Show TOC

Virtuelle Gruppen konfigurierenLocate this document in the navigation structure

Verwendung

Verwenden Sie virtuelle Gruppen, um Benutzer automatisch auf einem Wert oder den Werten eines einzelnen Attributs basierend den Gruppen der User Management Engine (UME) zuzuordnen. In den UME-Eigenschaften legen Sie das zu verwendende Attribut fest und welche Werte Sie zum Anlegen von Gruppen verwenden möchten. Zudem können Sie virtuelle Gruppen so konfigurieren, dass sie mehrere Werte unterstützen, wenn Sie Benutzern eine Mitgliedschaft in mehreren virtuellen Gruppen ermöglichen möchten.

Diese Gruppen sind nur in der Datenbank des SAP NetWeaver Application Server (AS) Java vorhanden. Der eindeutige Name und die eindeutige ID der virtuellen Gruppe setzt sich aus dem Präfix und dem Namen zusammen, die Sie in den UME-Eigenschaften konfigurieren.

Achtung

Wenn Sie den eindeutigen Namen einer virtuellen Gruppe durch das Bearbeiten des Präfix oder Namenseintrags ändern, wird eine neue virtuelle Gruppe angelegt. Alle bestehenden Rollenzuordnungen zum alten virtuellen Gruppennamen gehen verloren.

Voraussetzungen
  • Alle Zuordnungen zwischen dem Attribut in der Java-Datenbank und einem LDAP-Verzeichnisserver sind bereits in der Konfigurationsdatei der Datenquelle konfiguriert. Weitere Informationen finden Sie unter UME-Datenquellen-Konfiguration anpassen.
  • Bei dieser Vorgehensweise müssen Sie den AS Java stoppen, d.h. Sie müssen die erforderliche Ausfallzeit einplanen.
Vorgehensweise
  1. Legen Sie das Attribut fest, das als Basis für die virtuellen Gruppen verwendet werden soll.
    Tipp

    Sie können die Benutzer nach Sprache gruppieren.

  2. Legen Sie die Werte fest, die für das Anlegen der virtuellen Gruppen verwendet werden sollen.

    Sie brauchen keine Gruppe für jeden möglichen Wert anlegen, den das Attribut annehmen kann.

  3. Konfigurieren Sie die UME-Eigenschaften für virtuelle Gruppen.
    • Konfigurieren Sie ume.virtual_groups.user_attribute, um das Attribut auszuwählen.
    • Geben Sie in ume.virtual_groups.user_attribute.namespace den Namensraum des Attributs ein. Der Namensraum des Standardbenutzerattributs ist com.sap.security.core.
    • Geben Sie in ume.virtual_groups.names die für virtuelle Gruppen zu verwendenden Werte ein.

      Trennen Sie die Einträge mit Semikolon (;). Wenn Sie ein Semikolon in den Gruppennamen verwenden möchten, wählen Sie mit der Eigenschaft ume.virtual_groups.group_names_separator ein neues Trennzeichen.

      Um eine lesbarere Namensliste einzugeben, ohne sich Sorgen um Leerzeichen am Anfang und am Ende machen zu müssen, setzen Sie die Eigenschaft ume.virtual_groups.trim_group_names auf TRUE. Wenn die Namen vor- oder nachgestellte Leerzeichen enthalten sollen, setzen Sie diese Eigenschaft auf FALSE.

      Hinweis

      Die Namen für Attribute und Werte für virtuelle Gruppen sollten genau übereinstimmen.

    • Geben Sie in ume.virtual_groups.name_prefix den für virtuelle Gruppen zu verwendenden Präfix ein.

      Durch die Verwendung eines Präfix wird sichergestellt, dass virtuelle Gruppen in einem Suchergebnis zusammen anzeigt werden. Durch den Präfix wird zudem sichergestellt, dass es keinen Konflikt zwischen den Gruppennamen und bereits vorhandenen Gruppennamen gibt.

      Achtung

      Sind Rollenzuordnungen zu virtuellen Gruppen vorhanden, werden diese durch Ändern dieser Eigenschaft aufgelöst. Die Rollen sind Gruppen mit dem alten Namen zugeordnet, die nicht mehr vorhanden sind.

    • Unterstützt das von Ihnen konfigurierte Attribut mehrere Werte, können Sie es Benutzern durch Setzen der Eigenschaft ume.virtual_groups.user_attribute.multivalue auf TRUE ermöglichen, Mitglieder mehrerer virtueller Gruppen zu sein.
    • Standardmäßig unterstützen Benutzerattribute nicht mehrere Werte. Haben Sie jedoch ein Attribut einem LDAP-Attribut mit mehreren Werten zugeordnet, können Sie für einen Benutzer das Attribut "Abteilung" lesen, dass die Werte "Marketing" und "Vertrieb" hat. Dieser Benutzer würde dann beiden virtuellen Gruppen, Marketing und Vertrieb, angehören.

    Weitere Informationen über das Bearbeiten von UME-Eigenschaften finden Sie unter UME-Eigenschaften bearbeiten.

  4. Starten Sie den AS Java neu.
Ergebnis

Die UME ermittelt die Gruppenmitgliedschaften zur Laufzeit und ordnet Benutzer Gruppen bei jeder Anforderung von Informationen zur Gruppenmitgliedschaft zu.

Beispiel

Lopa de Leeuw möchte eine virtuelle Gruppe für jeden Campus ihres Unternehmens anlegen: Sheffield in Großbritannien sowie Josefiau und Lehen in Salzburg, Österreich. Sie hat bereits das Standortattribut im Namensraum ihres Unternehmens dem Standortattribut im Verzeichnisserver ihres Unternehmens zugeordnet.

  1. Lopa legt in den UME-Eigenschaften das Attribut und der Namensraum fest, die für die virtuellen Gruppen verwendet werden sollen:

    ume.virtual_groups.user_attribute=location

    ume.virtual_groups.user_attribute.namespace=com.parhoon.exports

  2. Lopa legt den für die virtuellen Gruppen zu verwendenden Namen und den Präfix fest:

    ume.virtual_groups.names=Sheffield;Josefiau;Lehen

    ume.virtual_groups.name_prefix=Campus_

  3. Lopa starten den AS Java erneut.

Die UME berechnet nach Bedarf die Mitgliedschaften der virtuellen Gruppen Campus_Sheffield, Campus_Josefiau und Campus_Lehen für Benutzer auf Basis der Inhalte des Attributs "Standort".