Es gibt mehrere Anwendungsfälle, die, je nach Startpunkt des Prozesses, folgendermaßen zusammengefasst werden können:
○ im ZBV-Zentralsystem manuell mit Transaktion SU01 oder automatisch über HR-Org.
○ im Anwendungssystem mit BAPIs, die von der ZBV oder einem externen IM-System aufgerufen werden
Vor- und Nachteile
Vorteil |
Nachteil |
Automatische Rollenzuordnung von ZBV-Seite über Transaktion SU01 |
Keine vollständige Vorkonfiguration in der SAP-Auslieferung möglich: Die Zuordnungen von Portalrollen zu UME-Gruppen muss der Kunde verwalten |
Keine Modifikation der ZBV und der Sammelrollen notwendig |
Konsistente Pflege der ZBV-Sammelrolle und Portalrolle notwendig (manuell, ohne Werkzeug) |
Funktioniert für Portale mit Persistenzoption ABAP genauso wie für die Berechtigungsvergabe eines integrierten oder individuell installierten Exchange-Infrastructure-Systems (XI-Systems) oder für eine beliebige andere Add-In-J2EE Engine |
Kein Werkzeug für die gemeinsame Zuordnung von funktionalen Rollen (Portal und ABAP) und organisatorischen Rollen (abgeleitete ABAP-Rollen) |
Funktioniert für Systemlandschaften, bei denen externe IM-Systeme (Sun, Siemens, CA, IBM,…) Benutzerverwaltung per BAPI-Aufruf durchführen |
Keine direkte Benutzer-Rollenzuordnung im Portal möglich |
|
Ein Verzeichnis kann nur über den ABAP-LDAP-Synchronisation für Benutzer angebunden werden (Hintergrundverarbeitung, nur einige Male am Tag). Damit gibt es kein gemeinsames Kennwort für die SAP-Systemlandschaft und das Verzeichnis |
○ mit der Benutzungsoberfläche des Enterprise Portal oder der UME
○ mit Serviceaufrufen eines externen IM-Systems
Vor- und Nachteile
Vorteile |
Nachteile |
(Halb-)automatische Rollenerstellung von ABAP-Rollen aus Portalrollen, einschließlich Updates |
Manuelle Schritte notwendig |
Rollenzuordnung im Portal (einschließlich Gruppen) |
Erfordert Wechsel zur Rollendefinition im Portal, wenn Sie eine bestehende Rollendefinition in der ZBV haben. |
Sie haben bereits eine Zentrale Benutzerverwaltung (ZBV) mit ABAP-Rollen und wollen an diese ZBV ein Enterprise Portal anschließen. Die ABAP-Rollen dienen der systemspezifischen Berechtigungsvergabe sowie ggf. der Gestaltung des jeweils lokalen Easy-Access-Menüs.
Möglicherweise sind auch schon ZBV-Sammelrollen zur Zusammenfassung von systemspezifischen ABAP-Rollen für funktionale Berechtigungen vorhanden. In der Regel gibt es weitere abgeleitete ABAP-Rollen mit Datenberechtigungen und Zuständigkeiten.
...
1. Wenn nicht alle ABAP-Benutzer der ZBV zu Portalbenutzern werden sollen, empfehlen wir Ihnen folgenden optionalen Schritt: Legen Sie für das Enterprise Portal einen neuen Mandanten als ZBV-Tochtersystem an.
2. Schließen Sie das Portal für Benutzer und Gruppen an das ZBV-Zentralsystem oder den neuen Mandanten an.
3. Legen Sie zu jeder Portal-Rolle eine passende ABAP-Einzelrolle an. Diese ABAP-Rollen müssen nur vorhanden sein. Sie haben kein Menü und enthalten keine Berechtigungen.
Im Portal wird die ABAP-Einzelrolle als (nicht änderbare) UME-Benutzergruppe angezeigt.
