Funktionsdefinitionen importieren
Um SAP Funktionen beispielsweise aus einer Entwicklungsumgebung in eine Produktivdatenbank zu übernehmen, können die Funktionsdefinitionen in CSV-Dateien exportiert werden. Diese CSV-Dateien können in andere Datenbanken importiert werden.
Beim Import von SAP Funktionen aus einer vorhandenen CSV-Datei werden die in der CSV-Datei enthaltenen Funktionsdefinitionen als Arbeitskopien in die Datenbank übertragen. Damit Funktionsdefinitionen importiert werden können, müssen folgende Datenfelder in der CSV-Datei vorhanden sein.
Tabelle 19: Datenfelder für den Import von Funktionsdefinitionen
|
Function |
Funktionsdefinition |
|
TransactionType |
Berechtigungsvorschlagswert |
|
Object |
Berechtigungsobjekt |
|
Field |
Berechtigungsfeld |
|
Value From |
Wert/Untere Bereichsgrenze |
|
Value To |
Obere Bereichsgrenze |
|
State |
Keine Entsprechung.
Über den Importstatus wird geregelt, welche Datensätze in den One Identity Manager importiert werden sollen.
1: importieren |
|
Process (optional) |
Kategorie |
|
Function Description (optional) |
Beschreibung der Funktionsdefinition. |
|
Risk Level (optional) |
Auswirkung
Mögliche Werte sind {Low|Medium|High|Critical}. |
|
Transaction (optional) |
Transaktionscode |
|
AUTHPGMID (optional) |
TADIR-Programm-ID |
|
AUTHOBJTYP (optional) |
TADIR-Objekttyp |
|
AUTHOBJNAM (optional) |
TADIR-Objektname |
|
SRV_TYPE (optional) |
Type des externen Services |
|
SRV_NAME (optional) |
Name des externen Services |
|
RFC_TYPE (optional) |
RFC-Objekttyp |
|
RFC_NAME (optional) |
RFC-Objektname |
|
SAPHashValue (optional) |
Hashwert |
|
Field Description (optional) |
Beschreibung der Berechtigungsfelder, Berechtigungsobjekte und SAP Applikationen. |
HINWEIS:
-
Die Reihenfolge der Datenfelder ist beliebig.
-
Alle benötigten Datenfelder müssen in der Kopfzeile definiert und in den Datensätzen vorhanden sein.
-
Datenfelder ohne Wert sind durch zwei aufeinanderfolgende Trennzeichen zu kennzeichnen.
-
Datensätze mit fehlenden Pflichtfeldern werden nicht importiert.
Um Funktionsdefinitionen zu importieren
-
Wählen Sie im Manager die Kategorie Identity Audit.
-
Wählen Sie das Menü Plugins | SAP Funktionsdefinitionen Import.
-
Wählen Sie die zu importierende CSV-Datei und klicken Sie Öffnen.
-
Bestätigen Sie die Sicherheitsabfrage mit Ja.
Es werden alle Funktionsdefinitionen als Arbeitskopien in die Datenbank übertragen. Wenn bereits eine Arbeitskopie mit gleichem Namen in der Datenbank vorhanden ist, wird diese durch den Import überschrieben.
Verwandte Themen
Complianceregeln für SAP Funktionen
Neben den Berechtigungen, die eine Person in einem SAP R/3 System aufgrund ihrer Benutzerkonten und Gruppen- und Rollenmitgliedschaften haben kann, können auch die effektiven Bearbeitungsrechte durch Complianceregeln überprüft werden. Effektive Bearbeitungsrechte werden über SAP Funktionen geprüft. Dafür werden die SAP Funktionen in Regelbedingungen aufgenommen.
Bei der Regelprüfung wird der Gültigkeitszeitraum von Rollenzuweisungen berücksichtigt.
Ausführliche Informationen über Complianceregeln finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Regelbedingungen für SAP Funktionen
Um eine neue Regel für SAP Funktionen zu definieren
-
Wählen Sie im Manager die Kategorie Identity Audit | Regeln.
-
Klicken Sie in der Ergebnisliste 
.
-
Erfassen Sie die Stammdaten der Regel.
-
Aktivieren Sie die Option Regel für zyklische Prüfung und Risikobewertung im IT Shop.
-
Grenzen Sie die betroffenen Berechtigungen über die Option mindestens eine Funktion ein und wählen Sie die zu prüfende SAP Funktion.
-
Speichern Sie die Änderungen.
Es wird eine Arbeitskopie angelegt.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren und bestätigen Sie die Sicherheitsabfrage mit OK.
Es wird eine aktive Regel in der Datenbank angelegt. Die Arbeitskopie bleibt bestehen und wird für nachfolgende Regeländerungen genutzt.
Abbildung 3: Bedingung für SAP Funktionen
Der One Identity Manager ermittelt bei der Regelprüfung alle Personen, die über die ihnen zugeordneten SAP Benutzerkonten die in der Regel angegebenen SAP Funktionen treffen. Ein SAP Benutzerkonto trifft eine SAP Funktion, wenn
-
eine SAP Rolle, die dem SAP Benutzerkonto zugewiesen ist, die SAP Funktion trifft
- ODER -
-
eine SAP Rolle, die einem Referenzbenutzer zugewiesen ist, die SAP Funktion trifft
- UND -
-
dem SAP Benutzerkonto dieser Referenzbenutzer zugeordnet ist
Ausführliche Informationen zum Erstellen von Regelbedingungen finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Weitere Berichte über Regelverletzungen
Der One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für aktive Complianceregeln für SAP Funktionen können zusätzliche Berichte erstellt werden.
Tabelle 20: Berichte über Regelverletzungen mit SAP Funktionen
|
Regelverletzungen mit SAP Applikationen |
Der Bericht stellt alle Regelverletzungen für die ausgewählte Regel zusammen. Er liefert Ergebnisse für Regeln die SAP Funktionen prüfen.
Zu jeder Person werden alle Funktionsausprägungen mit ihren SAP Applikationen aufgelistet, durch welche die Person die Regel verletzt. Zu jeder SAP Applikation werden die SAP Profile mit ihren Berechtigungsobjekten dargestellt, welche die SAP Funktion treffen. |
|
Regelverletzungen mit SAP Rollen |
Der Bericht stellt alle Regelverletzungen für die ausgewählte Regel zusammen. Er liefert Ergebnisse für Regeln die SAP Funktionen prüfen.
Zu jeder Person werden die SAP Gruppen, SAP Rollen und SAP Profile und deren Berechtigungsobjekte aufgelistet, durch die die Person die Regel verletzt. |
|
SAP Rollen und Profile mit Regelverletzungen |
Der Bericht zeigt alle SAP Rollen und Profile, die SAP Funktionen treffen und dadurch die ausgewählte Regel verletzen. |
