Chat now with support
Chat with Support

Identity Manager 8.2.1 - Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung

Verwalten einer SAP R/3-Umgebung Einrichten der Synchronisation mit einer SAP R/3-Umgebung Basisdaten für die Verwaltung einer SAP R/3-Umgebung Basisdaten zur Benutzerverwaltung SAP Systeme SAP Mandanten SAP Benutzerkonten SAP Gruppen, SAP Rollen und SAP Profile SAP Produkte Bereitstellen der Daten für die Systemvermessung Berichte über SAP Objekte Auflösen einer Zentralen Benutzerverwaltung Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe Beispiel für eine Schemaerweiterungsdatei

Auflösen einer Zentralen Benutzerverwaltung

Der One Identity Manager unterstützt Sie dabei, einzelne Mandanten aus einer Zentralen Benutzerverwaltung herauszulösen oder eine ZBVGeschlossen vollständig aufzulösen. Nach der Umstellung können die einzelnen Mandanten unabhängig voneinander im One Identity Manager verwaltet werden. Einige Aufgaben können automatisiert erledigt werden, andere müssen anschließend manuell ausgeführt werden. Dazu gehören beispielsweise das Einrichten neuer Synchronisationsprojekte und die Auflösung des ZBV-Verteilungsmodells in der SAP R/3-Umgebung.

Empfehlungen
  • Benutzerkonten mit Personen verbinden

    Vor der Auflösung einer ZBV sollte sichergestellt sein, dass jedes Benutzerkonto mit einer Person verbunden ist. Bei der Auflösung der ZBV wird in jedem Mandanten ein neues Benutzerkonto angelegt. Wenn ein Benutzerkonto in verschiedenen Mandanten zugriffsberechtigt ist, werden daher mehrere Benutzerkonten angelegt. Die Verbindung zwischen diesen Benutzerkonten kann nur über die verbundene Person hergestellt werden.

  • Backup der One Identity Manager-Datenbank erstellen

    Die Konvertierung der Daten kann nicht rückgängig gemacht werden. Stellen Sie sicher, dass von der One Identity Manager-Datenbank ein aktuelles Backup vorhanden ist.

Um eine ZBV aufzulösen, lösen Sie zuerst die einzelnen Tochtersysteme heraus und prüfen Sie die erfolgreiche Konvertierung. Nachdem alle Tochtersysteme herausgelöst wurden, können Sie das Zentralsystem konvertieren und die ZBV aus dem Verteilungsmodell der SAP R/3-Umgebung löschen.

Detaillierte Informationen zum Thema
Verwandte Themen

Tochtersysteme herauslösen

Die Tochtersysteme können einzeln aus der ZBVGeschlossen herausgelöst werden, ohne die komplette ZBV aufzulösen. Das Auflösen einer ZBV kann dadurch Schritt für Schritt umgesetzt und getestet werden. Folgende Schritte müssen für jedes Tochtersystem ausgeführt werden:

  1. Tochtersystem im One Identity Manager aus der ZBV herauslösen
  2. Neues Synchronisationsprojekt einrichten und Mandant synchronisieren
  3. Tochtersysteme aus dem ZBV-Verteilungsmodell der SAP R/3-Umgebung herauslösen

Um ein Tochtersystem aus der ZBV herauszulösen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste das Tochtersystem, das Sie herauslösen möchten.

  3. Wählen Sie die Aufgabe Mandant aus der ZBV lösen und bestätigen Sie die Sicherheitsabfrage mit Ja.

Nach einer Prüfung, ob der Mandant herausgelöst werden kann, konvertiert der One Identity Manager die Daten.

  • Benutzerkonten und ihre externen Kennungen werden vom Zentralsystem in das Tochtersystem kopiert.
  • SAP Gruppen und die Zuweisungen der Gruppen an Benutzerkonten werden vom Zentralsystem in das Tochtersystem kopiert.
  • SAP Rollen und Profile werden konvertiert und den kopierten Benutzerkonten zugewiesen.
  • Die Zugriffsberechtigungen der Benutzerkonten auf das Tochtersystem werden entfernt (Bereinigung der Tabelle SAPUserMandant).
  • Die Zuordnung des Mandanten zum Zentralsystem wird gelöst.
  • Wenn dem Mandanten eine Kontendefinition zugewiesen ist, wird diese konvertiert. Die Tabelle SAPUser wird als Benutzerkontentabelle zugeordnet.

Um die Synchronisation für den herausgelösten Mandanten einzurichten

  1. Wenn der Mandant in einem anderen SAP System gehostet wird als das Zentralsystem, dann ist für diesen Mandanten ein Synchronisationsprojekt vorhanden. Löschen Sie dieses Synchronisationsprojekt.

  2. Erstellen Sie ein neues Synchronisationsprojekt. Nutzen Sie dafür die Projektvorlage SAP R/3 Synchronization (Base Administration).

    Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten.

    TIPP: Exisitiert bereits ein passendes Synchronisationsprojekt für einen SAP Mandant mit identischem Schema, dann kann der herausgelöste Mandant als weiteres Basisobjekt zu diesem Synchronisationsprojekt zugeordnet werden.

  3. Starten Sie die Synchronisation.

  4. Prüfen Sie das Synchronisationsergebnis. Beheben Sie Fehler und behandeln Sie ausstehende Objekte.

Um das Tochtersystem aus dem ZBV-Verteilungsmodell herauszulösen

  • Wenn die Synchronisation fehlerfrei ausgeführt wurde, löschen Sie das Tochtersystem aus dem Verteilungsmodell der ZBV in der SAP R/3-Umgebung.

    Dabei soll lediglich die Zuordnung des Mandanten zum ZBV-Verteilungsmodell entfernt werden. Ausführliche Informationen finden Sie in der Dokumentation Ihrer SAP R/3-Umgebung.

Verwandte Themen

Zentralsystem konvertieren

Sobald alle Tochtersysteme aus einer Zentralen Benutzerverwaltung herausgelöst wurden, kann auch das Zentralsystem konvertiert werden. Folgende Schritte müssen ausgeführt werden:

  1. Zentralsystem im One Identity Manager konvertieren
  2. Benutzerkonten ohne Zulassung zum Zentralsystem löschen
  3. ZBVGeschlossen aus dem Verteilungsmodell der SAP R/3-Umgebung löschen
  4. Neues Synchronisationsprojekt einrichten und Mandant synchronisieren

Um das Zentralsystem zu konvertieren

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste das Zentralsystem.

  3. Wählen Sie die Aufgabe Mandant aus der ZBV lösen und bestätigen Sie die Sicherheitsabfrage mit Ja.

    Nach einer Prüfung, ob der Mandant zur Konvertierung zugelassen ist, werden die Daten in der One Identity Manager-Datenbank konvertiert.

    • SAP Rollen und Profile des Zentralsystems werden konvertiert.
    • Zuweisungen der SAP Rollen und Profile an die Benutzerkonten werden konvertiert.
    • Die Zugriffsberechtigungen der Benutzerkonten auf das Zentralsystem werden entfernt (Bereinigung der Tabelle SAPUserMandant).
    • Die Kennzeichnung des Mandanten als Zentralsystem wird entfernt.
  4. Wenn die Konvertierung abgeschlossen ist, muss entschieden werden, wie mit Benutzerkonten verfahren werden soll, die innerhalb der ZBV keine Zugriffsberechtigung für das Zentralsystem hatten.

    • Wenn diese Benutzerkonten gelöscht werden sollen, klicken Sie Ja.

      Wählen Sie diese Möglichkeit, um sicherzustellen, dass nur die Benutzer Zugriff auf den Mandanten erhalten, die auch vor der Konvertierung zugriffsberechtigt waren. Benutzerkonten, die durch eine IT Shop-Bestellung oder durch Vererbung einer gültigen Kontendefinition entstanden sind, bleiben erhalten.

      Alle übrigen Benutzerkonten ohne Zugriffsberechtigung werden gelöscht.

    • Wenn diese Benutzerkonten erhalten bleiben sollen, klicken Sie Nein.

      Die Benutzerkonten bleiben erhalten und sind dadurch in diesem Mandanten zugriffsberechtigt.

  5. Entscheiden Sie, wie mit Benutzerkonten verfahren werden soll, die über eine gültige Kontendefinition entstanden sind. Wenn diese Benutzerkonten gelöscht werden sollen, entfernen Sie die Zuweisung der Kontendefinition an die Personen.

    Weitere Informationen finden Sie unter Zuweisen der Kontendefinition an Personen.

WICHTIG: Alle Provisionierungsprozesse müssen abgearbeitet sein, bevor die Konvertierung fortgesetzt werden kann.

Führen Sie den folgenden Schritt aus, bevor Sie ein neues Synchronisationsprojekt für den Mandanten erstellen.

Um die ZBV aus dem Verteilungsmodell der SAP R/3-Umgebung zu löschen

  • Wenn alle Tochtersysteme aus dem ZBV-Verteilungsmodell in der SAP R/3-Umgebung herausgelöst wurden, löschen Sie die gesamte ZBV aus dem Verteilungsmodell.

    • Legen Sie fest, wie mit Benutzerkonten verfahren werden soll, die innerhalb der ZBV keine Zugriffsberechtigung für das Zentralsystem hatten.

      Wenn diese Benutzerkonten im One Identity Manager gelöscht wurden, wählen Sie hier die Option Benutzer zusätzlich lokal sperren.

      Dadurch werden die Benutzerkonten, die über eine Kontendefinition entstanden sind, gesperrt und erhalten damit keine Zugriffsberechtigung auf den Mandanten.

    Ausführliche Informationen finden Sie in der Dokumentation Ihrer SAP R/3-Umgebung.

Um die Synchronisation für den Mandanten einzurichten

  1. Löschen Sie das Synchronisationsprojekt für das Zentralsystem.

  2. Erstellen Sie ein neues Synchronisationsprojekt. Nutzen Sie dafür die Projektvorlage SAP R/3 Synchronization (Base Administration).

    • Deaktivieren Sie auf der Seite Zusätzliche Einstellungen die Option Zentralsystem einer ZBV.

    Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten.

    TIPP: Existiert bereits ein passendes Synchronisationsprojekt für einen SAP Mandant mit identischem Schema, dann kann der herausgelöste Mandant als weiteres Basisobjekt zu diesem Synchronisationsprojekt zugeordnet werden.

  3. Starten Sie die Synchronisation.

  4. Prüfen Sie das Synchronisationsergebnis. Beheben Sie Fehler und behandeln Sie ausstehende Objekte.

    Benutzerkonten, die keine Zugriffsberechtigung für das Zentralsystem hatten und über eine Kontendefinition entstanden sind, sind gesperrt.

  5. Prüfen Sie die gesperrten Benutzerkonten.

    1. Entsperren Sie alle Benutzerkonten, die Zugriff auf den Mandanten erhalten sollen.

    2. Für alle Benutzerkonten, die gelöscht werden sollen, entziehen Sie den verbundenen Personen die Kontendefinition.

      Weitere Informationen finden Sie unter Zuweisen der Kontendefinition an Personen.

Verwandte Themen

Erfolgreiche Konvertierung prüfen

Wurden alle Tochtersysteme fehlerfrei herausgelöst und das Zentralsystem fehlerfrei konvertiert, ist die ZBVGeschlossen aufgelöst. Die SAP Benutzerkonten in allen ehemals beteiligten Mandanten können wahlweise separat oder über die verbundene Person administriert werden.

Um die korrekte Konvertierung eines Tochtersystems zu prüfen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste den Mandanten des ehemaligen Tochtersystems.

  3. Prüfen Sie folgende Stammdaten:

    • ALE Name: Wert gelöscht.
    • ALE Modelname: Wert gelöscht.
    • ZBV Status: kein ZBV-System
    • Zentralsystem der ZBV: nicht zugeordnet
  4. Wählen Sie die Aufgabe Überblick über den SAP Mandanten.

  5. Klicken Sie auf das Formularelement für die zugeordnete Kontendefinition und prüfen Sie die Stammdaten der Kontendefinition.

    • Benutzerkontentabelle: SAPUser
    • Vorausgesetzte Kontendefinition: Die Kontendefinition des Zentralsystems ist zugeordnet.

  6. Prüfen Sie, ob die vorausgesetzte Kontendefinition noch benötigt wird.

    Nach Auflösung der ZBV ist ein Benutzerkonto im Zentralsystem nicht mehr notwendige Voraussetzung für die Erstellung eines Benutzerkontos im ehemaligen Tochtersystem. In diesem Fall kann die vorausgesetzte Kontendefinition entfernt werden.

  7. Die Synchronisation ist eingerichtet und funktioniert fehlerfrei.

Um die korrekte Konvertierung des Zentralsystems zu prüfen

  1. Wählen Sie im Manager die Kategorie SAP R/3 | Mandanten.

  2. Wählen Sie in der Ergebnisliste den Mandanten des ehemaligen Zentralsystems.

  3. Prüfen Sie folgende Stammdaten:

    • ALE Name: Wert gelöscht.
    • ALE Modelname: Wert gelöscht.
    • ZBV Status: kein ZBV-System
  4. Wählen Sie die Aufgabe Überblick über den SAP Mandanten.

    Es ist kein Tochtersystem zugeordnet.

  5. Die Synchronisation ist eingerichtet und funktioniert fehlerfrei.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating