Nachdem Sie die Stammdaten erfasst haben, können Sie die folgenden Aufgaben ausführen.
Verwalten einer SAP R/3-Umgebung
Einrichten der Synchronisation mit einer SAP R/3-Umgebung
Benutzer und Berechtigungen für die Synchronisation mit einer SAP R/3-Umgebung
Einspielen des One Identity Manager Business Application Programing Interface
Einrichten des Synchronisationsservers
Erstellen eines Synchronisationsprojektes für die initiale Synchronisation eines SAP Mandanten
Besonderheiten bei der Synchronisation mit dem Zentralsystem einer ZBV
Synchronisationsergebnisse anzeigen
Anpassen einer Synchronisationskonfiguration
Basisdaten für die Verwaltung einer SAP R/3-Umgebung
Synchronisation in die SAP R/3-Umgebung konfigurieren
Synchronisation verschiedener Mandanten konfigurieren
Einstellungen der Systemverbindung zum SAP Mandanten ändern
Schema aktualisieren
Weitere Schematypen anlegen
Schemaerweiterungsdatei erstellen
Beschleunigung der Synchronisation durch Revisionsfilterung
Einschränken der Synchronisationsobjekte über Benutzerrechte
Nachbehandlung ausstehender Objekte
Provisionierung von Mitgliedschaften konfigurieren
Einzelobjektsynchronisation konfigurieren
Beschleunigung der Provisionierung und Einzelobjektsynchronisation
Unterstützung bei der Analyse von Synchronisationsproblemen
Deaktivieren der Synchronisation
Einzelobjekte synchronisieren
Datenfehler bei der Synchronisation ignorieren
Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Einrichten von Kontendefinitionen
Basisdaten zur Benutzerverwaltung
Erstellen einer Kontendefinition
Erstellen der Automatisierungsgrade
Erstellen einer Abbildungsvorschrift für IT Betriebsdaten
Erfassen der IT Betriebsdaten
Ändern der IT Betriebsdaten
Zuweisen der Kontendefinition an Personen
Bearbeiten eines Servers
Zielsystemverantwortliche
Kontendefinition an Abteilungen, Kostenstellen und Standorte zuweisen
Kontendefinition an Geschäftsrollen zuweisen
Kontendefinition an alle Personen zuweisen
Kontendefinition direkt an Personen zuweisen
Kontendefinition an Systemrollen zuweisen
Kontendefinition in den IT Shop aufnehmen
Zuweisen der Kontendefinition an ein Zielsystem
Löschen einer Kontendefinition
Benutzerkontentypen
Typen für externe Kennungen
SAP Parameter
SAP Systeme
SAP Mandanten
Stammdaten für SAP Parameter anzeigen
Allgemeine Stammdaten für SAP Parameter
SAP Parameter an Abteilungen, Kostenstellen und Standorte zuweisen
SAP Parameter an Geschäftsrollen zuweisen
SAP Parameter an Systemrollen zuweisen
Parameterwerte für indirekte SAP Parameterzuweisungen bearbeiten
Vererbung von Parameterwerten an SAP Benutzerkonten
Drucker
Kostenstellen
Startmenüs
Firmen
Anmeldesprachen
Sicherheitsrichtlinien
Kommunikationsarten
Lizenzen
Lizenzerweiterungen
Kennwortrichtlinien für SAP Benutzerkonten
Vordefinierte Kennwortrichtlinien
Anwenden einer Kennwortrichtlinie
Bearbeiten von Kennwortrichtlinien
Initiales Kennwort für neue SAP Benutzerkonten
E-Mail-Benachrichtigungen über Anmeldeinformationen
Allgemeine Stammdaten einer Kennwortrichtlinie
Richtlinieneinstellungen
Zeichenklassen für Kennwörter
Kundenspezifische Skripte für Kennwortanforderungen
Ausschlussliste für Kennwörter
Prüfen eines Kennwortes
Generieren eines Kennwortes testen
Allgemeine Stammdaten eines SAP Mandanten
Festlegen der Kategorien für die Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen
Synchronisationsprojekt bearbeiten
SAP Benutzerkonten
Benutzerkonten mit Personen verbinden
Unterstützte Typen von Benutzerkonten
Zentrale Benutzerverwaltung im One Identity Manager
Erfassen der Stammdaten für SAP Benutzerkonten
SAP Gruppen, SAP Rollen und SAP Profile
Allgemeine Stammdaten eines SAP Benutzerkontos
Arbeitsplatzdaten eines SAP Benutzerkontos
Logondaten eines SAP Benutzerkontos
