Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung
Einrichten von Kontendefinitionen Basisdaten zur Benutzerverwaltung Bearbeiten eines Servers Zielsystemverantwortliche
SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Systeme Anhang: Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Anhang: Standardprojektvorlage für die Synchronisation einer SAP R/3-Umgebung Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Anhang: Beispiel für eine Schemaerweiterungsdatei

Beschleunigung der Synchronisation durch Revisionsfilterung

Beschleunigung der Synchronisation durch Revisionsfilterung

Beim Start der SynchronisationClosed werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.

SAP R/3 unterstützt die Revisionsfilterung. Als Revisionszähler wird das Datum der letzte Änderung der SAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum als RevisionClosed in der One Identity Manager-Datenbank (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben WorkflowClosed genutzt. Bei der Synchronisation mit diesem Workflow wird das Änderungsdatum der SAP Objekte mit der in der One Identity Manager-Datenbank gespeicherten Revision verglichen. Es werden nur noch die Objekte aus dem Zielsystem gelesen, die sich seit diesem Datum verändert haben.

Hinweis: SAP Rollen erhalten als Änderungsinformation im Zielsystem das Datum der letzten Generierung der Rolle. Bei der Synchronisation mit Revisionsfilterung werden nur die SAP Rollen in der Datenbank aktualisiert, die seit der letzten Synchronisation im Zielsystem erneut generiert wurden.

Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die nach diesem Zeitpunkt geändert werden, werden erst mit der nächsten Synchronisation erfasst.

Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.

Um die Revisionsfilterung an einem Workflow zuzulassen

  • Öffnen Sie das SynchronisationsprojektClosed im Synchronization EditorClosed.

  • Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag RevisionsfilterClosed nutzen.

Um die Revisionsfilterung an einer StartkonfigurationClosed zuzulassen

  • Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  • Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.
Detaillierte Informationen zum Thema
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation

Synchronisation von Sammelrollen

Synchronisation von Sammelrollen

In der Tabelle SAPUserInSAPRole werden nur direkt zugewiesene Einzel- und Sammelrollen abgebildet. Die Zuordnungen von Einzelrollen an Sammelrollen sind in der Tabelle SAPCollectionRPG abgebildet. Über beide Tabellen zusammen kann ermittelt werden, welche Einzelrollen einem Benutzerkonto indirekt zugewiesen sind.

Für die Vererbung von Einzelrollen an Benutzerkonten gilt standardmäßig: Ist einem Benutzerkonto eine Einzelrolle zugewiesen und ist diese Einzelrolle Bestandteil einer Sammelrolle, die dem Benutzerkonto ebenfalls zugewiesen ist, dann wird die Einzelrolle nicht zusätzlich an das Benutzerkonto vererbt. Damit wird die Mitgliedschaft des Benutzerkontos in der Einzelrolle bei der ProvisionierungClosed von Gruppenmitgliedschaften in die SAP R/3-Umgebung entfernt. Bei der nächsten SynchronisationClosed wird diese Mitgliedschaft in der One Identity Manager Datenbank gelöscht oder als ausstehend markiert, je nach Konfiguration der Synchronisation.

Um zu verhindern, dass Mitgliedschaften in Einzelrollen entfernt werden, wenn die Einzelrollen Bestandteil von Sammelrollen sind

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\SAPR3\KeepRedundantProfiles".

Einschränken der Synchronisationsobjekte über Benutzerrechte

Einschränken der Synchronisationsobjekte über Benutzerrechte

Der One Identity Manager bietet die Möglichkeit die zu synchronisierenden Benutzerkonten und Gruppen über Benutzerrechte einzuschränken. Dabei werden nur die Benutzerkonten und Gruppen synchronisiert, auf die das Benutzerkonto, mit dem sich der SAP R/3 Konnektor am ZielsystemClosed anmeldet, berechtigt ist. Alle übrigen Gruppen und Benutzerkonten werden aus der Userliste und Gruppenliste des Funktionsbausteins "/VIAENET/U" herausgefiltert. Soll nur ein kleiner Teil, der in der SAP R/3-Umgebung vorhandenen Benutzerkonten und Gruppen mit der One Identity Manager-Datenbank synchronisiert werden, kann die SynchronisationClosed auf diese Weise beschleunigt werden.

Voraussetzungen
  • Dem Benutzerkonto, mit dem sich der SAP R/3 Konnektor am Zielsystem anmeldet, sind in der SAP R/3-Umgebung im Berechtigungsobjekt S_USER_GRP, Merkmal CLASS genau die Gruppen zugewiesen, die synchronisiert werden sollen.
  • Es gibt Benutzerkonten, denen eine dieser Gruppen in der SAP R/3-Umgebung als Benutzergruppe für die Berechtigungsprüfung (in den Logondaten) zugewiesen ist.

Bei der Synchronisation werden genau die Gruppen in die One Identity Manager-Datenbank eingelesen, auf die dem Benutzerkonto, mit dem sich der SAP R/3 Konnektor am Zielsystem anmeldet, im Berechtigungsobjekt S_USER_GRP Zugriff gewährt ist. Alle Benutzerkonten, denen eine dieser Gruppen als Benutzergruppe für die Berechtigungsprüfung zugewiesen ist, werden ebenfalls synchronisiert. Alle anderen Gruppen und Benutzerkonten werden bei der Synchronisation wie im Zielsystem nicht vorhandene Objekte behandelt.

Nachbehandlung ausstehender Objekte

Nachbehandlung ausstehender Objekte

Objekte, die im ZielsystemClosed nicht vorhanden sind, können bei der SynchronisationClosed in den One Identity Manager als ausstehend gekennzeichnet werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.

Objekte, die als ausstehend gekennzeichnet wurden,

  • können im One Identity Manager nicht bearbeitet werden,
  • werden bei jeder weiteren Synchronisation ignoriert,
  • müssen im One Identity Manager einzeln nachbearbeitet werden.

Führen Sie dafür einen Zielsystemabgleich durch.

Um ausstehende Objekte nachzubearbeiten

  1. Wählen Sie die Kategorie SAP R/3 | Zielsystemabgleich: SAP R/3.

    In der Navigationsansicht werden alle Tabellen angezeigt, die dem ZielsystemtypClosed SAP R/3 als Synchronisationstabellen zugewiesen sind.

  1. Wählen Sie in der Navigationsansicht die Tabelle, für die sie ausstehende Objekte nachbearbeiten möchten.

    Das Formular für den Zielsystemabgleich wird geöffnet. Hier werden alle Objekte angezeigt, die als ausstehend markiert sind.

    TIPP:

    Um die Objekteigenschaften eines ausstehenden Objekts anzuzeigen

    1. Wählen Sie auf dem Formular für den Zielsystemabgleich das Objekt.
    2. Öffnen Sie das Kontextmenü und klicken Sie Objekt anzeigen.
  1. Wählen Sie die Objekte, die Sie nachbearbeiten möchten. Mehrfachauswahl ist möglich.
  2. Klicken Sie in der Formularsymbolleiste eins der folgenden Symbole, um die jeweilige Methode auszuführen.
    Tabelle 24: Methoden zur Behandlung ausstehender Objekte

    Symbol

    Methode

    Beschreibung

    Löschen

    Das Objekt wird sofort in der One Identity Manager Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt. Die Markierung "Ausstehend" wird für das Objekt entfernt.

    Indirekte Mitgliedschaften können nicht gelöscht werden.

    Publizieren

    Das Objekt wird im Zielsystem eingefügt. Die Markierung "Ausstehend" wird für das Objekt entfernt.

    Die Methode löst das Ereignis "HandleOutstanding" aus. Dadurch wird ein zielsystemspezifischer Prozess ausgeführt, der den Provisionierungsprozess für das Objekt anstößt.

    Voraussetzungen:

    • Das Publizieren ist für die Tabelle, die das Objekt enthält, zugelassen.
    • Der Zielsystemkonnektor kann schreibend auf das Zielsystem zugreifen.

    Zurücksetzen

    Die Markierung "Ausstehend" wird für das Objekt entfernt.

  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Hinweis: Standardmäßig werden die ausgewählten Objekte parallel verarbeitet. Damit wird die Ausführung der ausgewählten Methode beschleunigt. Wenn bei der Verarbeitung ein Fehler auftritt, wird die Aktion abgebrochen und alle Änderungen werden rückgängig gemacht.

Um den Fehler zu lokalisieren, muss die Massenverarbeitung der Objekte deaktiviert werden. Die Objekte werden damit nacheinander verarbeitet. Das fehlerhafte Objekt wird in der Fehlermeldung benannt. Alle Änderungen, die bis zum Auftreten des Fehlers vorgenommen wurden, werden gespeichert.

Um die Massenverarbeitung zu deaktivieren

  • Deaktivieren Sie in der Formularsymbolleiste .

Für die Synchronisation in kundenspezifische Tabellen müssen Sie den Zielsystemabgleich anpassen.

Um kundenspezifische Tabellen in den Zielsystemabgleich aufzunehmen

  1. Wählen Sie die Kategorie SAP R/3 | Basisdaten zur Konfiguration | Zielsystemtypen.
  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp SAP R/3.
  3. Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die kundenspezifischen Tabellen zu, für die Sie ausstehende Objekte behandeln möchten.
  5. Speichern Sie die Änderungen.
  6. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
  7. Wählen Sie die kundenspezifischen Tabellen, für die ausstehende Objekte in das Zielsystem publiziert werden dürfen und aktivieren Sie die Option Publizierbar.
  8. Speichern Sie die Änderungen.

Hinweis: Damit ausstehende Objekte in der Nachbehandlung publiziert werden können, muss der Zielsystemkonnektor schreibend auf das Zielsystem zugreifen können. Das heißt, an der Zielsystemverbindung ist die Option Verbindung darf nur gelesen werden deaktiviert.
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating