Differenzierung und Verwendung von Berechtigungskonzepten

Objectives

After completing this lesson, you will be able to:
  • die Begriffe UME-Rolle und JEE-Sicherheitsrolle erklären
  • einer UME-Rolle Aktionen und JEE-Sicherheitsrollen zuweisen
  • Benutzern und Gruppen Berechtigungen zuordnen

Berechtigungskonzept des AS Java

.

Berechtigungskonzept

Berechtigungsprüfungen werden in eine Java-Applikation eingebaut. Hier können Sie nach verschiedenen Zielen differenzieren:

only available in English

  • Schutz des Zugriffs auf eine Anwendung: Dies erfolgt über die Prüfung, ob dem anfordernden Benutzer die entsprechende JEE-Sicherheitsrolle zugeordnet ist. Wenn der Benutzer nicht über die erforderliche Rolle verfügt, wird eine Fehlermeldung angezeigt, und der Zugriff wird verweigert.

  • Schutz des Zugriffs auf einzelne Aktivitäten: Beim Anfordern einer speziellen Aktivität, z.B. Löschen, prüft das System, ob die erforderliche JEE-Sicherheitsrolle oder UME-Aktion zugeordnet ist.

  • Schutz der Verwendung von Objekten (z.B. Ordner oder Dokumente): Dies geschieht über die Zugriffskontrollliste (ACL).

Bei allen genannten Arten der Berechtigungsprüfung muss der Entwickler die Abfrage nach Berechtigungen in der Applikation selbst hinterlegen. Der Entwickler selbst entscheidet, welche Art der Berechtigungsprüfung genutzt werden soll. Das bedeutet in der Praxis, dass die Anwendung bestimmt, welche der folgenden JEE-Sicherheitsrollen, UME-Berechtigungen oder UME-ACLs verwendet wird.

JEE-Sicherheitsrollen sind Teil des JEE-Standards. UME-Berechtigungen sind ein SAP-spezifisches Konzept. Grundsätzlich können Sie dieselben Berechtigungsprüfungen mit JEE-Sicherheitsrollen und UME-Berechtigungen definieren. Bestimmte Programmiertechniken für SAP-Anwendungen, die den JEE-Standard erweitern, erfordern jedoch die Verwendung von UME-Berechtigungen. Daher sollte ein Administrator mit beiden Konzepten vertraut sein.

Berechtigungsprüfungen

Der AS Java unterstützt folgende Berechtigungsprüfungen:

  • Aktivitätsbezogene Zugriffskontrolle mit Sicherheitsrollen für Anwendungen (JEE-Standard, daher wird der Begriff JEE-Sicherheitsrollen verwendet): Der Entwickler definiert diese Rollen in den Deployment-Deskriptoren für seine Anwendung. Der Administrator ordnet die Benutzer den entsprechenden Rollen zu.
  • Instanzbezogene Zugriffskontrolle mit Rollen (wir verwenden den Begriff UME-Rollen): Mit diesen Rollen legen Sie fest, welche Aktivitäten ein Benutzer auf dem AS Java ausführen kann. Sie können auch angeben, auf welche Instanzen ein Benutzer zugreifen kann.
  • Instanzbezogene Zugriffskontrolle mit Zugriffskontrolllisten: Sie eignen sich zum Schutz vieler Objekte (d.h. Instanzen). In diesem Fall definieren Sie eine Zugriffskontrollmatrix, die einen Betreff (Rolle), ein Prädikat (Art des Zugriffs) und das Objekt (zu schützende Instanz) enthält. Nur Benutzer, die mindestens einer dieser Rollen zugeordnet sind, können auf diese Ressource zugreifen.

Für UME Access Control listsACLs können Sie diese ACLs nur im Anwendungskontext verwalten und werden hier nicht ausführlich behandelt.

Anhang: Deklarative und programmatische Berechtigungen

Berechtigungen können entweder als deklarativ oder programmatisch definiert werden:

  • Deklarativ bedeutet, dass der Java-Container (z.B. Web-Container, EJB-Container) die Zugriffskontrolle erzwingt, ohne dass der Entwickler die Programmierarbeit ausführen muss. In der Applikation (per Annotation) oder im Deployment Descriptor der Applikation ist eine Sicherheitsrolle definiert. Bei jedem Aufruf prüft der Container, ob der Benutzer der nötigen Sicherheitsrolle zugeordnet ist.

