Weiter.

    Diese Seite wird nur für die Synchronisation zusätzlicher Personalplanungsdaten im Modul SAP R/3 Strukturelle Profile Add-on benötigt.

  7. Auf der Seite SAP KonnektorschemaClosed klicken Sie Weiter.

    TIPP: Auf dieser Seite können Sie eine Datei angeben, die zusätzliche Schematypen bereitstellt. Mit diesen Schematypen wird das Konnektorschema unternehmensspezifisch erweitert. Sie können diese Informationen auch nach dem Speichern des Synchronisationsprojekts erfassen. Weitere Informationen finden Sie unter Weitere Schematypen anlegen.
  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    Hinweis: Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu. Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.
  2. Der Assistent lädt das ZielsystemschemaClosed. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
  1. Auf der Seite Projektvorlage auswählen wählen Sie eine Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.
    Tabelle 15: Standardprojektvorlagen
    Projektvorlage Beschreibung
    SAP R/3 (untergeordnetes ZBV System) Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes für die Tochtersysteme einer ZBV, die zu einem anderen SAP System gehören als das Zentralsystem.
    SAP R/3 Synchronisation (Basisadministration) Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes für einzelne Mandanten oder das Zentralsystem einer ZBV.

    Hinweis: Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das BasisobjektClosed der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben. Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.
  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 16: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein SynchronisationsworkflowClosed zum initialen Einlesen des Zielsystems in die One Identity Manager Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die SynchronisationsrichtungClosed ist "In den One Identity Manager".
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung "In den One Identity Manager" definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist "In das Zielsystem".
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung "In das Zielsystem" definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

    Diese Seite wird nur angezeigt, wenn die Projektvorlage "SAP® R/3® Synchronisation (Basisadministration)" ausgewählt wurde. Wenn die Projektvorlage "SAP® R/3® (untergeordnetes ZBV System)" ausgewählt wurde, wird automatisch die Option Das Zielsystem soll nur eingelesen werden. aktiviert.

  2. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    • Klicken Sie , um einen neuen Jobserver anzulegen.
    • Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.
    • Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      Hinweis: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    Hinweis: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    Deaktivieren Sie diese Option, wenn Sie eigene Schematypen in diesem Synchronisationsprojekt anlegen möchten.

    Hinweis: Die Verbindungsdaten zum Zielsystem werden in einem VariablensetClosed gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.

Um den Inhalt des Synchronisationsprotokolls zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | Zielsystem.
  2. Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.
  3. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren...
  4. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.
  5. Aktivieren Sie die zu protokollierenden Daten.

    Hinweis: Einige Inhalte erzeugen besonders viele Protokolldaten!

    Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  6. Klicken Sie OK.

Um regelmäßige Synchronisationen auszuführen

  1. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.
  2. Wählen Sie in der Dokumentenansicht eine StartkonfigurationClosed aus und klicken Sie Zeitplan bearbeiten....
  3. Bearbeiten Sie die Eigenschaften des Zeitplans.
  4. Um den Zeitplan zu aktivieren, klicken Sie Aktiviert.
  5. Klicken Sie OK.

Um die initiale Synchronisation manuell zu starten

  1. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.
  2. Wählen Sie in der Dokumentenansicht eine Startkonfiguration und klicken Sie Ausführen.
  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Hinweis: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für den Mandanten bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie dem Mandanten eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie SAP R/3 | Benutzerkonten | Verbunden aber nicht konfiguriert | <Mandant>.
    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.
Detaillierte Informationen zum Thema
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating