Benutzer und Gruppen pflegen

der UME-Umgebung wird der Oberbegriff Prinzip für die folgenden zentralen „Objekte verwendet:" Benutzer, Benutzerkonto, Gruppe und Rolle.

Aus historischen Gründen sind Benutzer und Benutzerkonten verschiedene Principals, die aber typischerweise assoziiert sind. Wenn also im folgenden der Begriff Benutzer verwendet wird, sind – präzise formuliert – die zusammengehörigen Principals Benutzer und Benutzerkonto gemeint.

Die nächste Abbildung zeigt auf, in welcher Weise Zuordnungen der Principles möglich sind:

Üblicherweise werden Benutzer in Gruppen zusammengefaßt, denen dann Rollen zugewiesen werden. Es ist aber auch möglich, Benutzern direkt Rollen zuzuweisen. Die Gruppe Prinzip unterstützt Gruppenhierarchien. Eine Gruppe kann auch über- und untergeordnete Gruppen besitzen. Ein Benutzer besitzt effektiv diejenigen Rollen, die

• ihm direkt zugewiesen sind

• der ihm zugeordneten Gruppen zugewiesen sind

• Übergruppen der ihm zugeordneten Gruppen zugewiesen sind

Wenn Sie eine Suche im Identity-Management durchführen, müssen Sie immer das Feld Rekursiv suchen markieren, wenn Sie indirekt zugeordnete Prinzipien sehen möchten.

Sofern Sie als Datenquelle einen Mandanten eines ABAP-Systems (und folglich die Konfigurationsdatei dataSourceConfiguration_abap.xml) nutzen, zeigt die UME folgendes Verhalten:

• Die ABAP-Benutzer sind im AS Java sichtbar und können sich mir Ihrem ABAP-Passwort am AS Java anmelden.

• Die ABAP-Rollen erscheinen im AS Java als gleichnamige UME-Gruppen.

• Im AS Java erscheint die Zuordnung von ABAP-Benutzern zu ABAP (Sammel-)Rollen als Zuordnung von UME-Benutzern zu UME-Gruppen.

Der Grund für dieses Konzept der Gruppenverwaltung ist die gemeinsame Berechtigungsverwaltung für Applikationen, die sowohl ABAP- als auch Java-Komponenten haben. Anwendungen wie z.B. SAP Process Integration (PI) besitzen sowohl ABAP- als auch Java-Komponenten. Die ABAP-Berechtigungen werden mit PFCG-ROLLEN abgebildet. Die JEE-Berechtigungen werden mit UME-Rollen abgebildet. Einem Benutzer müsste im ABAP-System einer PFCG-Rolle zugeordnet werden und auf Java-Seite einer UME-Rolle zugeordnet werden, damit er beide ABAP- und Java-Berechtigungen hat. Um dieses zu vermeiden werden die PFCG-Rollen als Gruppen in der UME sichtbar. Die PFCG-Rolle (eine Gruppe) kann in der UME einer UME-Rolle zugeordnet werden. Wenn ein Benutzer im ABAP-System der PFCG-Rolle zugeordnet wird, bekommt er automatisch auch die Berechtigungen der UME-Rolle. Somit wird die Berechtigungsvergabe einfacher.

Die Verbindung zwischen der UME im AS Java und der Benutzerverwaltung im AS ABAP wird über den Java Connector (JCo) hergestellt. Hierzu wird als UME-Parameter ein im ABAP existierender Kommunikationsbenutzer hinterlegt (der üblicherweise SAPJSF im Namen hat). Die ABAP-Berechtigung dieses Kommunikationsbenutzers entscheidet, ob mit UME-Mitteln Änderungen an ABAP-Benutzerstämmen möglich sind:

• Die Rolle SAP_BC_JSF_COMMUNICATION_RO gewährt der UME Lesezugriff auf die Benutzerdaten im SAP NetWeaver AS ABAP.

• Die Rolle SAP_BC_JSF_COMMUNICATION gewährt der UME Schreibzugriff auf die Benutzerdaten im SAP NetWeaver AS ABAP.

der Konfiguration der „"ABAP-Datenquelle erscheinen die ABAP-Benutzergruppen als Companies in der UME; dies wurde mit Release 7.10 eingeführt. Die Zuordnung der Benutzergruppe für die Berechtigungsprüfung im Benutzerstammsatz des Benutzers im AS ABAP (Transaktion SU01) wird in der UME als Zuordnung zum Unternehmen dargestellt. Die delegierte Benutzerverwaltung kann dann unmittelbar nach der Installation auch im AS Java verwendet werden. Weitere Informationen über Unternehmen und die delegierte Benutzerverwaltung des AS Java finden Sie in der Online-Dokumentation für SAP NetWeaver 7.5 unter http://help.sap.com/nw75 im Bereich Application Help → SAP-NetWeaver-Bibliothek: Funktionsorientierte SichtSicherheit → Identity-Management → Benutzerverwaltung des SAP NetWeaver AS Java → Benutzerverwaltung konfigurieren → Delegierte Benutzerverwaltung mit Firmen konfigurieren

Die Abbildungen in diesem Abschnitt erläutern die Werkzeuge, mit denen Sie als Administrator Benutzer und Gruppen pflegen.

call http://host:port/useradmin and log on. Choose Go. Select one of the entries and take a screenshot.

Das wichtigste Werkzeug für einen Benutzeradministrator in einem AS-Java-System ist die Identity-Management-Anwendung. Diese Anwendung ist unabhängig von der konfigurierten Datenquelle und wird als Anwendung implementiert, die in einem Web-Browser (basierend auf Web Dynpro Java) läuft. Sie starten die benutzungsfreundliche Administrationskonsole...

• über die URL http(s)://<Rechnername>.<Domäne>:<http(s) Port>/useradmin

• über den SAP NetWeaver Administrator (URL .../nwa). Suchen Sie dann nach Identity Management.

• in einem Portal über den Pfad Benutzerverwaltung → Identity-Management.

Wenn Sie die UME-Konfigurationsdatei dataSourceConfiguration_abap.xml verwendet haben, um einen ABAP-Systemmandanten zu verbinden, stehen die üblichen AS-ABAP-Werkzeuge (z.B. Transaktion SU01) für die Benutzerverwaltung zur Verfügung.

AS Java liefert Standardsicherheitsrichtlinienprofile. Die Sicherheitsrichtlinienprofile werden verwendet, um normale Dialogbenutzer von technischen Benutzern zu unterscheiden, die für den Zugriff auf einen bestimmten Service oder für die Kommunikation zwischen Systemen verwendet werden. Er legt z.B. fest, ob das Kennwort eines Benutzers ablaufen darf oder ob es nach der ersten Anmeldung geändert werden muss. Die Sicherheitsrichtlinie legt auch fest, ob sich der Benutzer anmelden kann oder nicht. Sie können nur das Standardprofil und alle benutzerdefinierten Profile ändern, die Sie anlegen.

• Standard: Wird für reguläre generische Benutzer verwendet. Das Profil kann angezeigt und geändert werden.

• Technischer Benutzer: Wird für die Kommunikation zwischen Systemen verwendet. Das Profil kann angezeigt, aber nicht direkt geändert werden. Das Ändern des Standardsicherheitsprofils führt zu entsprechenden Änderungen im Sicherheitsprofil des technischen Benutzers. Die Eigenschaften des Sicherheitsprofils Technischer Benutzer können über die UME-Eigenschaften geändert werden. Die Eigenschaft für den Kennwortablauf wirkt sich jedoch nicht auf die Gültigkeit des Kennworts im Profil Technischer Benutzer aus.

• Interner Servicebenutzer: Wird verwendet, um interne Operationen auszuführen, z.B. PCD-ACL-Operationen für ein SAP Enterprise Portal. Das Profil kann nicht angezeigt oder geändert werden.

• Unbekannt: Kein Profil, sondern eine Kategorie für AS-ABAP-Benutzertypen, die keiner der oben aufgeführten UME zugeordnet werden kann.

• Benutzerdefiniertes Profil: Vom Kunden angelegt und definiert.

Ähnlich wie AS Java unterscheidet der AS ABAP zwischen verschiedenen Benutzern, die als Benutzertypen bezeichnet werden. Die folgende Tabelle bietet einen Überblick über die Standardsicherheitsrichtlinienprofile und ordnet sie AS-ABAP-Benutzertypen zu:

Sie geben den Benutzertyp an, wenn Sie einen Benutzer über das Identity-Management anlegen (Sie dürfen den Typ Unbekannt nicht anlegen). Für existierende Benutzer sind nachträgliche Änderungen des Benutzertyps nur eingeschränkt möglich.