Einschränkungen der UME mit ABAP-Datenquelle
Wenn Sie den AS ABAP als Datenquelle für Benutzerverwaltungsdaten verwenden, gelten bei der Verwendung des AS Java die folgenden Einschränkungen.
Aufgrund des Sicherheitskonzepts des AS ABAP können Benutzer ihr Kennwort nur einmal am Tag ändern. Dies gilt auch, wenn ein Administrator ein neues Kennwort bereitstellt. Wenn der Administrator eine neues Kennwort bereitstellt, muss der Benutzer dieses Initialkennwort verwenden, wenn er sich das nächste Mal am System anmeldet.
Die Datei dataSourceConfiguration_abap.xml gewährt der UME Lese- und Schreibzugriff auf den AS ABAP. Der Schreibzugriff auf das AS-ABAP-System schlägt fehl, wenn bei der Systemkommunikation zwischen UME und AS ABAP (Standardname SAPJSF) folgende Probleme vorliegen:
- Der Benutzer hat keine ABAP-Rolle.
- Der Benutzer wurde einer ABAP-Rolle zugeordnet, die nur über Lesezugriff verfügt.
Wenn der AS ABAP gestartet wird, prüft die UME die Rollen, die dem Systembenutzer zugeordnet sind. Ist dieser keiner oder nur der Rolle SAP_BC_JSF_COMMUNICATION_RO zugeordnet, wechselt die UME für alle im ABAP-System vorliegenden Benutzer in den Anzeigemodus.
- Wenn die UME nur Lesezugriff hat, können Sie keine Benutzerattribute ändern, die im ABAP-System abgelegt sind, z.B. Vor- und Nachnamen. Attribute, die in der UME-Datenbank abgelegt sind, z.B. der Straßenname, können Sie ändern. Auch wenn sie nur über Lesezugriff verfügen, können Benutzer ihre persönlichen Kennwörter ändern.
- Wenn die UME Schreibzugriff hat, können Sie Benutzer mithilfe der AS-Java-Werkzeuge anlegen. Sie werden als Benutzer im AS ABAP abgelegt. Erweiterte Benutzerdaten, die nicht im Standard-AS-ABAP-Benutzersatz abgelegt werden können, werden in der Datenbank der UME abgelegt.
Zum Aktivieren des Lese-und-Schreibzugriffs für den Systembenutzer weisen Sie den Systembenutzer der ABAP-Rolle SAP_BC_JSF_COMMUNICATION zu. Weitere Informationen finden Sie unter Anforderungen an Systembenutzer für die UME-ABAP-Kommunikation.
Sie können die von der UME gebotene Selbstregistrierung und die Funktion zum Verwalten des eigenen Profils aktivieren. Dadurch können Benutzer ihre E-Mail-Adresse ändern, die sie nicht über die vom ABAP-System gebotenen Werkzeuge ändern können. Weitere Informationen finden Sie unter Benutzerprofil und Selbstregistrierung.
Folgende Tabelle zeigt eine Liste der Benutzerattribute, die aus dem AS ABAP gelesen oder in den AS ABAP geschrieben werden können. Diese ist eine feststehende Liste und sie kann nicht erweitert werden. Attribute ohne einen Eintrag für den Feldnamen auf der Identity-Management-Benutzeroberfläche werden nicht auf der Benutzeroberfläche angezeigt. Sie sind nur über die UME-API verfügbar. Nicht in dieser Tabelle aufgeführte Attribute werden nur in der Datenbank des AS Java abgelegt. (z.B.: Straße, Stadt, Bundesland/Kanton, Postleitzahl)
Abgelegte UME-Benutzerattribute und der AS ABAP
| Logischer Name des UME-Attributs | Feldname auf der Identity-Management-Benutzeroberfläche | Kommentare und Feldname in der ABAP-Benutzerverwaltung |
|---|---|---|
|
company |
Unternehmen |
Benutzergruppe für die Berechtigungsprüfung |
|
CREATED_BY |
|
Schreibgeschützt. Nicht gefüllt, wenn das Backend SAP NetWeaver 7.0 oder früher ist. |
|
department |
Abteilung |
Abteilung |
|
|
E-Mail-Adresse |
E-Mail-Adresse |
|
fax |
Fax |
Fax |
|
firstname |
Vorname |
Vorname |
|
islocked |
Benutzerkonto gesperrt |
|
|
ispassworddisabled |
Kennwort deaktivieren |
Kann nur durch das Zuweisen eines neuen Kennworts zurückgesetzt werden. |
|
j_password |
Bei Eingabe von Kennwörtern bearbeitbar. |
|
|
jobtitle |
Position |
Funktion |
|
LAST_MODIFIED_BY |
|
Schreibgeschützt. Nicht gefüllt, wenn das Backend SAP NetWeaver 7.0 oder früher ist. |
|
lastname |
Nachname |
Nachname |
|
lastsuccessfullogon |
|
Schreibgeschützt. Nicht gefüllt, wenn das Backend SAP NetWeaver 7.0 oder früher ist. |
|
locale |
Sprache |
Die UME verwendet das Anmeldesprachenattribut zum Ermitteln des Sprachteils des Gebietsschemas. Ist dieses Attribut leer, verwendet die UME die Sprache der Person. Die UME verwendet das Attribut "Land" des Unternehmens des Benutzers zum Ermitteln des Landesteils des Gebietsschemas.
Wenn die UME ein Gebietsschema in das Backend schreibt, wird der Sprachteil des Gebietsschemas in das Attribut "Anmeldesprache" geschrieben. Jedoch kann die UME nicht in das Attribut "Land" schreiben. Sie müssen es manuell im ABAP-Backend-System ändern. |
|
lockreason |
|
Nur administrative Sperren können ausdrücklich gesetzt werden. Durch fehlgeschlagene Anmeldeversuche verursachte Sperren werden implizit gesetzt. |
|
logonalias |
Anmeldealias |
Alias |
|
mobile |
Mobiltelefon |
Mobiltelefon |
|
passwordchangerequired |
|
Kann nicht ausdrücklich gesetzt werden. Wird implizit durch Setzen eines neuen Kennworts oder durch benutzerbasierte Kennwortänderungen geändert. |
|
PRINCIPAL_CREATION_DATE |
Datum der Kontoerstellung |
Schreibgeschützt. Nicht gefüllt, wenn das Backend SAP NetWeaver 7.0 oder früher ist. |
|
PRINCIPAL_MODIFY_DATE |
|
Schreibgeschützt. |
|
referenceuser |
|
Referenzbenutzer |
|
salutation |
Anrede |
Titel |
|
SecurityPolicy |
Sicherheitskonzept |
Benutzertyp |
|
sncname |
|
SNC-Name |
|
telephone |
Telefon |
Telefon |
|
timezone |
Zeitzone |
Zeitzone |
|
title |
|
Akademischer Grad |
|
validfrom |
Startdatum der Kontogültigkeit |
Gültig ab |
|
validto |
Enddatum der Kontogültigkeit |
Gültig bis |
Die Datei dataSourceConfiguration_abap.xml ermöglicht Ihnen nur das Anlegen von Benutzern im ABAP-System. Nachdem die UME für die Verwendung des AS ABAP als Datenquelle konfiguriert wurde, können Sie keine Benutzer in der Datenbank des AS Java anlegen. Sie können jedoch weiterhin bestehende Benutzer bearbeiten und löschen. ABAP-Rollen bestimmen Ihren Schreibzugriff auf die ABAP-Benutzerverwaltung. Wenn Sie nur über Lesezugriff verfügen, können Sie keine Benutzer anlegen. Die UME legt Benutzer nicht standardmäßig in der Datenbank des AS Java an. Auch können Sie ohne Schreibzugriff keine Benutzer auf dem AS ABAP bearbeiten oder löschen.
Wenn Sie das Werkzeug der Benutzerverwaltung verwenden, gelten bestimmte Einschränkungen:
Einschränkungen der Benutzersuchkriterien
| Feldname oder Name des logischen Attributs des UME-Benutzersatzes | Einschränkung |
|---|---|
|
Erstellungsdatum Datum der letzten Kennwortänderung |
Die Suche berücksichtigt nur über das AS-Java-Werkzeug ausgeführte Aktionen. |
|
Straße Stadt Bundesland/Kanton Postleitzahl |
Die Suche berücksichtigt nur in UME-Tabellen der AS-Java-Datenbank abgelegte Informationen. Diese Daten weichen von den in den ABAP-Benutzerstammdaten abgelegten Daten ab. |
|
Land Kennwort deaktivieren Enddatum der Kontogültigkeit Fax Anrede Sprache Mobiltelefon Startdatum der Kontogültigkeit Telefon Zeitzone |
Anhand dieser Kriterien können Sie nicht nach Benutzern suchen. |
|
E-Mail-Adresse |
Es werden nur die ersten 20 Zeichen für die Suche verwendet. |
|
j_password lastsuccesfullogon lockreason passwordchangerequired sncname title |
Anhand dieser Attribute können Sie nicht nach Benutzern suchen. |
|
CREATED_BY LAST_MODIFIED_BY PRINICIPAL_MODIFY_DATE referenceuser |
Sie können anhand dieser Kriterien mit der UME-API nach Benutzern suchen, jedoch nicht mit der Suchfunktion der Identity-Management-Benutzeroberfläche. Dieser Attribute werden nicht auf der Benutzeroberfläche von Identity Management angezeigt. |
Sie können die Namen der Gruppen, die Rollen auf dem AS ABAP darstellen, nicht ändern. Jedoch können Sie die Benutzerzuweisungen dieser Gruppen ändern. Verwenden Sie zum Anlegen neuer Gruppen oder Ändern bestehender Gruppen auf dem AS ABAP die Transaktion PFCG auf dem AS ABAP.
Folgende Einschränkungen gelten für UME-Gruppen, die Rollen auf dem AS ABAP darstellen:
- Sie können ABAP-Benutzer nur UME-Gruppen zuweisen, die ABAP-Rollen darstellen.
- Die UME kann keine Benutzer-Gruppen-Zuweisungen anzeigen, wenn das aktuelle Datum außerhalb des Gültigkeitsbereichs der entsprechenden Benutzer-Rollen-Zuweisung auf dem AS ABAP liegt.
Wenn Sie eine UME-Gruppe einem Benutzer zuweisen möchten und dieser Benutzer bereits einer entsprechenden ABAP-Rolle zugewiesen ist, das aktuelle Datum sich jedoch außerhalb des Gültigkeitsbereichs befindet, erhalten Sie eine Fehlermeldung.
- Wenn eine Rollenzuweisung zu einem Benutzer in ABAP durch eine Sammelrolle oder Organisationsmanagement erfolgt, können Sie die Zuweisung des Benutzers aus der entsprechenden UME-Gruppe nicht zurücknehmen.
- Wenn eine Rollenzuweisung zu einem Benutzer in ABAP durch eine indirekte Zuweisung über einen Referenzbenutzer (sichtbar in Transaktion SU01) erfolgt, können Sie die Zuweisung des Benutzers aus der entsprechenden UME-Gruppe nicht zurücknehmen.
- Wenn eine Rollenzuweisung zu einem Benutzer in ABAP gleichzeitig durch eine direkte und eine indirekte Zuweisung erfolgt, können Sie die Zuweisung des Benutzers aus der entsprechenden UME-Gruppe nicht zurücknehmen.Tipp
Der Benutzerverwalter Alain hat dem Benutzer FGOMEZ die Rollen Z_DIRECT und Z_COLLECT zugewiesen. Z_COLLECT ist eine Sammelrolle, die die Rolle Z_DIRECT enthält. Über Identity Management des AS Java kann Alain die Zuweisung von FGOMEZ nicht aus der UME-Gruppe Z_DIRECT zurücknehmen, da diese ABAP-Rolle indirekt auch durch die ABAP-Rolle Z_COLLECT zugewiesen ist.
Neue über die UME angelegte Gruppen werden als UME-Gruppen in der lokalen Datenbank des AS Java abgelegt. Über die UME können Sie Benutzer aus dem AS ABAP diesen UME-Gruppen zuweisen. Wenn Sie diese Gruppen, die ABAP-Rollen darstellen, auch UME-Gruppen zuweisen. Jedoch werden solche indirekten Rollenzuweisungen nicht in das Backend-ABAP-System geschrieben. Ein Benutzer ist ein Mitglied einer indirekt zugewiesenen Gruppe, die auf einer ABAP-Rolle basiert, doch der Benutzer hat keine in der Rolle enthaltenen ABAP-Berechtigungen.
Der Benutzerverwalter Alain hat die UME-Gruppe Z_DIRECT (basierend auf der ABAP-Rolle desselben Namens) der UME-Gruppe "Alle" zugewiesen. Wenn Alain die Details eines beliebigen Benutzers im System einsieht, sieht er, dass der Benutzer Mitglied der Gruppe Z_DIRECT ist. Wenn Alain den Benutzer auf dem AS ABAP prüft, haben keine Benutzer die mit der ABAP-Rolle assoziierte Berechtigungen.
Wie auch Gruppen werden neue über die UME angelegte Gruppen als UME-Gruppen in der lokalen Datenbank des AS Java abgelegt. Über die UME können Sie Benutzer aus dem AS ABAP diesen UME-Gruppen zuweisen. Zudem können Sie die Gruppen, die ABAP-Rollen darstellen, UME-Rollen zuweisen.
Wenn Sie eine neue ABAP-Rolle anlegen oder die Beschreibung einer bestehenden ABAP-Rolle auf dem AS ABAP ändern, sind diese Änderungen möglicherweise bis zu 30 Minuten nicht in der UME sichtbar. Die UME liest diese Daten alle 30 Minuten aus dem AS ABAP. Wann diese Informationen angezeigt werden hängt davon ab, wann die UME die Daten zuletzt gelesen hat. Um die UME zum Lesen der Daten aus dem AS ABAP zu zwingen müssen Sie den AS Java neu starten.
Der Systembenutzer für die UME-ABAP-Kommunikation kann sich nicht an der UME anmelden. Dadurch wird verhindert, dass der Systembenutzer aufgrund fehlgeschlagener Anmeldeversuche ausgesperrt wird. Für diesen Systembenutzer sind keine Benutzerverwaltungsoperationen in der UME möglich.
Zur Vermeidung von Konflikten zwischen den Sicherheitskonzepten der UME und dem AS ABAP ignoriert die UME teilweise ihr eigenes Sicherheitskonzept, wenn der AS ABAP die Datenquelle ist.
Weitere Informationen über das Sicherheitskonzept auf dem AS Java finden Sie unter Sicherheitskonzeptt.
Weitere Informationen zur den Sicherheitskonzepteinstellungen auf dem AS ABAP finden Sie in der AS-ABAP-Dokumentation.
Nachdem Sie diese Datenquellenkonfiguration gewählt haben, können Sie zu keiner anderen Datenquellenkonfiguration wechseln. Weitere Informationen finden Sie in SAP-Hinweis 718383.
Weitere Informationen zu anderen Datenquellen-Konfigurationsdateien finden Sie unter Datenquellen-Konfigurationsdateien.
Der Systembenutzer für die UME-ABAP-Kommunikation ist für die Verwendung einer bestimmten Sprache auf dem AS ABAP konfiguriert. Die für den Systembenutzer verwendete Spracheinstellung bestimmt den vom AS ABAP zurückgegebenen Wert des Benutzerattributs "Anrede". SAP empfiehlt Ihnen, die Sprache des Systembenutzers so zu konfigurieren, dass sie mit der Sprache übereinstimmt, die von der Mehrheit der UME- oder Portal-Benutzer bevorzugt wird. Nehmen Sie Änderungen am Attribut "Anrede" nur auf dem AS ABAP vor. Weitere Informationen finden Sie in SAP-Hinweis 866367.
Der AS ABAP und der AS Java verwenden verschiedene Konzepte für das Anzeigen von Zeitzonen. Der AS ABAP verwendet generische regionale Benennungen wie Central European Time (CET). Der AS Java benennt Zeitzonen nach Region und Stadt wie Europe/Rom und Europa/Berlin.
Sie können eine Zuordnung zwischen diesen beiden Zeitzonenkonzepten konfigurieren. Der AS Java erhält diese Informationen vom AS ABAP über die RFC-Destination I18NBackendConnection. In einer kombinierten AS-ABAP-und-AS-Java-Installation wird diese Destination automatisch konfiguriert. Wenn Sie den AS Java für die Verwendung eines AS ABAP als Datenquelle konfigurieren, müssen Sie diese Destination manuell konfigurieren. Ordnen Sie den Verbindungsbenutzer (Standardname: SAPJTIME) der ABAP-Rolle SAPI18N zu. Weitere Informationen finden Sie unter RFC-Destinationen pflegen.
Eine Kennwortsperre tritt dann auf, wenn ein Benutzer sich anmelden möchte und zu häufig das falsche Kennwort eingibt. Sie können eine Kennwortsperre über die AS-Java-Benutzerverwaltungsanwendung entsperren, genau so wie wenn die Datenquellen die Datenbank des AS Java ist. Der Backend-AS-ABAP unterstützt diese Entsperrfunktion nicht. Stattdessen müssen Sie dem Benutzer ein neues Initialkennwort zuweisen. Der Benutzer kann sich anschließend mit dem neuen Kennwort anmelden.
Das ABAP-Backend-System liefert der UME-Benutzeroberfläche für den aktuell angemeldeten Benutzer lokalisierte Fehlermeldungen oder Warnungen.
Für Backend-Systeme mit einem Release SAP NetWeaver 7.0 oder höher werden diese Meldungen in technischem, nicht lokalisiertem Format angezeigt.