Telefonnummern
Faxnummern
E-Mail-Adressen
Festwerte eines SAP Benutzerkontos
Vermessungsdaten
SNC Daten eines SAP Benutzerkontos
SAP Parameter direkt zuweisen
Zusätzliche Aufgaben zur Verwaltung von SAP Benutzerkonten
Überblick über das Benutzerkonto
Ändern des Automatisierungsgrades an einem SAP Benutzerkonto
SAP Gruppen und SAP Profile direkt an ein SAP Benutzerkonto zuweisen
SAP Rollen direkt an ein SAP Benutzerkonto zuweisen
Strukturelle Profile zuweisen
Zugriff auf Mandaten einer Zentralen Benutzerverwaltung gewähren
SAP Lizenzen zuordnen
SAP Benutzerkonto sperren und entsperren
Zusatzeigenschaften zuweisen
SAP Benutzerkonten umbenennen
Automatische Zuordnung von Personen zu SAP Benutzerkonten
Automatisches Erzeugen von Abteilungen anhand von SAP Benutzerkonteninformationen
Sperren von SAP Benutzerkonten
Löschen und Wiederherstellen von SAP Benutzerkonten
Erfassen von externen Benutzerkennungen für ein SAP Benutzerkonto
Bearbeiten der Stammdaten für SAP Gruppen, SAP Rollen und SAP Profile
SAP Produkte
Allgemeine Stammdaten von SAP Gruppen
Allgemeine Stammdaten von SAP Rollen
Allgemeine Stammdaten von SAP Profilen
SAP Gruppen, SAP Rollen und SAP Profile an SAP Benutzerkonten zuweisen
SAP Gruppen, SAP Rollen und SAP Profile an Organisationen zuweisen
SAP Gruppen, SAP Rollen und SAP Profile an Geschäftsrollen zuweisen
SAP Benutzerkonten direkt an SAP Gruppen und SAP Profile zuweisen
SAP Benutzerkonten direkt an SAP Rollen zuweisen
SAP Gruppen, SAP Rollen und SAP Profile in Systemrollen aufnehmen
SAP Gruppen, SAP Rollen und SAP Profile in den IT Shop aufnehmen
Zuordnung und Vererbung von SAP Profilen und SAP Rollen an SAP Benutzerkonten
Zuweisung von Einzelrollen konfigurieren
Vererbung von SAP Profilen und SAP Rollen in einer Zentralen Benutzerverwaltung
Zusätzliche Aufgaben zur Verwaltung der SAP Gruppen, SAP Rollen und SAP Profile
Überblick über die SAP Gruppen, SAP Rollen, SAP Profile
Wirksamkeit von SAP Gruppen, SAP Rollen und SAP Profilen
Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen anhand von Kategorien
Zusatzeigenschaften an SAP Gruppen, SAP Rollen und SAP Profile zuweisen
SAP Berechtigungen anzeigen
Gültigkeitszeitraum von Rollenzuweisungen
Allgemeine Stammdaten eines SAP Produkts
SAP Produkte an Personen zuweisen
Bereitstellen der Daten für die Systemvermessung
SAP Produkte an Organisationen zuweisen
SAP Produkte an Geschäftsrollen zuweisen
SAP Produkte direkt an Personen zuweisen
SAP Produkte in Systemrollen aufnehmen
SAP Produkte in den IT Shop aufnehmen
Zusätzliche Aufgaben zur Verwaltung von SAP Produkten
Überblick über das SAP Produkt
SAP Gruppen, SAP Rollen und SAP Profile an ein SAP Produkt zuweisen
SAP Parameter an SAP Produkte zuweisen
Kontendefinitionen an ein SAP Produkt zuweisen
Abonnierbare Berichte an ein SAP Produkt zuweisen
Zusatzeigenschaften an ein SAP Produkt zuweisen
Widersprechende Systemrollen bearbeiten
Abbildung der Vermessungsdaten
Lizenzen an den SAP Benutzerkonten eintragen
Lizenzen über SAP Rollen und SAP Profile ermitteln
Berichte über SAP Objekte
Auflösen einer Zentralen Benutzerverwaltung
Beheben von Fehlern beim Anbinden einer SAP R/3-Umgebung
Konfigurationsparameter für die Verwaltung einer SAP R/3-Umgebung
Standardprojektvorlagen für die Synchronisation einer SAP R/3-Umgebung
Projektvorlage für Mandanten ohne ZBV
Projektvorlage für das Zentralsystem einer ZBV
Projektvorlage für untergeordnete ZBV-Systeme
Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe
Beispiel für eine Schemaerweiterungsdatei
Zusätzliche Aufgaben zur Verwaltung der SAP Gruppen, SAP Rollen und SAP Profile
Überblick über die SAP Gruppen, SAP Rollen, SAP Profile
Um einen Überblick über eine Gruppe zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Gruppen.
- Wählen Sie in der Ergebnisliste die Gruppe.
- Wählen Sie die Aufgabe Überblick über die SAP Gruppe.
Um einen Überblick über ein Profil zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Profile.
- Wählen Sie in der Ergebnisliste das Profil.
- Wählen Sie die Aufgabe Überblick über das SAP Profil.
Um einen Überblick über eine Rolle zu erhalten
- Wählen Sie die Kategorie SAP R/3 | Rollen.
- Wählen Sie in der Ergebnisliste die Rolle.
- Wählen Sie die Aufgabe Überblick über die SAP Rolle.
Wirksamkeit von SAP Gruppen, SAP Rollen und SAP Profilen
Hinweis: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.
| Konfigurationsparameter | Wirkung bei Aktivierung |
|---|---|
|
QER | Structures | Inherite | GroupExclusion |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Konfigurationsparameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Konfigurationsparameter erfordert eine Kompilierung der Datenbank. |
Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
- Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
- Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in den Tabellen
Beispiel: Wirksamkeit von Gruppenmitgliedschaften
- In
- Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.
Clara Harris hat ein Benutzerkonto
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person
|
Wirksame Gruppe |
Ausgeschlossene Gruppe |
|---|---|
|
Gruppe A |
|
|
Gruppe B |
Gruppe A |
|
Gruppe C |
Gruppe B |
|
Person |
Mitglied in Rolle |
Wirksame Gruppe |
|---|---|---|
|
Ben King |
Marketing |
Gruppe A |
|
Jan Bloggs |
Marketing, Finanzen |
Gruppe B |
|
Clara Harris |
Marketing, Finanzen, Kontrollgruppe |
Gruppe C |
|
Jenny Basset |
Marketing, Kontrollgruppe |
Gruppe A, Gruppe C |
Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.
Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.
|
Person |
Mitglied in Rolle |
Zugewiesene Gruppe |
Ausgeschlossene Gruppe |
Wirksame Gruppe |
|---|---|---|---|---|
|
Jenny Basset
|
Marketing |
Gruppe A |
|
Gruppe C
|
|
Kontrollgruppe |
Gruppe C |
Gruppe B
Gruppe A |
Voraussetzungen
-
Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.
Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Sich ausschließende Gruppen, Rollen und Profile gehören zum selben Mandanten.
Um Gruppen auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen.
-
Wählen Sie in der Ergebnisliste eine Gruppe.
-
Wählen Sie die Aufgabe Gruppen ausschließen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Um Rollen auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Rollen.
-
Wählen Sie in der Ergebnisliste die Rolle.
-
Wählen Sie die Aufgabe SAP Rollen ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Rollen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Um Profile auszuschließen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Profile.
-
Wählen Sie in der Ergebnisliste das Profil.
-
Wählen Sie die Aufgabe Profile ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Profile, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Vererbung von SAP Gruppen, SAP Rollen und SAP Profilen anhand von Kategorien
HINWEIS: Für ein leichteres Verständnis ist in diesem Abschnitt das Verhalten anhand der SAP Gruppen beschrieben. Es gilt gleichermaßen für Rollen und Profile.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
| Kategorieposition | Kategorien für Benutzerkonten | Kategorien für Gruppen |
|---|---|---|
| 1 | Standardbenutzer | Standardberechtigung |
| 2 | Systembenutzer | Systembenutzerberechtigung |
| 3 | Systemadministrator | Systemadministratorberechtigung |
Abbildung 5: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
-
Definieren Sie am Mandanten die Kategorien.
HINWEIS: Wenn eine Zentrale Benutzerverwaltung eingesetzt wird, definieren Sie die Kategorien sowohl am Zentralsystem als auch an den Tochtersystemen. Damit
-
Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
-
Weisen Sie die Kategorien den Gruppen, Rollen und Profilen über ihre Stammdaten zu.