LDAP-Verzeichnis mit ABAP-System(en)
Beschreibung
Zwischen dem LDAP-Verzeichnis und dem ABAP-ZBV-Zentralsystem ist eine Datensynchronisation eingerichtet. Die Synchronisationsrichtung hängt davon ab, ob der Verzeichnisdienst oder das ZBV-Zentralsystem das führende System ist. Das ABAP-ZBV-Zentralsystem verteilt die Daten in die ABAP-ZBV-Tochtersysteme. In unserem Beispiel ist eine J2EE Engine an ein ZBV-Tochtersystem (entweder als Standalone oder als Add-In) und ein Nicht-SAP-System an das LDAP-Verzeichnis angeschlossen.
Sofern Sie nur ein ABAP-System in Ihrer
Systemlandschaft haben, brauchen Sie zwar keine Zentrale Benutzerverwaltung zu
verwenden, da Sie auch jedes ABAP-System direkt an das LDAP-Verzeichnis
anschließen können. Allerdings müssen Sie pro ABAP-System eine Synchronisation
der Benutzerdaten durchführen. Außerdem werden in der Regel die
systemspezifischen ABAP-Berechtigungsrollenzuordnungen nicht über das
LDAP-Verzeichnis verwaltet. Daher empfehlen wir Ihnen, mehrere ABAP-Systeme
mit einer ZBV zu verwalten und nur das ZBV-Zentralsystem direkt an das
LDAP-Verzeichnis anzuschließen. Dann können Sie die synchronisierten Daten vom
Zentralsystem an die Tochtersysteme verteilen und über das Zentralsystem die
systemspezifischen ABAP-Berechtigungsrollenzuordnungen ergänzen. Siehe
Synchronisation
der SAP-Benutzerverwaltung mit einem LDAP-fähigen Verzeichnisdienst.
Bei der Synchronisation der Benutzerdaten wird das Benutzerkennwort nicht vom SAP Web AS an das LDAP-Verzeichnis übergeben. Daher müssen Sie das Benutzerkennwort mit einer der folgenden Möglichkeiten pflegen:
· Sie geben die Kennwörter zentral im LDAP-Server an. Die Benutzer müssen sich über die UME anmelden, werden am LDAP-Server authentifiziert, erhalten ein Anmeldeticket und können anschließend auf alle Systeme mit Single Sign-On zugreifen. In diesem Fall müssen alle Systeme so konfiguriert sein, dass sie Anmeldetickets akzeptieren.
· Sie geben die Kennwörter dezentral sowohl in der ZBV als auch im LDAP-Verzeichnis (oder in der UME) an. In diesem Fall brauchen die Systeme der ZBV keine Anmeldetickets zu akzeptieren.
Voraussetzungen
Die Konfiguration der ABAP-Datenquelle muss unterstützt sein (siehe J2EE Engine mit ABAP-Datenquelle).
Verwaltung der Benutzerdaten ohne Enterprise Portal
Objekt |
Empfohlenes Werkzeug |
Benutzer |
· Wenn Sie die Benutzer in einem LDAP-Verzeichnis bereits mit einem LDAP-Verwaltungswerkzeug verwalten, können Sie dieses Werkzeug weiterhin verwenden. · Verwenden Sie die Benutzerpflege (Transaktion SU01) des ZBV-Zentralsystems (siehe Benutzerpflege bei aktiver Zentraler Benutzerverwaltung). Beachten Sie, dass bei der Synchronisierung von Benutzerdaten aus dem ZBV-Zentralsystem in ein LDAP-Verzeichnis keine Kennwörter synchronisiert werden. |
ABAP-Rollen |
Rollenverwaltung (Transaktion PFCG) der ZBV-Tochtersysteme |
UME-Rollen und J2EE-Sicherheitsrollen |
Verwalten Sie die UME-Rollen mit der
UME-Administrationskonsole und die J2EE-Sicherheitsrollen mit dem
Sie können die java-gestützten Berechtigungen der J2EE-Sicherheitsrollen und der UME-Rollen mit den ABAP-Rollen integrieren (siehe Integration of UME Roles with SAP Roles). |
Rollenzuordnung |
Ordnen Sie den Benutzern im ZBV-Zentralsystem ABAP-Rollen zu (siehe Rolle zuordnen). |
Verwaltung der Benutzerdaten mit Enterprise Portal
Objekt |
Empfohlenes Werkzeug |
Benutzer |
· Wenn Sie die Benutzer in einem LDAP-Verzeichnis bereits mit einem LDAP-Verwaltungswerkzeug verwalten, können Sie dieses Werkzeug weiterhin verwenden. · Alternativ können Sie die Portalwerkzeuge verwenden. |
ABAP-Rollen |
Rollenverwaltung (Transaktion PFCG) der ZBV-Tochtersysteme |
UME-Rollen und J2EE-Sicherheitsrollen |
Verwalten Sie die UME-Rollen mit der
UME-Administrationskonsole und die J2EE-Sicherheitsrollen mit dem
|
Portalrollen und Benutzer-Rollen-Zuordnungen |
Verwenden Sie die Portalwerkzeuge. |
Sofern an die ABAP-Systeme noch J2EE Engines angeschlossen sind, werden diese mit den unter J2EE Engine mit ABAP-Datenquelle beschriebenen Werkzeugen verwaltet.
Installation
· Richten Sie ggf. die Zentrale Benutzerverwaltung ein.
· Richten Sie ein LDAP-Verzeichnis gemäß der Produktdokumentation ein.
·
Setzen Sie die
Synchronisation der Benutzerdaten zwischen Verzeichnis und ZBV-Zentralsystem
auf.
· Richten Sie die J2EE Engines ein.