4. Ordnen Sie diese Gruppe der entsprechenden Portalrolle zu (in der Regel sind das 1:1-Beziehungen).
5. Optional: Nehmen Sie in der ZBV die ABAP-Rollen für funktionale Berechtigungen und die zu Portalrollen gehörenden Einzelrollen in ZBV-Sammelrollen auf.
6. Treffen Sie geeignete organisatorische Maßnahmen, damit abgeleitete ABAP-Rollen für Datenberechtigungen und Zuständigkeiten (passend zu den funktionalen ZBV-Sammelrollen) zugeordnet werden können.
7. Wenn Sie die Portalrolle (Benutzungsoberfläche) oder die ABAP-Rollen (Berechtigungen) oder die ZBV-Sammelrolle (Zusammenfassung der funktionalen Berechtigungen) ändern, müssen Sie die jeweils anderen Rollen anpassen. Wenn Sie die ABAP-Rollen mit dem WP3R-Prozess erstellt haben, können Sie damit jetzt auch die Anpassungen vornehmen.
8. Wenn Sie nun Benutzern diese ZBV-Sammelrolle zuordnen, erhalten sie über die zur Portalrolle gehörenden ABAP-Einzelrollen automatisch die passende Portalrolle zugewiesen.
Wenn die Beschreibung unter Rollen über ABAP zuordnen auf Ihre Systemlandschaft nicht zutrifft, verwenden Sie die Rollenzuordnung über Enterprise Portal oder UME, insbesondere wenn eines der folgenden Kriterien zutrifft:
● Sie haben noch keine Zentrale Benutzerverwaltung.
● Sie wollen einen LDAP-Server verwenden.
● Sie wollen das Enterprise Portal auch für Nicht-SAP-Systeme verwenden.
● Sie sehen das Enterprise Portal in der Zukunft als führendes Werkzeug zur Rollenverwaltung.
Sie haben Portalrollen angelegt (siehe Portalrollen erstellen) und in die ABAP-Systeme verteilt.
...
1. Ordnen Sie im Enterprise Portal den Benutzer einer Gruppe (die mindestens einer Rolle zugeordnet ist) oder direkt einer Rolle zu (siehe Rollen zu Benutzern und Gruppen zuordnen).
2. Verteilen Sie die Benutzer-Portalrollen-Zuordnung ( Benutzerzuordnungen übertragen).
Die Administratoren des ZBV-Zentralsystems wählen entsprechende Einzelrollen oder abgeleitete Rollen aus und weisen sie den Benutzern zu. Wenn es pro System eine 1:1-Beziehung zwischen Portal- und ABAP-Rollen gibt (also keine abgeleiteten Rollen vorhanden sind), kann dieser Prozess automatisch ablaufen (Kennzeichen für die automatische Zuordnung im Einstiegsbild der WP3R setzen).
Bei den generierten Benutzer-Rollen-Zuordnungen gibt es folgende Einschränkungen:
○ Die Benutzergruppen werden vor der Übertragung aufgelöst, d. h. die Generierung läuft auf der Ebene einzelner Benutzer und nicht Benutzergruppen ab.
○ Nur bei Namensgleichheit der Benutzer im Portal mit denen in den Backend-Systemen werden Benutzer-Rollen-Zuordnungen generiert.
Dabei wird die Benutzerabbildung (siehe Benutzerzuordnung) berücksichtigt. Allerdings können die Benutzer-Rollen-Zuordnungen nur generiert werden, wenn ein Portalbenutzer nicht auf mehrere ABAP-Benutzer in den verschiedenen Backend-Systemen abgebildet wird. Andernfalls kann nicht ermittelt werden, welcher Benutzer zu welchem ABAP-Backend-System gehört.
3. Rufen Sie im ZBV-Zentralsystem (oder - wenn Sie keine ZBV verwenden - in den einzelnen ABAP-Systemen) Transaktion WP3R auf, um die Rollenzuordnung zu vervollständigen.
Wenn Sie die Rollenzuordnungen ändern, müssen Sie diese erneut verteilen, in der Regel ein oder mehrmals täglich.