  • Programmatisch bedeutet, dass der Entwickler mit einer Methode prüft, ob ein Aufrufer einer EJB oder einer Web-Ressource einer bestimmten Berechtigung (Sicherheitsrolle oder UME-Berechtigung) zugeordnet ist. Die Berechtigungsprüfung ist direkt im Quellcode hinterlegt.

Für JEE-Sicherheitsrollen wird in der Regel der deklarative Ansatz genutzt. UME-Permissions werden stets programmatisch geprüft.

Berechtigungen, Aktionen und UME-Rollen

der UME gibt es ein Rollenkonzept, mit dem Berechtigungen, Benutzer oder Gruppen zugeordnet werden. Diese Berechtigungen beziehen sich auf Berechtigungsprüfungen, die im Coding der SAP-Java-Applikation hinterlegt sind. Das Berechtigungskonzept in der UME nutzt Permissions, Aktionen und Rollen.

Berechtigungen werden im Java-Coding definiert (programmatische Berechtigungen). Permissions werden verwendet, um eine Zugriffkontrolle zur Verfügung zu stellen. Permissions können nicht direkt einem Benutzer zugeordnet werden.

Aktion ist eine Sammlung von Berechtigungen. Der Entwickler einer SAP-Java-Applikation definiert eigene Aktionen und spezifiziert die Berechtigungen in der XML-Datei actions.xml. Aktionen werden im Identity-Management angezeigt. Mit dem Identity-Management können Sie diese Aktionen in UME-Rollen zusammenfassen.

UME-Rollen gruppieren Aktionen einer oder mehrerer Applikationen. Im Identity-Management können Sie Benutzern UME-Rollen zuordnen.

Viele Java-Applikationen von SAP arbeiten mit UME-Rollen.

Die Abbildung zeigt die Anwendung Bestellung als Beispiel. Diese Applikation besteht aus mehreren Objekten wie Bestellung anlegen, Bestellung genehmigen, in denen ein Entwickler direkt im Coding die entsprechende Berechtigungsprüfung eingebaut hat. Bei der Verwendung von UME-Rollen werden sogenannte Permissions (Berechtigungsobjekte) direkt im Coding hinterlegt und dann vom Entwickler in Aktionen (Actions) gebündelt. Diese Aktionen können dann vom Administrator zu Rollen zusammengefasst und einem Benutzer oder einer Benutzergruppe zugewiesen werden.

Auf Grund dieses Konzepts können Entwickler sehr detaillierte Berechtigungen definieren, aber die Komplexität wird hinter einigen wenigen Aktionen verborgen. Aktionen werden vom Entwickler vordefiniert, zusammen mit der Anwendung an den Kunden ausgeliefert und stehen in Form einer XML-Datei zur Verfügung. Dies ermöglicht ein einfaches, überschaubares und Anwendungs-übergreifendes Berechtigungskonzept bei großen Java-Applikationen.

JEE-Sicherheitsrollen (security roles)

sind Teil des JEE-Standards.

Eine JEE-Sicherheitsrolle (auch Sicherheitsrolle) ist eine abstrakte logische Definition, die den Zugriff auf eine Anwendung, einen Service oder eine andere Ressource schützt. Die Sicherheitsrolle besteht nur aus einem Namen und einer Beschreibung. Die Rolle JEE-Sicherheit bezieht sich nur auf die Anwendung, für die sie definiert wurde.

JEE-Sicherheitsrollen ermöglichen eine Zugriffsprüfung für JEE-Anwendungen. Die Berechtigungen sind in der Regel deklarativ definiert. Ein Entwickler erstellt für jedes schützenswerte Applikationsobjekt zusätzlich eine Sicherheitsrolle. Die geschützte Anwendung, ihre geschützten Module, Klassen oder Methoden können von einem Benutzer nur verwendet werden, wenn der Administrator die Benutzer oder Gruppen der Rolle JEE-Sicherheit zugeordnet hat.

Die Abbildung zeigt die Anwendung Bestellung als Beispiel. Für diese Anwendung werden von einem Entwickler Objekte wie Bestellung anlegen, Bestellung annehmen usw. angelegt. Wenn Sie JEE-Sicherheitsrollen verwenden, muss für jedes Objekt eine JEE-Sicherheitsrolle angelegt werden. Die JEE-Sicherheitsrolle wird entweder im Deployment-Deskriptor (XML-Datei) oder direkt im Anwendungsquelltext definiert.

Die UME erzeugt zusätzlich zu den vom Entwickler angegebenen Sicherheitsrollen weitere Sicherheitsrollen, die für die gesamte Anwendung gelten. Das hat den Vorteil, dass bei mehreren Sicherheitsrollen mit gleichem Namen diese auf genau eine anwendungsweite Sicherheitsrolle zusammengeführt werden. Der Administrator muss sich nur um die Zuordnung dieser Sicherheitsrollen kümmern. Im JEE-Standard sehen Sie folgendes Verhalten: Wenn einem Benutzer eine Sicherheitsrolle eines Moduls zugeordnet ist und er auf ein anderes Modul dieser Anwendung zugreift, das mit einer gleichnamigen Sicherheitsrolle geschützt ist, erhält er Zugriff. Das Konzept der UME die Sicherheitsrollen einer Applikation zusammenzuführen ist also nur eine Erleichterung für den Administrator und keine Einschränkung der Sicherheit. Diese von der UME dynamisch generierten Sicherheitsrollen erscheinen im Identity Management als Aktionen vom Typ J2EE (Achtung: aus Gründen der Abwärtskompatibilität heißt sie J2EE und nicht JEE, was aus spezifikationsbezogener Sicht korrekt wäre!).

Als Benutzeradministrator können Sie nun UME-Rollen erstellen, die Sicherheitsrollen (als Aktionen) enthalten und diese Benutzern und Gruppen zuordnen. Über den Umweg der UME-Rollen lassen sich so wiederum Anwendungs-übergreifend Berechtigungen vergeben.

Es gibt einige spezielle Aktionen, die Sie für die Funktionstrennung verwenden können. Dies sind Manage_Role_Assignments_SoD und Manage_Roles_SoD. Ein Benutzer mit der Aktivität Manage_Role_Assignments_SoD kann Rollen einem beliebigen Benutzer zuordnen, jedoch sich selbst. Ein Benutzer mit der Aktivität Manage_Roles_SoD kann Rollen anlegen. Der Benutzer kann alle Rollen (Aktionen zuordnen) außer Rollen pflegen, die sich selbst zugeordnet sind. Kombinieren Sie nicht die folgenden Aktionen: Manage_Users, Manage_Groups, Manage_Roles, Manage_all_Companies, Manage_Role_Assignments_SoD und Manage_Roles_SoD.

UME-Rollen erstellen und zuordnen

dem Identity Management können Sie UME-Rollen pflegen. Sie nehmen sowohl die Zuordnung von UME-Aktionen zu UME-Rollen als auch die Zuordnung von JEE-Sicherheitsrollen zu UME-Rollen vor. UME-Aktionen und JEE-Sicherheitsrollen werden als Aktionen im Identity-Management angezeigt.

Nachdem Sie sich mit einem Administratorbenutzer angemeldet haben, wählen Sie die entsprechende UME-Rolle aus, zeigen Sie die zugeordneten UME-Aktionen an, und ändern Sie bei Bedarf die UME-Rolle. Ordnen Sie anschließend die UME-Rolle einem Benutzer und/oder einer Gruppe zu.

http://host:port/useradmin und anmelden

Im Dropdown Rolle auswählen und Rolle anlegen

Eindeutiger Name und Beschreibung eintragen.

Registerkarte Zugeordnete Aktionen anwählen und die Aktionen vscantest, System_Admin und Read_All suchen und hinzufügen.

Sichern

Oben auf Start klicken und dann zur gerade angelegten Rolle scrollen und diese markieren. Auf Registerkarte Zugeordnete Aktionen klicken und den screenshot ziehen.

Der Vorteil von Aktionen und Berechtigungen ist:

  • Anwendungsentwickler können fein ausgeprägte Berechtigungen definieren, aber die Komplexität verbergen, indem sie nur wenige UME-Aktionen definieren.
  • Da die UME-Aktionen normalerweise in einer XML-Datei definiert werden, können sie bei der Installation des Service Ihren Anforderungen entsprechend geändert werden.
  • Administratoren können UME-Aktionen zu UME-Rollen im Identity-Management zuordnen. Berechtigungen sind hier nicht sichtbar.

Beispiel

Das Identity-Management ist eine Anwendung, die auf der UME ausgeführt wird. Die Anwendung definiert Berechtigungen im Code für Aktivitäten wie das Ändern des Profils eines Benutzers oder das Ändern von Rollen. In der XML-Datei ist eine UME-Aktionsverwaltung definiert, die alle Berechtigungen zusammenfasst, die ein Benutzer für die Verwaltung von UME-Rollen benötigt. Diese Aktion umfasst Berechtigungen zum Anzeigen, Ändern und Löschen von UME-Rollen.

Sie können eine Rolle namens Rollenadministrator anlegen und ihr die UME-Aktionsmanage_Rollen zuordnen. Anschließend können Sie jeden Administrator, der Berechtigungen zum Verwalten von Rollen benötigt, der Rolle Rollenadministrator zuordnen.

Für die Verwaltung von Berechtigungen ist es besonders wichtig, dass die Java-Anwendung UME selbst eine große Anzahl von Aktionen bereitstellt. Diese UME-Aktionen ermöglichen die genaue Definition der Rechte, die Benutzer an Grundsätzen haben (z.B. „alle Benutzer anzeigen" oder „alle Gruppen pflegen").

Optional: UME-Rollen und UME-Gruppen anlegen und zuordnen

Unternehmensszenario

Innerhalb der SAP NetWeaver-Plattform führen die SAP-Systeme Berechtigungsprüfungen mit einem rollenbasierten Ansatz durch. Das bedeutet, dass Sie Benutzern in diesem spezifischen System Berechtigungen auf der Grundlage der Gruppen- und Rollenbehandlung zuordnen. Die folgenden Aufgaben sollten einige Wartungsaspekte einführen, die in der Regel von Administratoren oder Power-Usern ausgeführt werden, die auf Berechtigungen spezialisiert sind.

Gültig für diese Übung

ParameterWert
SAP ClassroomWTS
SAP System IDSMJ
Hostname (FQDN)smhost.wdf.sap.corp
BetriebssystemWindows
Central-Services-InstanzSCS90
Primary Application Server (PAS)J91
Java Administrator / Kennworttrain-## / <Ihr Kennwort>
Ersetzen Sie ## immer durch ...<Gruppennr.>

Aufgabe 1: Berechtigung für die UME-Administration behandeln

Sie möchten prüfen, welche Berechtigungen ein neu angelegter Benutzer erhält.

Schritte

  1. Verwenden Sie in WTS das Identity-Management, um zu prüfen, ob der Benutzer NEW-## angelegt wurde.

    1. Starten Sie im WTS des SAP Solution Manager einen Web-Browser.

      Notiz

      Wenn Sie zwei verschiedene Browser verwenden (z.B. Edge und Chrome), können Sie Ihren Benutzer train-## in einem und den Benutzer NEW-## im anderen Browser gleichzeitig ohne Probleme verwenden. Außerdem sind Sie nicht gezwungen, sich mehrmals anzumelden/abzumelden, sondern aktualisieren einfach den entsprechenden Browser.

      • Empfehlung:
      • Browser 1: Edge = Benutzer: train-##
      • Browser 2: Chrome = Benutzer: NEW-##

    2. Browser 2 Chrome: Geben Sie die URL http://smhost.wdf.sap.corp:59100 ein.

    3. Verwenden Sie den Link Benutzerverwaltung auf der Startseite, oder ändern Sie Ihre URL in:http://smhost.wdf.sap.corp:59100/useradmin.

    4. Geben Sie auf der Anmeldeseite Folgendes ein:

      • Benutzer*: NEW-##
      • Kennwort*: <Ihr Initialkennwort>.

      Hinweis

      Diesen Benutzer haben Sie in einer vorherigen Übung angelegt.

    5. Ändern Sie Ihr Initialkennwort:

      Altes Kennwort:*<Ihr Initialkennwort>
      Neues Kennwort:*<Ihr produktives Kennwort>
      Neues Kennwort wiederholen:*<Ihr produktives Kennwort>

    6. Welche Meldung erhalten Sie oben auf dem Bild? __________________________________

  2. Melden Sie sich mit Ihrer AS-Java-Benutzer-ID train-## und dem Kennwort an. Verwenden Sie das Identity-Management, um dem Benutzer NEW-##> Berechtigungen hinzuzufügen.

    1. Browser 1 Edge: Wechseln Sie mit Ihrem train-##-Benutzer zum Browser, oder starten Sie eine neue Anmeldung mit der URL http://smhost.wdf.sap.corp:59100/useradmin, und authentifizieren Sie sich.

      Notiz

      Optional: Wählen Sie "Abmelden", um ihn komplexer zu machen (nicht empfohlen). Die Übung wird anhand der Empfehlung mit zwei verschiedenen Browsern beschrieben (siehe oben).

    2. Suchen Sie in der Identity-Management-Anwendung nach dem Benutzer NEW-##, und wählen Sie Start.

    3. Wählen Sie den Benutzer NEW-## aus.

    4. Wählen Sie Ändern.

    5. Wechseln Sie zur Registerkarte Zugeordnete Rollen.

    6. Geben Sie im Bereich Verfügbare Rollen - Suchkriterien (im linken Teil des Splitscreen-Editors) *READ* als Suchbegriff ein, und wählen Sie Start.

    7. Markieren Sie die Zeile NWA_READONLY.

    8. Klicken Sie auf Hinzufügen.

    9. Wählen Sie Sichern.

  3. Prüfen Sie, ob sich die Berechtigungen des Benutzers NEW-## im Vergleich zur Ausgangssituation geändert haben. Verwenden Sie für diese Aufgabe erneut das Identity-Management.

    1. Browser 2 Chrome: Wechseln Sie zu Browser 2, der vom Benutzer NEW-## verwendet wurde.

    2. Wählen Sie in Browser 2 die Option zum Aktualisieren (F5).

    3. Hat sich etwas geändert? Hoffentlich! Ist dies nicht der Fall, war die Zuordnung nicht korrekt.

    4. Wenn die Identity-Management-Anwendung (oder sogar der NWA-Content) angezeigt wird, fahren Sie fort, suchen Sie nach dem Benutzer NEW-##, und wählen Sie Start.

    5. Wählen Sie den Benutzer NEW-## aus.

      Hinweis

      Beachten Sie, dass Sie nur zum Lesen, aber nicht zum Vornehmen von Änderungen berechtigt sind. Genau das hat der Administrator (train-##) als Rolle zugeordnet: NWA_READONLY!

Aufgabe 2: Optional: UME-Rolle anlegen und einem Benutzer zuordnen

Legen Sie eine neue UME-Rollez##_role an, und ordnen Sie sie dem Benutzer NEW-##> zu.

Schritte

  1. Legen Sie eine Rolle z##_role an, mit der Benutzer im Identity-Management Änderungen vornehmen können.

    1. Browser 1 Edge: Wechseln Sie mit Ihrem train-##-Benutzer zu Browser 1.

    2. Sie sollten weiterhin in der Identity-Management-Anwendung arbeiten.

    3. Wählen Sie im Feld Suchkriterien die Option Rolle.

    4. Betätigen Sie Rolle anlegen.

    5. Geben Sie im Abschnitt Details Folgendes ein:

      Eindeutiger Namez##_role
      Descriptionz##_role

    6. Ändern Sie die Registerkarte Zugeordnete Aktionen.

    7. Geben Sie im Abschnitt Verfügbare Aktionen (auf der linken Seite) im Feld Get: com.sap.sec* ein, und wählen Sie Go.

    8. Suchen Sie in der folgenden Tabelle nach der Zeile UME, com.sap.security.core.ume.service, Manage_All.

    9. Wählen Sie diese UME-Aktion aus, und wählen Sie Hinzufügen.

      Hinweis

      Diese UME-Aktion stellt für alle Benutzer, die mit der aktuell angelegten UME-Rolle (z##_role) verknüpft sind, die Berechtigung zum Durchführen von Änderungen im Identity-Management bereit.

    10. Wechseln Sie zur Registerkarte Zugeordnete Benutzer.

    11. Geben Sie im Abschnitt Verfügbare Benutzer (auf der linken Seite) im Feld Suchkriterien: NEW-##> ein, und wählen Sie Start.

    12. Markieren Sie die Zeile, und wählen Sie Hinzufügen.

      Hinweis

      Nun verbinden Sie Ihren Benutzer NEW-##> mit der UME-Rollez##_role.

    13. Wählen Sie Sichern.

  2. Prüfen Sie, ob Ihr Benutzer NEW-##> nun Änderungen im Identity-Management vornehmen darf.

    1. Browser 2 Chrome: Wechseln Sie mit Ihrem Benutzer NEW-## zum Browser.

    2. Wählen Sie Aktualisieren (F5).

    3. Suchen Sie nach dem Benutzer NEW-##, und wählen Sie Start.

    4. Markieren Sie die Zeile.

      Hinweis

      Beachten Sie, dass Sie nun die Berechtigung zum Ändern des Benutzers haben.

Aufgabe 3: Optional: UME-Rolle mit Aktionen anlegen und einer Gruppe zuordnen

Legen Sie eine neue UME-Rollez##_role_to_group mit verschiedenen Aktionen an, und ordnen Sie sie einer UME-Gruppe zu.

Schritte

  1. Prüfen Sie, ob der Benutzer NEW-## die Anwendung OpenSQLMonitors aufrufen darf.

    1. Browser 2: Chrome. Sie sollten sich noch im Browser 2 mit Ihrem Benutzer NEW-## befinden. Wenn nicht, wechseln Sie zu Browser 2.

    2. Geben Sie die URL http://smhost.wdf.sap.corp:59100/OpenSQLMonitors ein.

    3. Geben Sie die Anmeldedaten ein:

      • Benutzername: NEW-##
      • Kennwort: <Ihr Produktivkennwort>

      Hinweis

      Das System zeigt die Fehlermeldung „Fehler: Sie sind aufgrund unzureichender Berechtigungen nicht berechtigt, die angeforderte Ressource anzuzeigen". Der Benutzer NEW-## ist nicht der erforderlichen J2EE-Sicherheitsrolle zugeordnet.

  2. Legen Sie eine Gruppe mit dem Namen z##_GROUP an.

    1. Browser 1 Edge: Wechseln Sie mit Ihrem Benutzer train-## zu Browser 1.

    2. Sie sollten noch an der Identity-Management-Anwendung angemeldet sein.

    3. Wählen Sie im Feld Suchkriterien die Option Gruppe.

    4. Wählen Sie Gruppe anlegen.

    5. Geben Sie Folgendes ein:

      Eindeutiger Name:*z##_GRUPPE
      Beschreibung:z##_GRUPPE

    6. Wählen Sie Sichern.

      Hinweis

      Nun haben Sie eine UME-Gruppe angelegt, in der Sie eine oder mehrere Rollen (UME-Rollen und/oder J2EE-Sicherheitsrollen) sammeln können.

      Hinweis

      Natürlich konnten wir den Benutzer bereits zu dieser UME-Gruppe hinzufügen, aber aus didaktischen Gründen tun wir dies später in einem separaten Schritt.

  3. Legen Sie eine Rolle mit dem Namen z##_role_to_group an, und fügen Sie die UME-AktionOpenSQLMonitorLogonRole (eine J2EE-Sicherheitsrolle) hinzu. Fügen Sie diese J2EE-Sicherheitsrolle der zuvor angelegten UME-Gruppez##_GROUP hinzu.

    1. Browser 1 Edge: Wählen Sie im Feld Search Critera die Option Role.

    2. Wählen Sie "Rolle anlegen":

      Eindeutiger Name:*z##_Rolle_zu_Gruppe
      Beschreibung:z##_Rolle_zu_Gruppe

    3. Wechseln Sie zur Registerkarte Zugeordnete Aktionen.

    4. Geben Sie im Abschnitt Available Actions im Feld Get: OpenSQLMonitorLogon* ein, und wählen Sie Go.

    5. Markieren Sie die Zeile J2EE, Opensqlmonitor, OpenSQLMonitorLogonRole, und wählen Sie Add.

    6. Wechseln Sie zur Registerkarte Zugeordnete Gruppen.

    7. Geben Sie im Abschnitt Verfügbare Gruppen die Suchkriterienz##_* ein, und wählen Sie Start.

    8. Markieren Sie die Zeile z##_GROUP, und wählen Sie Add.

    9. Wählen Sie Sichern.

      Hinweis

      Nun haben Sie die Rolle z##_role_to_group mit der Gruppe z##_GROUP verknüpft.

  4. Verbinden Sie Ihren Benutzer NEW-## mit der Gruppe z##_GROUP.

    1. Browser 1 Edge: Wählen Sie im Feld Search Critera die Option User.

    2. Geben Sie den Benutzer NEW-## ein, und wählen Sie Start.

    3. Markieren Sie die Zeile des Benutzers New-##.

    4. Wählen Sie im Abschnitt Details des Benutzers TRAIN-## die Option Ändern.

    5. Wechseln Sie zur Registerkarte Zugeordnete Gruppen.

    6. Geben Sie im Feld Suchkriterienz##* ein, und wählen Sie Start.

    7. Markieren Sie die Zeile z##_GROUP, und wählen Sie Add.

    8. Wählen Sie Sichern.

      Hinweis

      Nun ist auch die Gruppe - und damit auch der Benutzer (als Mitglied) - mit der zuvor angelegten UME-Rollez##_role_to_group verbunden.

  5. Prüfen Sie, ob der Benutzer NEW-## nun schließlich berechtigt ist, die Anwendung OpenSQLMonitors aufzurufen.

    1. Browser 2 Chrome: Wechseln Sie mit Ihrem Benutzer NEW-## zu Browser 2.

    2. Sie sollten weiterhin die zuletzt ausgegebene Fehlermeldung sehen, die von der URL http://smhost.wdf.sap.corp:59100/OpenSQLMonitors geliefert wurde.

    3. Wählen Sie "Aktualisieren" (F5).

      Ergebnis

      Der Fehler sollte verschwinden, und Sie können die Open-SQL-Monitors-Startseite anzeigen und aufrufen.

Ergebnis

Sie können UME-Rollen verwalten, UME-Aktionen zuordnen und UME-Gruppen im Identity-Management bearbeiten.

Aufgabe 4: Optional: Fügen Sie Ihrem Benutzer NEW-## über das ABAP-System eine Berechtigung hinzu.

Fügen Sie BenutzerNEW-##-Berechtigungen für AS Java mithilfe des ABAP-Systems SMA hinzu.

Schritte

  1. Rufen Sie die SAP-SLD-Anwendung auf dem SMJ-Java-System auf, und prüfen Sie, ob Sie über die Administrationsberechtigungen verfügen.

    1. Browser 2: Chrome: Wechseln Sie mit Ihrem Benutzer NEW-## zu Browser 2.

    2. Ändern Sie die URL zu: http://smhost.wdf.sap.corp:59100/sld.

    3. Beachten Sie die Fehlermeldung im SAP Netweaver System Landscape Directory: „Sie haben keine Berechtigung...."

  2. Prüfen Sie im SMA-ABAP-System, wer den Benutzer NEW-## angelegt hat, ob Ihre Java-Gruppe z## als ABAP-Rolle angezeigt wird, und fügen Sie diesem Benutzer schließlich die ABAP-Rolle SAP_SLD_ADMINISTRATOR hinzu.

    1. Starten Sie im WTS des SAP Solution Manager SAP Logon.

    2. Navigieren Sie zu: Workspace → Local → 80 Application Lifecycle Management.

    3. Doppelklicken Sie rechts im Bereich Verbindungen auf den ersten Eintrag mit dem Namen 80 SMA SAP-GUI non-SNC [PAS].

    4. Geben Sie Folgendes ein:

      • Benutzer: train-##
      • Kennwort: <Ihr Produktivkennwort>

      Notiz

      Da SMJ seine Benutzer in SMA speichert, haben Sie hier im ABAP-System dasselbe Produktivkennwort.

    5. Geben Sie im Feld OK-Code die Transaktion SU01 ein.

    6. Geben Sie als Benutzer NEW-## ein.

    7. Wählen Sie oben "Bleistift ändern" oder Umschalt+F6.

    8. Sie sollten zur Registerkarte Adresse weitergeleitet werden. Prüfen Sie das Feld Geändert von. Wer hat diesen Benutzer zuletzt geändert?

