Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung
Einrichten von Kontendefinitionen Basisdaten zur Benutzerverwaltung Bearbeiten eines Servers Zielsystemverantwortliche
SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Systeme Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen anhand von Kategorien

Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen anhand von Kategorien

Hinweis: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.

Im One Identity Manager können Gruppenselektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält verschiedene Tabellen. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In den übrigen Tabellen geben Sie Ihre Kategorien für die zielsystemabhängigen Gruppen an. Jede Tabelle enthält die Kategoriepositionen "Position1" bis "Position 31".

Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.

Hinweis: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 73: Beispiele für Kategorien
Kategorieposition Kategorien für Benutzerkonten Kategorien für Gruppen
1 Standardbenutzer Standardberechtigung
2 Systembenutzer Systembenutzerberechtigung
3 Systemadministrator Systemadministratorberechtigung

Abbildung 4: Beispiel für die Vererbung über Kategorien

Um die Vererbung über Kategorien zu nutzen

  • Definieren Sie am Mandanten die Kategorien.

    Hinweis: Wenn eine Zentrale Benutzerverwaltung eingesetzt wird, definieren Sie die Kategorien sowohl am Zentralsystem als auch an den Tochtersystemen. Damit Gruppen aus einem Tochtersystem an Benutzerkonten vererbt werden können, müssen an den Tochtersystemen die selben Kategorien definiert sein wie am Zentralsystem.
  • Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
  • Weisen Sie die Kategorien den Gruppen, Rollen und Profilen über ihre Stammdaten zu.
Verwandte Themen

Zusatzeigenschaften an SAP Gruppen, SAP Rollen und SAP Profile zuweisen

Zusatzeigenschaften an SAP Gruppen, SAP Rollen und SAP Profile zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Um Zusatzeigenschaften für eine Gruppe festzulegen

  1. Wählen Sie die Kategorie SAP R/3 | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Zusatzeigenschaften.

  5. Speichern Sie die Änderungen.

Um Zusatzeigenschaften für eine Rolle festzulegen

  1. Wählen Sie die Kategorie SAP R/3 | Rollen.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Zusatzeigenschaften.

  5. Speichern Sie die Änderungen.

Um Zusatzeigenschaften für ein Profil festzulegen

  1. Wählen Sie die Kategorie SAP R/3 | Profile.
  2. Wählen Sie in der Ergebnisliste das Profil.
  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Zusatzeigenschaften.

  5. Speichern Sie die Änderungen.

SAP Berechtigungen anzeigen

SAP Berechtigungen anzeigen

Im One Identity Manager können Sie die Berechtigungen und Berechtigungsobjekte der SAP Rollen und Profile anzeigen. Dabei wird eine hierarchische Übersicht aller Einzelprofile mit den zugehörigen Berechtigungsobjekten und Berechtigungsfeldern angezeigt.

Um Berechtigungen für eine Rolle anzuzeigen

  1. Wählen Sie die Kategorie SAP R/3 | Rollen.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe SAP Berechtigungen anzeigen.

Um Berechtigungen für ein Profil anzuzeigen

  1. Wählen Sie die Kategorie SAP R/3 | Profile.
  2. Wählen Sie in der Ergebnisliste das Profil.
  3. Wählen Sie die Aufgabe SAP Berechtigungen anzeigen.

Berechnung der Gültigkeitsdaten von vererbten Rollenzuweisungen

Berechnung der Gültigkeitsdaten von vererbten Rollenzuweisungen

Tabelle 74: Konfigurationsparameter für die Behandlung der Gültigkeitsdaten von indirekt zugewiesenen SAP Rollen
Konfigurationsparameter Wirkung bei Aktivierung
TargetSystem\SAPR3\ValidDateHandling Konfigurationsparameter zur Behandlung der Gültigkeitsdaten in Zuweisungen von SAP Benutzerkonten zu SAP Rollen.
TargetSystem\SAPR3\ValidDateHandling\
ReuseInheritedDate
Der Konfigurationsparameter legt fest, ob das Format der Gültigkeitsdaten der vererbten Zuweisungen von SAP Benutzerkonten zu SAP Rollen erhalten bleibt. Der Konfigurationsparameter ist nur relevant in Systemen, die von einer Version < 7.0 migriert wurden. Wenn der Konfigurationsparameter aktiviert ist, bleibt das Format der Daten in "Gültig von" und "Gültig bis" bei vererbten Zuweisungen von SAP Benutzerkonten zu Rollen bestehen.
TargetSystem\SAPR3\ValidDateHandling\
ReuseInheritedDate\UseTodayForInheritedValidFrom
Der Konfigurationsparameter legt fest, ob das "Gültig von"-Datum der vererbten Zuweisungen von SAP Benutzkonten zu SAP Rollen auf <Heute> oder auf "1900-01-01" gesetzt wird.

Die Gültigkeitsdaten indirekt zugewiesener SAP Rollen werden seit der One Identity Manager Version 7.0 in der One Identity Manager Datenbank in einem veränderten Format gespeichert.

Tabelle 75: Standarddatumsformat für die Gültigkeitsdaten von indirekt zugewiesenen SAP Rollen (Tabelle SAPUserInSAPRole)
One Identity Manager Version Gültig von (ValidFrom) Gültig bis (ValidUntil)
>= 7.0 1900-01-01 9999-12-31
< 7.0 Datum, an dem die Rollenzuweisung erstellt wurde 9998-12-31

In Datenbanken, die aus einer Version älter als 7.0 migriert wurden, bleiben die bestehenden Gültigkeitsdaten zunächst erhalten. Sobald für ein Benutzerkonto die Vererbung neu berechnet wird, werden alle indirekt zugewiesenen SAP Rollen mit den neuen Gültigkeitsdaten gespeichert. Diese Änderungen werden sofort in die SAP Umgebung provisioniert. Damit entsteht gegebenenfalls eine hohe Last im angebundenen SAP System.

Um zu verhindern, dass die Gültigkeitsdaten bei der Vererbungsberechnung an das aktuelle Format angepasst werden

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\SAPR3\ValidDateHandling\ReuseInheritedDate".

    Wichtig: Damit der Gültigkeitszeitraum bereits sofort nach der Migration korrekt berechnet wird, nehmen Sie die Aktivierung des Konfigurationsparameter als kundenspezifische Änderung in das Migrationspaket auf. Ausführliche Informationen zur Erstellung eines angepassten Migrationspakets finden Sie in der One IdentityOne Identity Manager 7.0.2 Anleitung für die Upgrade Migration von One Identity Manager Vorgängerversionen.

Wenn der Konfigurationsparameter aktiviert ist, bleibt das Format der Gültigkeitsdaten für bereits bestehende indirekte Rollenzuweisungen erhalten. Damit werden keine Provisionierungsaufträge eingestellt. Bei der SynchronisationClosed mit Revisionsfilterung werden diese Zuweisungen nicht erneut verarbeitet.

Für indirekte Zuweisungen, die neu eingefügt werden, wird das neue Datumsformat genutzt. Damit ist in der SAP R/3-Umgebung nach der ProvisionierungClosed nicht ersichtlich, seit wann die Zuweisung gültig ist. Wenn diese Information benötigt wird, kann in das "Gültig von"-Datum das aktuelle Datum eingetragen werden, an dem die Rollenzuweisung erstellt wird.

Um für neue indirekte Zuweisungen das aktuelle Datum als "Gültig von"-Datum anzuwenden

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\SAPR3\ValidDateHandling\ReuseInheritedDate\UseTodayForInheritedValidFrom".

    Für indirekte Zuweisungen, die neu eingefügt werden, wird am "Gültig von"-Datum das Datum eingetragen, an dem die Rollenzuweisung neu erstellt wurde.

    Wichtig: Abhängig von der Menge der zu verarbeitenden Daten kann die Berechnung der indirekten Rollenzuweisungen dadurch deutlich verlangsamt werden.

    Lassen Sie den Konfigurationsparameter deaktiviert, wenn die Information, seit wann die Rollenzuweisung gültig ist, in der SAP R/3-Umgebung nicht zwingend benötigt wird!

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating