Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung
Einrichten von Kontendefinitionen Basisdaten zur Benutzerverwaltung Bearbeiten eines Servers Zielsystemverantwortliche
SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Systeme Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV

Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV

Hinweis:

  • Es werden nur die Rollen und Profile der Tochtersysteme im One Identity Manager abgebildet, die der Anmeldesprache des administrativen Benutzerkontos für die SynchronisationClosed entsprechen!
  • Pflegen Sie alle Rollen und Profile der Tochtersysteme im Zielsystem in der Sprache, die im SynchronisationsprojektClosed für das Zentralsystem in der Systemverbindung als Loginsprache hinterlegt ist.

Soll eine Zentrale Benutzerverwaltung an den One Identity Manager angeschlossen werden, ist eine regelmäßige Synchronisation nur mit dem Zentralsystem erforderlich. Die Synchronisationskonfiguration wird für den Mandanten erstellt, der als Zentralsystem gekennzeichnet ist. Bei der Synchronisation wird das Application Link Enabling (ALE)-Verteilungsmodell der ZBVClosed ausgelesen und versucht, alle Mandanten, die als Tochtersystem konfiguriert sind, dem Zentralsystem im One Identity Manager zuzuordnen. Dabei werden alle Mandanten, die sich im selben SAP System wie das Zentralsystem befinden, automatisch im One Identity Manager angelegt und dem Zentralsystem zugeordnet (Eingabefeld Zentralsystem der ZBV). Alle Mandanten, die sich in einem anderen SAP System befinden, müssen zu diesem Zeitpunkt bereits im One Identity Manager existieren.

Wenn im Zielsystem ein Textabgleich der Rollen und Profile zwischen Tochtersystemen und Zentralsystem durchgeführt wurde, werden die Rollen und Profile der Tochtersysteme bei der Synchronisation berücksichtigt. Diese Rollen und Profile werden im One Identity Manager den Mandanten zugeordnet, aus denen sie ursprünglich stammen.

Beim Textabgleich der Rollen und Profile zwischen Tochtersystem und Zentralsystem im Zielsystem werden die Rollen und Profile sprachabhängig in der Tabelle USRSYSACTT gespeichert. Bei der Synchronisation mit dem One Identity Manager werden nur die Rollen und Profile aus der Tabelle USRSYSACTT ausgelesen, die der Anmeldesprache des administrativen Benutzerkontos für die Synchronisation entsprechen. Sind einzelne Rollen oder Profile nicht in dieser Sprache gepflegt, werden sie nicht in den One Identity Manager übernommen. Damit alle Rollen und Profile aus den Tochtersystemen im One Identity Manager abgebildet werden, müssen sie alle im Zielsystem in der Sprache gepflegt werden, die als Loginsprache am Zentralsystem hinterlegt ist.

Um ein initiales Synchronisationsprojekt für eine Zentrale Benutzerverwaltung einzurichten

  1. Erstellen Sie Synchronisationsprojekte für die Tochtersysteme, die sich nicht im selben SAP System befinden, wie das Zentralsystem.

    Gehen Sie wie in Abschnitt Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten beschrieben vor. Es gelten folgende Besonderheiten:

    1. Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage "SAP R/3 (untergeordnetes ZBV System)".
    2. Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.
    3. Starten Sie die Synchronisation manuell, um die benötigten Daten einzulesen.

      Es werden alle Mandanten aus dem ausgewählten System und deren Lizenzinformationen eingelesen.

      Hinweis: Führen Sie keine zeitgesteuerten Synchronisationen aus. Eine erneute Synchronisation ist nur erforderlich, wenn die aktiven Preislisten für die Lizenzberechnung im Zielsystem geändert wurden.

  2. Wiederholen Sie den Schritt 1 für alle Tochtersysteme, die sich in weiteren untergeordneten SAP Systemen befinden.
  3. Erstellen Sie ein Synchronisationsprojekt für das Zentralsystem.

    Gehen Sie wie in Abschnitt Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten beschrieben vor. Es gelten folgende Besonderheiten:

    1. Aktivieren Sie auf der Seite Zusätzliche Einstellungen die Option Zentralsystem einer ZBV.
    2. Wählen Sie auf der Seite Projektvorlage auswählen die Projektvorlage "SAP R/3 Synchronisation (Basisadministration)".
    3. Konfigurieren Sie die zeitgesteuerte Synchronisation.
  4. Nachdem alle Tochtersysteme aus untergeordneten SAP Systemen in die One Identity Manager Datenbank eingelesen wurden, starten Sie die Synchronisation des Zentralsystems.
Verwandte Themen

Tochtersystem von der Synchronisation ausschließen

Tochtersystem von der Synchronisation ausschließen

Bestimmte administrative Aufgaben in der SAP R/3-Umgebung erfordern, dass Tochtersysteme zeitweilig aus der Zentralen Benutzerverwaltung ausgeschlossen werden. Werden diese Tochtersysteme während dieser Zeit synchronisiert, dann werden, abhängig von der Konfiguration der SynchronisationClosed, die SAP Rollen und SAP Profile des ausgeschlossenen Tochtersystems in der One Identity Manager Datenbank als ausstehend gekennzeichnet oder gelöscht. Um das zu verhindern, entfernen Sie das Tochtersystem aus dem Synchronisationsscope.

Durch das Löschen des ALE Modellnamens am Mandanten werden die SAP Rollen und Profile des Tochtersystems aus dem ScopeClosed der Synchronisation entfernt. Die Eigenschaften des Mandanten werden jedoch synchronisiert. Damit der ALE Modellname dabei nicht wieder eingefügt wird, deaktivieren Sie die Regel für das MappingClosed dieser SchemaeigenschaftClosed.

Um ein Tochtersystem von der Synchronisation auszuschließen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste das Tochtersystem. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Löschen Sie den Eintrag im Eingabefeld ALE Modellname.
  4. Speichern Sie die Änderungen.
  5. Öffnen Sie das SynchronisationsprojektClosed im Synchronization EditorClosed.

  6. Wählen Sie die Kategorie Workflows.
  7. Wählen Sie in der Navigationsansicht den WorkflowClosed, der für die Synchronisation des Zentralsystems genutzt wird.
  8. Doppelklicken Sie in der Workflowansicht auf den SynchronisationsschrittClosed "mandant".
  9. Wählen Sie den Tabreiter Regelfilter.
  10. Aktivieren Sie im Bereich Auszuschließende Regeln die Property-Mapping-RegelClosed "ALEModelName_ALEModelName".
  11. Klicken Sie OK.
  12. Speichern Sie die Änderungen.

Sobald das Tochtersystem wieder Bestandteil der Zentralen Benutzerverwaltung ist, muss auch die Synchronisation der SAP Rollen und Profile wieder aktiviert werden.

Um ein Tochtersystem wieder in die Synchronisation einzubeziehen

  1. Wählen Sie die Kategorie SAP R/3 | Mandanten.
  2. Wählen Sie in der Ergebnisliste das Tochtersystem. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Erfassen Sie im Eingabefeld ALE Modellname den ALE Modellnamen des Zentralsystems der ZBVClosed.

    Das Tochtersystem wird nur synchronisiert, wenn am Zentralsystem und am Tochtersystem derselbe ALE Modellname angegeben ist.

  4. Speichern Sie die Änderungen.
  5. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  6. Wählen Sie die Kategorie Workflows.
  7. Wählen Sie in der Navigationsansicht den Workflow, der für die Synchronisation des Zentralsystems genutzt wird (standardmäßig "Initial Synchronization").
  8. Doppelklicken Sie in der Workflowansicht auf den Synchronisationsschritt "mandant".
  9. Wählen Sie den Tabreiter Regelfilter.
  10. Deaktivieren Sie im Bereich Auszuschließende Regeln die Property-Mapping-Regel "ALEModelName_ALEModelName".
  11. Klicken Sie OK.
  12. Speichern Sie die Änderungen.