      Notiz

      Es kann sich um den Benutzer SAPJSF_SMJ handeln, da dieser Benutzer in der UME-RFC-DestinationUMEBackendConnection eingegeben ist.

    9. Wechseln Sie zur Registerkarte Rollen.

    10. Geben Sie z##* ein, und drücken Sie F4.

    11. Wählen Sie Suche starten. Warum wird Ihre angelegte UME-Gruppez## (angelegt in der UME-Konsole) nicht angezeigt?

      Notiz

      Dies liegt daran, dass Gruppen, die in der UME-Konsole angelegt werden, nur im Java-Datenbankschema angelegt werden.

      Wenn Sie jedoch eine Rolle im ABAP-System anlegen und die Datenquellenkonfiguration dataSourceConfiguration_abap.xml gesetzt ist, wird die ABAP-Rolle im Java Identity Management als UME-Gruppe vom Typ R3_ROLE_DS angezeigt.

    12. Ändern Sie den Wert für die Einzelrolle von z##* in SAP*SLD*.

    13. Wählen Sie erneut Suche starten.

    14. Wählen Sie die Rolle SAP_SLD_ADMINISTRATOR aus.

    15. Wählen Sie Kopieren (das Fersen-Symbol oben).

    16. Wählen Sie oben das Symbol Sichern, oder wählen Sie Benutzer → Sichern.

  3. Rufen Sie die SAP-SLD-Anwendung auf dem SMJ-Java-System auf, und prüfen Sie, ob Sie die Berechtigung für die Administration haben. Melden Sie sich ab und wieder an!

    1. Browser 2: Chrome: Wechseln Sie mit Ihrem Benutzer NEW-## zu Browser 2.

    2. Sie sollten sich noch im SLD befinden: http://smhost.wdf.sap.corp:59100/sld

    3. Wählen Sie oben im Bild Abmelden.

      Notiz

      Manchmal reicht die Aktualisierung nicht aus.

    4. Geben Sie die URL http://smhost.wdf.sap.corp:59100/sld erneut ein.

    5. Geben Sie Folgendes ein:

      • Benutzer: NEW-##.
      • Kennwort: <Ihr Produktivkennwort>.
      • Nun verfügen Sie über Administratorberechtigungen in der SLD-Anwendung (keine Fehlermeldung).

  4. Browser 1: Edge: Wechseln Sie mit Ihrem train-##-Benutzer zu Browser 1, und verwenden Sie die Identity-Management-Anwendung, um die ABAP-Rolle SAP_SLD_ADMINISTRATOR zu finden und zu prüfen, welche Java-Rolle verbunden wurde.

    1. Browser 1 Edge: Sie sollten sich noch in der Identity-Management-Anwendung befinden.

    2. Wählen Sie in den Suchkriterien die Option Gruppe.

    3. Geben Sie neben allen Datenquellen im Suchzeichenfolgenfeld SAP*SLD* ein.

    4. Wählen Sie Start.

      Ergebnis

      Es sollten alle SLD-Rollen aus dem ABAP-System angezeigt werden, die durch das Feld Datenquelle: R3_Role_DS gekennzeichnet sind.

    5. Wählen Sie die Gruppe SAP_SLD_ADMINISTRATOR aus.

    6. Wählen Sie unten im Abschnitt Details der Gruppe SAP_SLD_ADMINISTRATOR die Registerkarte Zugeordnete Rollen.

    7. Markieren Sie das Auswahlfeld neben Rekursiv suchen.

    8. Wählen Sie Start.

    9. Die AS-Java-Rolle SAP_SLD_ADMINISTRATOR sollte im Feld Datenquelle: UME-Datenbank angezeigt werden.

Berechtigungskonzept

Weiterführende Informationen

Online-Dokumentation für SAP NetWeaver 7.5: http://help.sap.com/nw75 auf der Registerkarte Use wählen Sie SAP NetWeaver Library: Function-Oriented ViewSecurityIdentity Management und dann User Management of SAP NetWeaver for AS Java → Reference Documentation for User Management.

Learning

SAP FacebookSAP YoutubeSAP LinkedIn