Zwischen dem LDAP-Verzeichnis und dem ABAP-ZBV-Zentralsystem ist eine Datensynchronisation eingerichtet. Die Synchronisationsrichtung hängt davon ab, ob der Verzeichnisdienst oder das ZBV-Zentralsystem das führende System ist. Das ABAP-ZBV-Zentralsystem verteilt die Daten in die ABAP-ZBV-Tochtersysteme. In unserem Beispiel ist eine J2EE Engine an ein ZBV-Tochtersystem (entweder als Standalone oder als Add-In) und ein Nicht-SAP-System an das LDAP-Verzeichnis angeschlossen.
Sofern Sie nur ein ABAP-System in Ihrer Systemlandschaft haben, brauchen Sie zwar keine Zentrale Benutzerverwaltung zu verwenden, da Sie auch jedes ABAP-System direkt an das LDAP-Verzeichnis anschließen können. Allerdings müssen Sie pro ABAP-System eine Synchronisation der Benutzerdaten durchführen. Außerdem werden in der Regel die systemspezifischen ABAP-Berechtigungsrollenzuordnungen nicht über das LDAP-Verzeichnis verwaltet. Daher empfehlen wir Ihnen, mehrere ABAP-Systeme mit einer ZBV zu verwalten und nur das ZBV-Zentralsystem direkt an das LDAP-Verzeichnis anzuschließen. Dann können Sie die synchronisierten Daten vom Zentralsystem an die Tochtersysteme verteilen und über das Zentralsystem die systemspezifischen ABAP-Berechtigungsrollenzuordnungen ergänzen. Siehe Synchronisation der SAP-Benutzerverwaltung mit einem LDAP-fähigen Verzeichnisdienst.
Bei der Synchronisation der Benutzerdaten wird das Benutzerkennwort nicht vom SAP Web AS an das LDAP-Verzeichnis übergeben. Daher müssen Sie das Benutzerkennwort mit einer der folgenden Möglichkeiten pflegen:
· Sie geben die Kennwörter zentral im LDAP-Server an. Die Benutzer müssen sich über die UME anmelden, werden am LDAP-Server authentifiziert, erhalten ein Anmeldeticket und können anschließend auf alle Systeme mit Single Sign-On zugreifen. In diesem Fall müssen alle Systeme so konfiguriert sein, dass sie Anmeldetickets akzeptieren.
· Sie geben die Kennwörter dezentral sowohl in der ZBV als auch im LDAP-Verzeichnis (oder in der UME) an. In diesem Fall brauchen die Systeme der ZBV keine Anmeldetickets zu akzeptieren.
Die Konfiguration der ABAP-Datenquelle muss unterstützt sein (siehe J2EE Engine mit ABAP-Datenquelle).
Verwaltung der Benutzerdaten ohne Enterprise Portal
Objekt |
Empfohlenes Werkzeug |
Benutzer |
· Wenn Sie die Benutzer in einem LDAP-Verzeichnis bereits mit einem LDAP-Verwaltungswerkzeug verwalten, können Sie dieses Werkzeug weiterhin verwenden. · Verwenden Sie die Benutzerpflege (Transaktion SU01) des ZBV-Zentralsystems (siehe Benutzerpflege bei aktiver Zentraler Benutzerverwaltung). Beachten Sie, dass bei der Synchronisierung von Benutzerdaten aus dem ZBV-Zentralsystem in ein LDAP-Verzeichnis keine Kennwörter synchronisiert werden. |
ABAP-Rollen |
Rollenverwaltung (Transaktion PFCG) der ZBV-Tochtersysteme |
UME-Rollen und J2EE-Sicherheitsrollen |
Verwalten Sie die UME-Rollen mit der UME-Administrationskonsole und die J2EE-Sicherheitsrollen mit dem Visual Administrator. Beide Werkzeuge gehören zum Web AS Java. Sie können die java-gestützten Berechtigungen der J2EE-Sicherheitsrollen und der UME-Rollen mit den ABAP-Rollen integrieren (siehe Integration of UME Roles with SAP Roles). |
Rollenzuordnung |
Ordnen Sie den Benutzern im ZBV-Zentralsystem ABAP-Rollen zu (siehe Rolle zuordnen). |
Verwaltung der Benutzerdaten mit Enterprise Portal
Objekt |
Empfohlenes Werkzeug |
Benutzer |
· Wenn Sie die Benutzer in einem LDAP-Verzeichnis bereits mit einem LDAP-Verwaltungswerkzeug verwalten, können Sie dieses Werkzeug weiterhin verwenden. · Alternativ können Sie die Portalwerkzeuge verwenden. |
ABAP-Rollen |
Rollenverwaltung (Transaktion PFCG) der ZBV-Tochtersysteme |
UME-Rollen und J2EE-Sicherheitsrollen |
Verwalten Sie die UME-Rollen mit der UME-Administrationskonsole und die J2EE-Sicherheitsrollen mit dem Visual Administrator. Beide Werkzeuge gehören zum Web AS Java. |
Portalrollen und Benutzer-Rollen-Zuordnungen |
Verwenden Sie die Portalwerkzeuge. |
Sofern an die ABAP-Systeme noch J2EE Engines angeschlossen sind, werden diese mit den unter J2EE Engine mit ABAP-Datenquelle beschriebenen Werkzeugen verwaltet.
· Richten Sie ggf. die Zentrale Benutzerverwaltung ein.
· Richten Sie ein LDAP-Verzeichnis gemäß der Produktdokumentation ein.
· Setzen Sie die Synchronisation der Benutzerdaten zwischen Verzeichnis und ZBV-Zentralsystem auf.
· Richten Sie die J2EE Engines ein.