Ausführliche Informationen zur Bearbeitung von Synchronisationsschritten finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Synchronisationsergebnisse anzeigen

Synchronisationsergebnisse anzeigen

Die Ergebnisse der SynchronisationClosed werden im Synchronisationsprotokoll zusammengefasst. Der Umfang des Synchronisationsprotokolls kann für jede Systemverbindung separat festgelegt werden. Der One Identity Manager stellt verschiedene Berichte bereit, in denen die Synchronisationsergebnisse nach verschiedenen Kriterien aufbereitet sind.

Um das Protokoll einer Synchronisation anzuzeigen

  1. Öffnen Sie das SynchronisationsprojektClosed im Synchronization EditorClosed.
  2. Wählen Sie die Kategorie Protokolle.
  3. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Synchronisationsläufe angezeigt.

  4. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Synchronisation wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Um das Protokoll einer Provisionierung anzuzeigen

  1. Wählen Sie die Kategorie Protokolle.
  2. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Provisionierungsprozesse angezeigt.

  3. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Provisionierung wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Die Protokolle sind in der Navigationsansicht farblich gekennzeichnet. Die Kennzeichnung gibt den Ausführungsstatus der Synchronisation/Provisionierung wieder.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt. Den Aufbewahrungszeitraum legen Sie über den Konfigurationsparameter "DPR\Journal\LifeTime" und seine untergeordneten Konfigurationsparameter fest.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter "Common\Journal\LifeTime" und tragen Sie die maximale Aufbewahrungszeit für die Einträge im Systemprotokoll ein. Mit den untergeordneten Konfigurationsparametern legen Sie die Aufbewahrungszeit je Meldungstyp fest.
  • Bei großen Datenmengen können Sie zur Performance-Optimierung die Menge der zu löschenden Objekte pro Operation und Verarbeitungslauf des DBQueue Prozessor festlegen. Verwenden Sie dazu die Konfigurationsparameter "Common\Journal\Delete\BulkCount" und "Common\Journal\Delete\TotalCount".
  • Konfigurieren und aktivieren Sie im Designer den Zeitplan "Journal löschen".

Anpassen einer Synchronisationskonfiguration

Anpassen einer Synchronisationskonfiguration

Mit dem Synchronization EditorClosed haben Sie ein SynchronisationsprojektClosed für die initiale Synchronisation eines SAP Mandanten eingerichtet. Mit diesem Synchronisationsprojekt können Sie SAP Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in die SAP-Umgebung provisioniert.

Um die Datenbank und die SAP R/3-Umgebung regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.

  • Um bei der Synchronisation den One Identity Manager als Mastersystem zu nutzen, erstellen Sie einen WorkflowClosed mit der SynchronisationsrichtungClosed "In das Zielsystem".
  • Um festzulegen, welche SAP Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den ScopeClosed der Zielsystemverbindung und der One Identity Manager-DatenbankverbindungClosed. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.
  • Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.
  • Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Mandanten eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an den Mandanten als Variablen.
  • Wenn sich das One Identity Manager SchemaClosed oder das ZielsystemschemaClosed geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das MappingClosed aufnehmen.
  • Um Daten zu synchronisieren, für die keine Schematypen im KonnektorschemaClosed angelegt sind, legen Sie eigene Schematypen an.

Wichtig: Solange eine Synchronisation ausgeführt wird, sollte keine weitere Synchronisation für dasselbe Zielsystem gestartet werden. Das gilt insbesondere, wenn dieselben Synchronisationsobjekte verarbeitet werden.

  • Wenn eine weitere Synchronisation mit derselben StartkonfigurationClosed gestartet wird, wird dieser Prozess gestoppt und erhält den Ausführungsstatus "Frozen". Es wird eine Fehlermeldung in die Protokolldatei des One Identity Manager Service geschrieben.
  • Wenn eine weitere Synchronisation mit einer anderen Startkonfiguration gestartet wird, die dasselbe Zielsystem anspricht, kann das zu Synchronisationsfehlern oder Datenverlust führen. Planen Sie die Startzeiten sorgfältig. Wenn möglich, legen Sie die Startzeiten so fest, dass sich die Synchronisationen zeitlich nicht überschneiden.

Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating