Im Rahmen der Installation eines AS Java werden bestimmte Principles für spezielle Zwecke angelegt, andere werden später durch den Administrator angelegt. In diesem Abschnitt lernen Sie einige dieser „Standard-Principles" kennen. Teilweise hängen die Default-IDs dieser Principles von der benutzten Datenquelle ab.
Benennung spezieller Prinzipien
Objectives
After completing this lesson, you will be able to:
- Eine Reihe von besonderen Prinzipien auflisten
- den Notfallbenutzer aktivieren
Standard-Principles
Standard-Benutzer
Die folgende Tabelle stellt wichtige Standard-Benutzer vor:
Standard-Benutzer
| User | Datenquelle | |||
|---|---|---|---|---|
| Datenbank | LDAP Server | ABAP-System | ||
| Add-In (ABAP+Java) | Remote | |||
| Administrationsbenutzer | Administrator | Administrator | J2EE_ADMIN | J2EE_ADM_<SID> |
| Gastbenutzer | Guest | Guest | J2EE_GUEST | J2EE_GST_<SID> |
| Kommunikationsbenutzer zur Datenquelle | SAP<SID>DB | frei wählbar | SAPJSF | SAPJSF_<SID> |
Der Administrationsbenutzer hat unbeschränkte Rechte auf dem AS Java, daher sollten Sie diesen Account nur sehr restriktiv vergeben und ein möglichst sicheres Passwort vergeben.
Wenn Sie einen Mandanten eines ABAP-Systems als Datenquelle verwenden, befinden sich die aufgelisteten Benutzerstammsätze auf diesem ABAP-Mandanten (und können in SU01 angezeigt werden): Im Falle eines Remote-ABAP-Systems wird die SID des AS-Java-Systems in den Benutzernamen aufgenommen. Dadurch kann zwischen den Benutzern unterschieden werden, falls mehrere AS-Java-Systeme mit einem einzelnen ABAP-Client verbunden sind.
Der Gastbenutzer wird – unter anderem – für den anonymen Zugang zum AS Java benutzt, beispielsweise für den Aufbau des Anmeldeformulars im Web-Browser. Typischerweise ist dieser Benutzer gesperrt. Löschen Sie diesen Benutzer nicht.
Neben den oben aufgeführten Benutzern in einem reinen AS-Java-System existieren auch applikationsspezifische Standardbenutzer. Je nach installiertem Produkt müssen Sie sich also noch um weitere Standardbenutzer kümmern.
Standard-Gruppen
Die folgende Tabelle stellt wichtige Standard-Gruppen vor:
Standard-Gruppen
| Gruppe | Datenquelle | ||
|---|---|---|---|
| Datenbank | LDAP Server | ABAP-System | |
| Administratoren | Administratoren | Administratoren | SAP_J2EE_ADMIN |
| Guests | Guests | Guests | SAP_J2EE_GUEST |
| alle Benutzer | Jeder | Jeder | Jeder |
| Authenticated Users | Authenticated Users | Authenticated Users | Authenticated Users |
| Anonymous Users | Anonymous Users | Anonymous Users | Anonymous Users |
Alle Benutzer, die Sie der Administratorengruppe zuweisen, erlangen weitgehende Systemberechtigungen (und zwar über die dieser Gruppe zugewiesene Administratorenrolle (siehe nächsten Abschnitt)). Initial ist hier der Standard-Administrationsbenutzer eingetragen.
Der Gastgruppe sind initial der Standard-Gastbenutzer und die Standard-Gastrolle zugeordnet.
Darüber hinaus verfügt die UME über einen eingebauten Gruppenadapter, der für die folgenden drei speziellen Gruppen verantwortlich ist:
Alle: Alle (!) Benutzer ist immer Mitglied dieser Gruppe. Wenn Sie dieser Gruppe Rollen/Aktionen zuweisen, hat jeder Benutzer (auch die in Zukunft angelegten) die entsprechenden Berechtigungen.
Authentifizierte Benutzer: Sie ordnen alle Benutzer zu, die sich - auf welche Weise auch immer - in dieser Gruppe am AS Java anmelden müssen.
Anonyme Benutzer: Sie ordnen alle Benutzer, die sich anonym anmelden können, dieser Gruppe zu (konfiguriert über die UME-Eigenschaft ume.login.guest_user.uniqueids).
Daher gilt: Authentifizierte Benutzer + Anonyme Benutzer = Jeder.
Zusätzlich zu diesen Standardgruppen gibt es auch abhängig vom installierten Produkt applikationsspezifische Gruppen.
Anhang: Standardrollen
Die folgende Tabelle stellt wichtige Standard-Rollen vor:
Anhang: Standardrollen
| Rolle | Bedeutung |
|---|---|
| Administrator | stellt (über Aktionen) weitgehende Java-Berechtigungen für Adminstratoren bereit |
| Jeder | enthält einige grundlegende Endanwenderberechtigungen. |
Den beiden Rollen sind im Standard keine Benutzer direkt zugewiesen, die Rolle Administrator ist aber mit der Gruppe Administrators verknüpft. Die Rolle Everyone ist der Gruppe Everyone, also allen Benutzern zugewiesen.
Notfallbenutzer
*Sie müssen einen Notfallbenutzer für die UME aktivieren, wenn die Benutzerverwaltung falsch konfiguriert wurde und sich niemand an einer Anwendung anmelden kann oder alle Administrationsbenutzer gesperrt sind. Diese Notfallbenutzer heißt SAP* und kann sich an jeder Applikation und an den Konfigurationswerkzeugen anmelden. Der Benutzer SAP* hat volle Administrationsberechtigungen und aus Sicherheitsgründen kein Standardpasswort. Das Passwort setzen Sie in Verbindung mit der Aktivierung des Notfallbenutzers.
Hinweis
Für Systeme, bei denen die UME mit der Datenquelle ABAP (erfolgreich) läuft ist der Notfallbenutzer in der Regel nicht von Bedeutung, da man sich immer im ABAP einen Benutzer anlegen kann und ihm Java-Administrationsrechte geben kann.
Software only available in English
Gehen Sie wie folgt vor, um mit dem SAP*-Benutzer eine Korrektur vorzunehmen:
Aktivieren Sie den SAP*-Benutzer.
Stoppen Sie den Java-Cluster.
Öffnen Sie den Configuration Editor Mode im Config Tool.
Navigieren Sie zu cluster_config → → systemcustom_global → → → → cfgservicescom.sap.security.core.ume.servicePropertysheet properties..
Wechseln Sie in den Änderungsmodus.
Setzen Sie ume.superadmin.activated auf Wert true.
Setzen Sie ume.superadmin.password auf ein beliebiges Passwort.
Starten die den Java-Cluster.
Ändern Sie die Konfiguration.
Melden Sie sich mit dem Benutzer SAP* und dem soeben gesetzten Kennwort an.
Notiz
Während der Benutzer SAP* aktiv ist, werden alle anderen Benutzer deaktiviert.
Beheben Sie das Problem, z.B. entsperren Sie den Administrationsbenutzer.
Deaktivieren Sie den SAP*-Benutzer.
Stoppen Sie den Java-Cluster.
Öffnen Sie den Configuration Editor Mode im Config Tool.
Navigieren Sie zu cluster_config → system → custom_global → cfg → services → com.sap.security.core.ume.service → Propertysheet properties.
Wechseln Sie in den Änderungsmodus.
Setzen Sie ume.superadmin.activated auf Wert false.
Starten die den Java-Cluster.
Weiterführende Informationen
- Online-Dokumentation für SAP NetWeaver 7.5, Pfad
http://help.sap.com/nw75 im Bereich Application Help → SAP NetWeaver Library: Function-Oriented View → Security → Identity Management → User Management of the SAP NetWeaver AS Java → Reference Documentation for User Management
- Online-Dokumentation für SAP NetWeaver 7.5, Pfad
http://help.sap.com/nw75 im Bereich Application Help → SAP NetWeaver Library: Function-Oriented View → Security → Identity Management → User Management of the SAP NetWeaver AS Java → Troubleshooting → Activating the Emergency User