Struktur und Konfiguration der User Management Engine (UME) identifizieren

Objectives

After completing this lesson, you will be able to:
  • die verschiedenen Datenquellen der UME nennen
  • den Begriff Datenpartitionierung der UME erklären
  • die aktuelle Datenquelle bestimmen
  • Konfigurationsparameter ermitteln und ändern

Grundlagen

AS Java bietet eine offene Architektur, die von Service-Providern für die Speicherung von Benutzer- und Gruppendaten unterstützt wird. Der AS Java wird mit den folgenden Service-Providern ausgeliefert, die auch als „Benutzerablage" bezeichnet werden:

  • DBMS-Provider: Ablage in der Systemdatenbank

  • UDDI-Provider: Speicherung über externe Service-Provider (Universal Description, Discovery und Integration)

  • UME-Provider: Anbindung der integrierten User Management Engine

Die DBMS- und UDDI-Provider implementieren Standards und stellen daher sicher, dass AS Java EE-konform ist. Wenn AS Java installiert ist, wird die SAP-eigene User Management Engine (UME) immer als Benutzerablage eingerichtet und ist für die meisten SAP-Kunden die richtige Wahl. Die UME ist die einzige Möglichkeit, Benutzer- und Berechtigungskonzepte flexibel einzurichten und zu

Einige wichtige Features der UME sind:

  • Die UME verfügt über ein eigenes Identity-Management für die Verwaltung von Benutzern, die formal als UME-Administrationskonsole bezeichnet werden. Sie ermöglicht es dem Administrator, die Routineaufgaben in der Benutzerverwaltung durchzuführen, z.B. Anlegen von Benutzern und Gruppen, Rollenzuweisung und weitere Aktionen.

  • Über Sicherheitseinstellungen können verbindliche Passwortvereinbarungen festlegt werden wie z.B. minimale Passwortlänge, Anzahl der Anmeldefehlversuche vor einer Benutzersperre.

  • Die UME bietet verschiedene Selfservice-Szenarien, die von Applikationen genutzt werden können. Beispielsweise kann ein Benutzer seine Daten ändern oder sich als neuer Benutzer registrieren. Über einen Workflow können neuangelegte Benutzer genehmigt werden.

  • Benutzerdaten können über einen Export-/Importmechanismus mit anderen Systemen (AS Java oder externen Systemen) ausgetauscht werden.

  • Die UME protokolliert wichtige Sicherheitsereignisse, z.B. die erfolgreiche Anmeldung eines Benutzers oder falsche Anmeldeversuche sowie Änderungen an Benutzerdaten, Gruppen und Rollen.

Architektur

Die UME unterstützt eine Vielzahl von Datenquellen, in denen Benutzerdaten gespeichert werden können:

  • Systemdatenbank

  • Verzeichnisdienst (LDAP-Server)

  • ABAP-basiertes SAP-System (ab SAP Web AS 6.20)

Die folgende Abbildung zeigt die Architektur der UME:

Die UME ist eine Java-Anwendung, die auf AS Java läuft und die folgenden Funktionsbereiche abdeckt:

  • UME-Core-Schicht: Stellt Persistenzmanager zwischen der Anwendungsprogrammierschnittstelle und den Datenquellen der Benutzerverwaltung bereit. Diese steuern, wo Benutzerdaten wie Benutzer, Benutzerkonten, Gruppen, Rollen und ihre Zuordnungen gelesen oder geschrieben werden, sodass Anwendungen, die die API verwenden, nicht wissen müssen, wo die Benutzerverwaltungsdaten gespeichert sind.

  • UME-API-Schicht: Diese Schicht bietet Programmierschnittstellen (APIs) nicht nur für UME-Entwickler, sondern auch für Kunden und Partner. So können Sie mit eigenentwickelten Java-Programmen auf die UME-Funktionen zugreifen.

  • UME-Services: Die UME stellt die folgenden Services für übergeordnete Softwareschichten bereit:

    • Anmeldeverfahren und Single Sign-On (Anmeldung am AS Java wird für andere Systeme übernommen und umgekehrt)

    • Versorgungsprozesse über Benutzerstammdaten

    • Berechtigungskonzept

  • UME-UI: Die UME ist für die Benutzungsoberfläche verantwortlich, die in einigen Anmeldeverfahren im Web-Browser sowie für das UME Identity Management angezeigt wird. Diese Benutzungsoberfläche wird auch als UME-Administrationskonsole bezeichnet.

Die Verwendungsarten von SAP NetWeaver, die auf AS Java basieren (z.B. SAP Enterprise Portal), basieren auf der UME und führen auf dieser Basis eine Reihe spezifischer Funktionen durch (z.B. Selbstregistrierung mit Genehmigungsworkflow).

Datenpartitionierung

Wie im vorherigen Abschnitt beschrieben, bietet der UME Persistence Manager die Möglichkeit, Benutzerdaten in verschiedenen Datenquellen abzulegen. Der UME-Persistenzmanager unterstützt auch die Datenpartitionierung. Das bedeutet in der Praxis, dass beispielsweise Benutzerdaten für verschiedene Benutzertypen in verschiedenen Datenquellen gespeichert werden können

In der Praxis arbeiten Sie häufig mit einer Kombination der DatenquellenDatenbank + Verzeichnisdienst oder Datenbank + ABAP-Benutzerverwaltung. Dabei sollen bestimmte Benutzerattribute z.B. in einer anderen Datenquelle abgelegt werden, oder Benutzer werden durch ihre Kategorien (interne oder selbst registrierte Benutzer) getrennt.

  • Attributbasierte Datenpartitionierung: Ein Benutzer in der UME hat bestimmte Attribute, von denen einige als globale Attribute (Benutzer-ID, Telefonnummer usw.) klassifiziert sind, und andere sind anwendungsspezifisch. Globale Informationen eignen sich besonders für die Ablage in einem Verzeichnisdienst und anwendungsspezifische Informationen in der Datenbank.

  • Benutzerbasierte Datenpartitionierung: Bei dieser Art der Partitionierung wird die Datenquelle, in der Benutzer gespeichert werden, abhängig von der Kategorie des Benutzers (selbstregistrierte oder interne Benutzer) festgelegt. Beispielsweise können Benutzer, die sich per Self-Service registrieren, in der Datenbank und interne Benutzer im Verzeichnisdienst gespeichert werden.

  • Typbasierte Datenpartitionierung: Mit der typbasierten Datenpartitionierung können verschiedene Objekttypen auf verschiedene Datenquellen verteilt werden. Die Typen sind z.B. Benutzer, Gruppen, Rollen, User Accounts. Beispielsweise können Benutzer im Verzeichnisdienst und Rollen in der Datenbank gespeichert werden.

SAP liefert vorkonfigurierte Datenquellenkombinationen aus (weitere Informationen werden im nächsten Abschnitt bereitgestellt), die Sie nur in Sonderfällen ändern sollten. Wenn Sie beispielsweise einen Verzeichnisdienst als Datenquelle verwenden, müssen Sie möglicherweise eine Attributzuordnung durchführen. In der Regel verwenden Sie die ausgelieferten vorkonfigurierten Datenquellenkombinationen ohne zusätzliche Änderungen:

Konfiguration der Datenquelle(n)

Dieser Abschnitt behandelt die Konfiguration der in der AS-Java-Datenbank abgelegten Datenquellen in Form von Konfigurationsdateien (im XML-Format). In den meisten Fällen wird die Installationsoption beibehalten, oder die Datenquellen werden sofort nach der AS-Java-Installation konfiguriert.

UME-Datenquelle auswählen

Die Installation bestimmt die Datenquelle für die User Management Engine (UME). Nach der Installation können Sie die Datenquelle aus verschiedenen Gründen ändern. Beispiel:

  • Sie führen ein Upgrade Ihrer Systemlandschaft durch, um neue Benutzer-Repositorys einzubinden.

  • Die Datenquelle, die Sie für die UME verwenden möchten, ist während der Installation nicht verfügbar.

AS-Java-System zu Ihrer Systemlandschaft hinzufügen

Wenn Sie Ihrer Systemlandschaft einen AS Java hinzufügen, müssen Sie entscheiden, ob Sie Folgendes tun möchten:

  • Verwenden Sie ein LDAP-Verzeichnis als Datenquelle für Benutzerdaten.
  • Verwenden Sie einen AS ABAP als Datenquelle für Benutzerdaten.

Sie können den AS Java nicht so konfigurieren, dass er gleichzeitig auf ein LDAP-Verzeichnis und einen AS ABAP als Datenquelle zugreift. Der AS Java kann auch eine eigene Datenbank als Datenquelle verwenden.

LDAP-Verzeichnis als Datenquelle

Verwenden Sie ein LDAP-Verzeichnis als Datenquelle für die User Management Engine (UME) Ihres AS Java, wenn Sie Ihre Benutzerkennwörter im LDAP-Verzeichnis verwalten möchten. Dies ist ideal, wenn Sie beispielsweise die Windows-integrierte Authentifizierung wiederverwenden möchten, um sich auch an einem Portal anzumelden. Verwenden Sie diese Konfiguration, um auf Fremdsysteme zuzugreifen, die den Zugriff auf das LDAP-Verzeichnis teilen. Das LDAP-Verzeichnis kann mit anderen AS-ABAP-Systemen synchronisiert werden.

AS ABAP als Datenquelle

Verwenden Sie einen AS ABAP als Datenquelle, wenn Ihre Java-Anwendungen auf die Services und Benutzerdaten der ABAP-Systeme zugreifen. Wenn dies nicht der Fall ist, können Sie auch die Datenbank als Datenquelle belassen. Stellen wir uns ein SAP Enterprise Portal oder AS Java als Entwicklungsplattform auf der linken Seite und einen SAP Solution Manager auf der rechten Seite vor:

Wenn Ihre Systemlandschaft viele ABAP-Systeme enthält und diese Systeme von der Zentralen Benutzerverwaltung (ZBV) verwaltet werden, müssen Sie entweder ein Tochtersystem der ZBV oder das ZBV-Zentralsystem als Datenquelle verwenden.

  • Verwenden Sie das ZBV-Zentralsystem als Datenquelle, wenn alle Benutzer in der ZBV-Landschaft Zugriff auf den AS Java benötigen, z.B. über ein Portal. In dieser Konfiguration kann AS Java Lese-/Schreibzugriff auf die Benutzerstammsätze haben. Dadurch ist es einem Administrator möglich, Benutzerdaten mit der UME zu verwalten.
  • Verwenden Sie ein Tochtersystem der ZBV als Datenquelle, wenn nur ein Teil der Benutzer auf den AS Java zugreifen muss, z.B. über die Verwendungsart PI der SAP NetWeaver Exchange Infrastructure (SAP NetWeaver XI). In dieser Konfiguration sollte AS Java nur schreibgeschützten Zugriff auf Benutzerstammsätze erhalten.

Das ABAP-System kann mit einem LDAP-Verzeichnis synchronisieren oder nicht.

Datenquellen ändern

Das Ändern von Datenquellen kann zu Inkonsistenzen führen. Daher gelten Einschränkungen bei der Modifikation von UME-Datenquellen.

Hinweis

Beachten Sie unbedingt den SAP-Hinweis 718383.

Folgende Änderungen sind unterstützt:

  • Systemdatenbank (dataSourceConfiguration_database_only.xml):Sie können zu jeder beliebigen LDAP-Konfigurationsdatei (dataSourceConfiguration_[ldap description]_db.xml) oder zu einem ABAP-System (dataSourceConfiguration_abap.xml) wechseln. In diesem Fall müssen Sie sicherstellen, dass die neue Datenquelle keine Benutzer und Gruppen mit denselben eindeutigen Attributen wie die Datenbank enthält (d.h. die neue Datenquelle darf keine Benutzer oder Gruppen mit demselben eindeutigen Namen oder derselben eindeutigen ID wie die Benutzer oder Gruppen in der Datenbank enthalten).

  • ABAP-System (dataSourceConfiguration_abap.xml):Es sind keine Änderung möglich.

  • Verzeichnisdienst (dataSourceConfiguration_[ldap description]_db.xml): Wenn Sie ein LDAP-Verzeichnis als Benutzerdatenquelle ausgewählt haben, können Sie die Struktur des LDAP-Verzeichnisses ändern oder zu einem anderen LDAP wechseln, wenn dadurch keine eindeutigen Benutzer-IDs geändert werden.

SAP Identity Management (IDM)

In SAP Identity Management (SAP IDM) stellt SAP integrierte, geschäftsprozessgesteuerte Identity-Management-Funktionen für eine heterogene Systemlandschaft bereit. SAP Identity Management verwendet eine zentrale Identitätsablage, um Daten aus verschiedenen Quellsystemen, z.B. SAP ERP Human Capital Management (SAP ERP HCM), zu konsolidieren und zu sichern. Diese Informationen werden an verbundene Zielsysteme verteilt. Verteilt werden Benutzerkonten und Rollenzuordnungen für SAP- und Fremdanwendungen.

Über Regeldefinitionen können Rollenzuordnungen automatisiert werden. Eine sehr wichtige Funktion von SAP Identity Management ist die Möglichkeit, die Berechtigungsvergabe workflowgesteuert zu machen. Die Integration mit SAP ERP HCM als eines der möglichen Quellsysteme für Identitätsinformationen ist eine Schlüsselfunktion für das geschäftsprozessgesteuerte Identity-Management.

Werkzeuge zur UME-Konfiguration

Die Konfiguration der Benutzerverwaltung oder der UME ist eine Web-Dynpro-Anwendung zur Konfiguration der UME. Sie ist in den SAP NetWeaver Administrator (NWA) und in die Systemadministrationsrolle von SAP Enterprise Portal integriert. Sie können dieses Werkzeug auch als eigenständige Konsole starten. Verwenden Sie die Methode, die für Ihre Umgebung am besten geeignet ist.

  • SAP NetWeaver Administrator des AS Java.  Geben Sie in Ihrem Web-Browser Folgendes ein: <http/https>://<AS_Java_hostname>:<AS_Java_HTTP_port>/nwa/identity. Wählen Sie dann Benutzerverwaltung Konfiguration.)

  • SAP Enterprise Portal: Geben Sie in Ihrem Web-Browser Folgendes ein:<http/https>://<AS_Java_Hostname>:<AS_Java_HTTP_port>/irj). Wählen Sie Systemadministration → Systemkonfiguration → UME-Konfiguration. 

  • Identity Management des AS Java: Geben Sie in Ihrem Web-Browser Folgendes ein:<http/https>://<AS_Java_Hostname>:<AS_Java_HTTP_port>/useradmin.  Wählen Sie Benutzerverwaltung Konfiguration.

Hinweis

Ab 7.20 steht Ihnen im Konfigurationsbereich ein Expertenmodus zur Verfügung, der Ihnen den Zugriff auf die Pflege der UME-Eigenschaften ermöglicht.

Notiz

Unabhängig davon, welche Zugriffsmethode Sie verwenden, konfigurieren Sie den AS Java so, dass er nach Möglichkeit Secure Socket Layer (SSL) verwendet.

Achtung

Bevor Sie Änderungen an der UME-Konfiguration vornehmen, sollten Sie zunächst die aktuelle Konfiguration sichern. Dazu können Sie eine Funktion im Identity-Management verwenden ( User Management ConfigurationSupportDownload Configuration ZIP File ), die die aktuellen Konfigurationsdaten in einer ZIP-Datei sichert. Mit dieser Datei können Sie die Änderungen aufzeichnen und nachverfolgen. Sie sollen jedoch nicht erneut in den AS Java importiert werden.

Config Tool

Wenn Sie den AS Java aufgrund einer Inkonsistenz bei der Konfiguration nicht starten können, können Sie das Config Tool verwenden, um dieses Problem zu beheben:

Öffnen Sie das Config Tool, und wählen Sie den Konfigurationseditormodus. Hier können Sie auf alle UME-Einstellungen zugreifen (Pfad: cluster_configsystemcustom_globalcfgservicescom.sap.security.core.ume.servicePropertysheet properties).

Die nächste Abbildung zeigt beispielhaft, wie Sie die aktuell aktive Datenquelle im Modus Offline-Konfigurationseditor herausfinden können.

software only available in English

UME-Parameter

Benutzerablage

Service Provider des AS Java, der Benutzerverwaltungsdaten wie Benutzer- und Gruppendaten speichert.

UME

User Management Engine: Java-basierte Benutzerverwaltungskomponente mit zentraler Benutzerverwaltung, Single Sign-On (SSO) und sicherem Zugriff auf verteilte Anwendungen.

Neben der Auswahl und genauen Konfiguration einer Datenquelle existieren viele weiterere Parameter, mit deren Hilfe Sie das Verhalten der UME beeinflussen können. Eine Übersicht über die betroffenen Bereiche gibt die folgende Abbildung:

Die folgende Aufstellung stellt einige ausgewählte, wichtige Parameter vor:

Datenquelle(n)

ume.persistence.data_source_configuration Name der UME-Konfigurationsdatei (je nach Datenquelle können andere Parameter für die Verbindung der Datenquelle relevant sein)

Sicherheitsrichtlinie

  • ume.logon.security_policy.auto_unlock_time Anzahl der Minuten, nach denen ein Benutzer, der aufgrund ungültiger Anmeldeversuche gesperrt wurde, wieder entsperrt wird (wenn der Wert 0 ist, bleibt der Benutzer gesperrt)

  • ume.logon.security_policy.lock_after_invalid_tries Anzahl der ungültigen Anmeldeversuche, nach denen ein Benutzer gesperrt wird (in einem AS ABAP+Java automatisch auf 0 gesetzt)

  • ume.logon.security_policy.password_special_char_required Bestimmt, wie viele Sonderzeichen das Kennwort mindestens enthalten muss.

  • ume.logon.security_policy.password_alpha_numeric_required Gibt die Mindestanzahl numerischer und alpahetischer Zeichen an, die das Kennwort enthalten muss (wenn die Zahl 3 ist, muss das Kennwort mindestens 3 Ziffern und 3 Buchstaben enthalten)

  • ume.logon.security_policy.password_expire_days Anzahl an Tagen, bevor das Kennwort abläuft.

  • ume.logon.security_policy.password_max_length bzw. ume.logon.security_policy.password_min_length Maximale bzw. minimale Länge des Kennworts

  • ume.logon.security_policy.useridmaxlength bzw. ume.logon.security_policy.useridminlength Maximale bzw. minimale Länge der Benutzer-ID

Es gibt verschiedene Sicherheitskonzeptprofile, z. B. Default und Technical User. Die Eigenschaften für das Profil Technical User ist fest programmiert und kann nicht geändert werden. Die Eigenschaften können in der BenutzeradministrationConfigurationSecurtiy Policy angezeigt werden, indem Sie das Profil auswählen. Wenn Änderungen an den Sicherheitsprofileigenschaften von Default vorgenommen werden, wirkt sich dies auf die oben genannten Eigenschaften aus (dies trifft auch auf den umgekehrten Fall zu). Sie können Ihre eigenen Sicherheitsrichtlinienprofile anlegen, in denen Sie andere Eigenschaftseinstellungen als das Standard-Sicherheitsrichtlinienprofil pflegen können. Diese Einstellungen können Sie nur im „einfachen" Modus anzeigen und festlegen. Über den Expertenmodus oder den Konfigurationseditormodus des Config Tools können Sie nicht auf sie zugreifen.

In der UME-Konfiguration können Sie Benutzer pflegen und ihnen Sicherheitsrichtlinienprofile zuordnen, sodass Sie Benutzer mit unterschiedlichen Werten der Sicherheitsrichtlinieneigenschaften haben können. Standardmäßig ist das Sicherheitskonzeptprofil Default zugeordnet.

Benachrichtigungs-E-Mails

Die UME kann so konfiguriert werden, dass in bestimmten Situationen (z.B. nach dem Sperren eines Benutzers) E-Mails über einen externen SMTP-Server gesendet werden. Dies setzt natürlich voraus, dass in den Benutzerstammsätzen gültige E-Mail-Adressen hinterlegt sind.

Benutzer-Admin-UI

  • ume.admin.addattrs Erlaubt das Hinzufügen kundenspezifischer Attribute zum Benutzerstamm

  • ume.admin.search_maxhit Maximale Anzahl der in der Administrationskonsole angezeigten Suchtreffer (Standard 1000)

  • ume.admin.search_maxhits_warninglevel Anzahl der Treffer, ab der in der Administrationskonsole eine Warnung ausgegeben wird (Default 200)

  • ume.admin.wd.url.help URL zur Online-Dokumentation (kann z. B. auf eine lokale Hilfe beim Kunden verweisen)

  • ume.admin.wd.table.size.<name> Gibt die Anzahl der Zeilen für die Ausgabe in der Administrationskonsole an (für <name> gibt es kleine, mittlere und große Zeilen)

Hinzufügen von Customizing-Attributen zum Benutzerprofil

  • ume.supergroups.anonymous_group.displayname ID der Gruppe anonymer Benutzer (Standard Anonyme Benutzer)

  • ume.supergroups.authenticated_group.displayname ID der Gruppe der angemeldeten Benutzer (standardmäßig Authentifizierte Benutzer)

  • ume.supergroups.Everyone.displayname ID der Gruppe aller Benutzer (Standard Everyone)

  • ume.virtual_groups.names IDs virtueller Gruppen (die auf Basis bestimmer Benutzereigenschaften gebildet werden)

Anpassung des Anmeldebilds

  • ume.logon.branding_image Pfad zu dem auf dem Logon-Screen dargestellten Bild

  • ume.logoff.redirect.url Adresse, die nach der Abmeldung aufgerufen wird (nur für das SAP Enterprise Portal)

Notiz

Dies sind nur einige Beispiele. Detaillierte Informationen finden Sie in der Online-Dokumentation für Ihre SAP-Produktversion.

Konfiguration der User Management Engine prüfen

Unternehmensszenario

Ihr Unternehmen verwendet SAP NetWeaver Application Server Java. Sie möchten wissen, welche Datenquellenkonfiguration in diesem System aktiviert wurde.

Gültig für diese Übung

ParameterWert
SAP ClassroomWTS
SAP System IDSMJ
Hostname (FQDN)smhost.wdf.sap.corp
BetriebssystemWindows
Central-Services-InstanzSCS90
Primary Application Server (PAS)J91
Java Administrator / Kennworttrain-## / <Ihr Kennwort>
Ersetzen Sie ## immer durch ...<Gruppennr.>

Aufgabe 1: Konfigurationsdaten

Sichern und bewerten Sie die aktuellen Konfigurationsdaten.

Schritte

  1. Prüfen Sie im WTS die aktive Datenquellenkonfiguration für das SAP-Solution-Manager-Java-System mithilfe des Identity-Managements.

    1. Starten Sie im SAP Solution Manager Classroon 2: WTS einen Edge-Browser.

    2. E

    3. Geben Sie die URL http://smhost.wdf.sap.corp:59100 ein, und verwenden Sie den Link Benutzerverwaltung. Alternativ können Sie die Funktion direkt aufrufen, indem Sie die URL um den Alias erweitern: http://smhost.wdf.sap.corp:59100/useradmin

    4. Geben Sie auf der Anmeldeseite Folgendes ein:

      • Benutzer*:train-##
      • Kennwort*:<Ihr Kennwort>

    5. Wählen Sie die Drucktaste Konfiguration unter der Nachricht Welcome <Benutzername>.

      Notiz

      Wenn Sie die Meldung "Es ist ein Fehler aufgetreten" erhalten, wenden Sie sich an Ihren Systemadministrator.

      Wählen Sie Abmelden, schließen Sie diese Browserregisterkarte, versuchen Sie den Link Benutzerverwaltung erneut, melden Sie sich erneut an, und wählen Sie abschließend erneut die Drucktaste Konfiguration.

    6. Wählen Sie die Registerkarte Datenquellen (Standard).

    7. Welche Datenquelle wurde für Ihr SAP-System konfiguriert? Notieren Sie sich diese Informationen: ________________________________

  2. Prüfen Sie die UME-Backend-Verbindung des SAP-Solution-Manager-Java-Systems.

    1. Wählen Sie in der UME-Konsole die Registerkarte ABAP-System.

    2. Wählen Sie den Link UME-RFC-Destination.

      Ergebnis

      Eine neue Registerkarte wird geöffnet. Der SAP NWA startet mit der Funktion für die Destinationskonfiguration. Die Benutzungsoberfläche zeigt die Destinationsliste an.

    3. Suchen Sie nach UMEBackendConnection. Es handelt sich um den Destinationstyp RFC.

    4. Wählen Sie diese Destination aus.

    5. Wählen Sie im Abschnitt Zieldetails die Registerkarte Verbindung und Transport (Standard).

    6. Überprüfen Sie die Felder Zielmaschine und Systemnummer. Auch wenn im Feld System-ID kein Wert angegeben ist: Auf welches SAP-System wird in den oben markierten Feldern verwiesen? _____

    7. Wählen Sie die Registerkarte Logondaten.

    8. Prüfen Sie den eingegebenen Mandanten, und notieren Sie sich den Benutzernamen: ______________

    9. Schließen Sie diese Browserregisterkarte.

  3. Prüfen Sie die aktive Datenquellenkonfiguration für das SAP-Solution-Manager-Java-System mit dem Konfigurationsbrowser von SAP NetWeaver Administrator.

