LDAP-Verzeichnis als Datenquelle

Die User Management Engine (UME) kann einen Verzeichnisdienst als Datenquelle für Benutzerverwaltungsdaten verwenden. Sie können die UME mit einem Verzeichnisdienst entweder als schreibgeschützte Datenquelle oder als Datenquelle mit Schreibzugriff verknüpfen.

Weitere Informationen: SAP-Hinweis 673824.

Wenn Sie einen Application Server für ABAP (AS für ABAP) als Datenquelle verwenden möchten, jedoch den AS für ABAP mit dem Verzeichnisdienst synchronisieren möchten, siehe: UME für Synchronisation des Verzeichnisdiensts mit AS ABAP konfigurieren.

• Der Verzeichnisdienst verfügt über eine Hierarchie von Benutzern und Gruppen, die von der UME unterstützt wird. Von der UME unterstützte Hierarchien:
  • Gruppen als Baum
  • Flache Hierarchie

  Weitere Informationen: Benutzer und Gruppen im LDAP-Verzeichnis organisieren.

• Der Administrator des Verzeichnisdienstes muss einen Benutzer anlegen, den die UME zum Herstellen der Verbindung zum Verzeichnisdienst verwenden kann. Dieser Benutzer sollte über Berechtigungen zum Lesen und Suchen für alle Verzweigungen des Verzeichnisdienstes verfügen. Soll die UME auch in den Verzeichnisdienst schreiben, muss der Benutzer zusätzlich über Berechtigungen zum Anlegen und Ändern verfügen.

• Die Distinguished Names (DNs) der Benutzer und Gruppen dürfen nicht länger als 240 Zeichen sein.
• Die UME pflegt die Standardgruppen "Alle", "Authentifizierte Benutzer" und "Anonyme Benutzer" intern. Wenn Sie Gruppen mit diesen Namen mit der nativen Benutzeroberfläche Ihres LDAP-Verzeichnisses anlegen, müssen Sie das Lesen dieser aus dem LDAP-Verzeichnis durch die UME blockieren. Andernfalls ist der Name mehrdeutig. Verwenden Sie zum Blockieren des Gruppennamens im LDAP die UME-Eigenschaft ume.ldap.blocked_groups.
• Entsprechend müssen Sie beim Anlegen von Benutzerkonten mit derselben wie durch die Servicebenutzer intern verwendete Benutzer-ID das Lesen dieser aus dem LDAP-Verzeichnis durch die UME blockieren. Service-Benutzer-IDs folgen der Namenskonvention <application_name>_service. Verwenden Sie zum Blockieren der Benutzer-ID im LDAP die UME-Eigenschaften ume.ldap.blocked_accounts und ume.ldap.blocked_users.
• Wurde die Benutzerverwaltung mit Schreibzugriff auf ein LDAP-Verzeichnis eingerichtet, gilt folgende Einschränkung: Beim Zuweisen von Mitgliedern zu einer Gruppe, die im LDAP-Verzeichnis abgelegt ist, können Sie nur Benutzer und Gruppen zuweisen, die ebenfalls im LDAP-Verzeichnis abgelegt sind. Sie können Benutzer oder Gruppen aus einer Datenbank nicht zu Gruppen aus dem LDAP-Verzeichnis zuweisen.

  Jedoch können Sie im LDAP-Verzeichnis abgelegte Benutzer und Gruppen einer Gruppe in der Datenbank zuweisen.

• Sie können nicht nach Benutzern mit gesperrten Kennwörtern suchen. Eine Suche nach Benutzern mit gesperrten Kennwörtern liefert keine Ergebnisse.
• Wenn Sie ein LDAP-Verzeichnis mit einer tiefen Hierarchie verwenden, können Sie Benutzer und Gruppen nicht als Mitglieder einer anderen Gruppe über UME-Benutzerverwaltungswerkzeuge zuweisen.
• Sie können UME-Gruppen nicht zu LDAP-Gruppen zuweisen.

Wählen Sie zwischen den folgenden Optionen:

Option 1: Verzeichnisdienst mit Schreibzugriff

Beschreibung:

Folgende Daten werden in den LDAP-Server geschrieben und aus diesem gelesen:

• Benutzer (displayname, lastname, fax, email, title, department, description, mobile, telephone, streetaddress. uniquename und Gruppenmitgliedschaft sowie alle weiteren durch die Attributzuordnung definierten Attribute)
• Benutzerkonten (logonid, password und ID des zugewiesenen Benutzers)
• Gruppen (displayname, description, uniquename und die Gruppenmitglieder)

Folgende Daten werden in die Datenbank geschrieben und aus dieser gelesen:

• Zusätzliche Daten (z.B. Informationen zur letzten Änderung eines Benutzers)
• Weitere Principal-Typen (z.B. Rollen)
• Zusätzliche Attribute (z.B. nicht durch die Standardobjektklassen des LDAP-Servers abgedeckte Attribute)

Anwendungsfall: Se verfügen über eine gemischte Systemlandschaft, die sowohl SAP- als auch nicht-SAP-Systeme enthält, oder Sie verfügen über ein bestehendes LDAP-Unternehmensverzeichnis in Ihrer Systemlandschaft. Sie möchten Standardbenutzerdaten wie Name, Adresse, E-Mail-Adresse usw. im Verzeichnis ablegen, während Sie anwendungsspezifische Daten in der Datenbank ablegen.

Konfigurationsdatei:

• Wenn das LDAP-Verzeichnis über eine Flache Hierarchie verfügt: dataSourceConfiguration_<LDAP_directory_vendor>_not_readonly_db.xml
• Wenn das LDAP-Verzeichnis über eine Tiefe Hierarchie verfügt: dataSourceConfiguration_<LDAP_directory_vendor>_deep_not_readonly_db.xml

Option 2: Schreibgeschützter Verzeichnisdienst

Beschreibung: Sie können Benutzer oder Gruppen auf dem LDAP-Server nicht anlegen, ändern oder löschen. Alle neu angelegten Principals und zusätzlichen Daten sind in der Datenbank abgelegt.

Anwendungsfall: Sie verfügen über ein bestehendes LDAP-Verzeichnis des Unternehmens in Ihrer Systemlandschaft und verfügen über bestehende Prozesse für die Verwaltung von Benutzerdaten in diesem Verzeichnis. Sie verwenden ein Portal und möchten, dass alle sich im Portal registrierenden Benutzer von den Benutzerdaten getrennt im Verzeichnis des Unternehmens abgelegt werden.

Konfigurationsdatei:

• Wenn das LDAP-Verzeichnis über eine flache Hierarchie verfügt: dataSourceConfiguration_<LDAP_directory_vendor>_readonly_db.xml
• Wenn das LDAP-Verzeichnis über eine tiefe Hierarchie verfügt: dataSourceConfiguration_<LDAP_directory_vendor>_deep_readonly_db.xml