    1. Wechseln Sie zur ersten Registerkarte Ihres Browsers, bei der es sich um die Startseite mit dem Namen SAP NetWeaver Application Server Java handeln sollte. Wenn Sie nicht mehr öffnen, geben Sie die URL http://smhost.wdf.sap.corp:59100 ein.

    2. Wählen Sie den Link SAP NetWeaver Administrator.

    3. Geben Sie oben rechts auf der Benutzungsoberfläche die SuchfunktionJava Configuration Browser ein.

    4. Wählen Sie Start oder die Eingabetaste.

    5. Wählen Sie in den Ergebnissen unter Java Configuration Browser den Link Overview.

    6. Verwenden Sie im rechten Bildbereich das Symbol Tabelleneinstellungen (Schraubenschlüsselsymbol), und wählen Sie Groß (20 Zeilen).

    7. Öffnen Sie den Pfad Local System → cluster_config → system → custom_global → cfg → services → com.sap.security.core.ume.service.

    8. Wählen Sie die Eintragseigenschaften aus.

    9. Verwenden Sie unten auf dem Bild im Abschnitt Eigenschaften den Filter unter der Spalte Name, und geben Sie data_source ein.

    10. Drücken Sie die Eingabetaste auf Ihrer Tastatur.

    11. Prüfen Sie die Zeile ume.persistence.data_source_configuration. Im Feld Benutzerdefinierter Wert sollten Sie dataSourceConfiguration_abap.xml finden.

      Notiz

      Diese Sicht ist genau dieselbe wie im Config Tool mit dem Konfigurationseditor. Da wir in der Schulungsumgebung nur einen SAP-Solution-Manager-Server haben, müssen wir diese Behelfslösung verwenden. Beachten Sie, dass Sie hier nichts ändern können, aber im Config Tool können Sie dies tun.

Aufgabe 2: Optional: Sichern Sie die aktuellen Konfigurationsdaten der UME, und werten Sie sie aus.

Schritte

  1. Sichern Sie die aktuelle UME-Konfiguration Ihres SAP-NetWeaver-AS-Java-Systems über das Identity Management in einer Datei.

    1. Starten Sie im WTS von SAP Solution Manager einen Edge-Browser.

    2. Wechseln Sie zur ersten Registerkarte Ihres Browsers, bei der es sich um die Startseite mit dem Namen SAP NetWeaver Application Server Java handeln sollte. Wenn nicht, geben Sie die URL http://smhost.wdf.sap.corp:59100 ein.

    3. Verwenden Sie den Link zur Benutzerverwaltung auf der Startseite, oder ändern Sie Ihre URL in: http://smhost.wdf.sap.corp:59100/useradmin

    4. Geben Sie auf der Anmeldeseite Folgendes ein:

      • Benutzer*:train-##
      • Kennwort*:<Ihr Kennwort> (z. Stamm10)

    5. Wählen Sie die Drucktaste Konfiguration.

    6. Wählen Sie die Registerkarte Support.

    7. Wählen Sie den Link Konfigurations-ZIP-Datei herunterladen.

    8. Wählen Sie Show in Folder (Ordnersymbol) und das Archiv IM-CONFIG_wdflbmt<no.><Datum><Zeitstempel> erscheint in einem Windows Explorer im Download-Verzeichnis des WTS.

  2. Beantworten Sie mithilfe der ZIP-Datei, die Sie gerade im Downloads-Ordner von WTS gespeichert haben, die folgenden Fragen:

    – Welche Datenquelle ist derzeit aktiv?

    – Nach wie vielen Tagen läuft das Benutzerkennwort ab?

    – Wie lang darf ein Kennwort maximal sein?

    1. Navigieren Sie im Windows Explorer zum Ordner Downloads, und doppelklicken Sie, um die ZIP-Datei zu öffnen, die Sie zuvor gesichert haben.

    2. Markieren Sie die Datei sapum-global.properties und wählen Sie mit der sekundären Maustaste Datei anzeigen.

    3. Mit den folgenden UME-Parametern können Sie die oben gestellten Fragen beantworten:

      • ume.persistence.data_source_configuration: Zeigt die aktuelle Datenquelle an und sollte auf dataSourceConfiguration_abap.xml gesetzt werden

      • ume.logon.security_policy.password_expire_days: Zeigt die Gültigkeitsdauer von Kennwörtern in Tagen an und sollte auf 999999 gesetzt werden.

      • ume.logon.security_policy.password_max_length: Zeigt die maximale Länge eines Kennworts an und sollte auf 14 gesetzt werden

Ergebnis

Sie haben den aktuellen Status der UME-Konfiguration in einer ZIP-Datei gesichert und ausgewertet, indem Sie einige Parameter und deren Werte geprüft haben.

Aufgabe 3: Optional: UME-Parameter prüfen

Schritte

  1. Verwenden Sie das Identity-Management, um den Schwellenwert für Warnungen bei umfangreichen Suchergebnissen in 240 zu ändern.

    1. Wenn Sie noch am WTS von SAP Solution Manager arbeiten, verwenden Sie das bereits geöffnete Identity-Management. Fahren Sie in diesem Fall mit dem Teilschritt f) fort.

    2. Wenn er nicht mehr geöffnet ist, starten Sie einen Edge-Browser, und fahren Sie mit den nächsten Schritten fort.

    3. Wechseln Sie zur ersten Registerkarte Ihres Browsers, bei der es sich um die Startseite mit dem Namen SAP NetWeaver Application Server Java handeln sollte. Wenn nicht, geben Sie die URL http://smhost.wdf.sap.corp:59100 ein.

    4. Verwenden Sie den Link zur Benutzerverwaltung auf der Startseite, oder ändern Sie Ihre URL in: http://smhost.wdf.sap.corp:59100/useradmin

    5. Geben Sie auf der Anmeldeseite Folgendes ein:

      • Benutzer*:train-##
      • Kennwort*:<Ihr Kennwort> (z. Stamm10)

    6. Navigieren Sie im Identity-Management zur Sicht KonfigurationBenutzer-Admin-UI.

    7. Wechseln Sie mit der Taste Konfiguration ändern in den Änderungsmodus.

    8. Geben Sie unter Warnungsschwellenwert für große Suchergebnisse240 ein.

    9. Betätigen Sie Alle Änderungen sichern.

    10. Sie sollten darüber hinaus die folgende Meldung erhalten: „Konfiguration gesichert. Alle Änderungen sind bereits wirksam. Ein Neustart der Serverknoten ist nicht erforderlich".

  2. Verwenden Sie den Expertenmodus im Identity-Management, um denselben Wert in 250 zu ändern.

    1. Wählen Sie die Drucktaste Expertenmodus öffnen (rechts am Rand des Bildes).

    2. Geben Sie den folgenden Suchstring in das Filterfeld (unter dem Feld Schlüssel) ein: ume.admin.search.

      Hinweis

      Verwenden Sie am Ende der Suchzeichenfolge kein * oder ein ..

    3. Drücken Sie die Eingabetaste.

    4. Wählen Sie Modify.

    5. Geben Sie in der Zeile mit dem Parameter ume.admin.search_maxhits_warninglevel250 in das Feld Wert ein.

    6. Wählen Sie Sichern.

    7. Sie sollten die folgende Meldung erhalten: „Konfiguration gesichert. Alle Änderungen sind bereits wirksam. Ein Neustart der Serverknoten ist nicht erforderlich".

    8. Wählen Sie Expertenmodus schließen.

Weiterführende Informationen

  • Online-Dokumentation für SAP NetWeaver 7.5, Pfad http://help.sap.com/nw75 im Bereich Application HelpSAP-NetWeaver-Bibliothek: Funktionsorientierte SichtSicherheitIdentity-ManagementBenutzerverwaltung des SAP NetWeaver AS JavaUser Management Engine
  • SAP-Hinweis 718383 - Unterstützte Datenquellen und Modifikationsoptionen
  • SAP-Hinweis 948654 - Nur globale Einstellungen für UME-Eigenschaften verwenden
  • SAP-Schulung ADM960 SAP NetWeaver Application Server Security

Learning

SAP FacebookSAP YoutubeSAP LinkedIn