Show TOC

Benutzer, Gruppen und Rollen verwaltenLocate this document in the navigation structure

Verwendung

Mit dem Identity-Management können Sie Benutzer, Gruppen und Rollen mit der User Management Engine (UME) anlegen, ändern und löschen. Dadurch können Sie diese Principals definieren, so dass Sie diese dann entsprechend Ihrer Zugriffsverwaltungsstrategie gruppieren können.

Voraussetzungen

Um Benutzer, Gruppen oder Rollen zu verwalten, muss Ihnen eine Rolle zugeordnet sein, die die relevanten Aktionen oder eine Kombination dieser Aktionen enthält. Um z.B. Rollen zu Benutzern zuzuordnen, müssen Ihre Rollenzuordnungen UME-Aktionen beinhalten, die Ihnen gestatten, beide Principals, Rollen und Benutzer, zu ändern, wie Manage_Roles und Manage_Users. Die Abbildung unten fasst die standardmäßig in SAP NetWeaver Application Server (AS) verfügbaren UME-Aktionen zusammen.

Abbildung 1: UME-Aktionen entsprechend Principal und Rolle

Oben in der Abbildung steht eine Liste von Rollenmodellen. Wenn Sie z.B. ein Gesamtadministrator sind, steht unter Administrator Gesamt eine Liste von Aktionen, die dieser Rolle entsprechen. Die Zeilen stellen die verschiedenen Berechtigungsbereiche oder Principals dar, für die die Aktionen relevant sind. Die oberste Zeile der Blocks führt z.B. Aktionen auf, die für die Arbeit mit Benutzern relevant sind, von vollem Zugriff bis Nur-Lesezugriff auf Ihr eigenes Profil. Die letzten beiden Zeilen beziehen sich auf spezifische Funktionen, z.B. Zugriffsberechtigung für Import- und Exportfunktionen oder profilspezifische Aktionen. Einige Aktionen sind Untermengen anderer Aktionen. Manage_ My_ Profile beinhaltet z.B. Manage_ My_ Password.

Weitere Informationen über diese UME-Aktionen finden Sie unter UME-Standardaktionen .

UME-Standardrollen beinhalten solche Aktionen. Die UME-Rolle Administrator beinhaltet Manage_ All, wodurch Sie alles anzeigen und ändern können. Standardmäßig sind Administratorrollen nur Administratoren zugeordnet.

Funktionsumfang

Integration mit der ABAP-Benutzerverwaltung

Falls Ihr System so konfiguriert ist, dass es die ABAP-Benutzerverwaltung verwendet, werden PFCG-Rollen aus dem ABAP-System als Gruppen im Identity-Management angezeigt. Sie können diese Gruppen nicht mit AS-Java-Werkzeugen ändern oder löschen. Die einzig mögliche Aktion ist, ihnen UME-Rollen zuzuordnen. Sie können neue Gruppen anlegen, die dann in der Datenbank des AS Java abgelegt werden und nicht als PFCG-Rollen im ABAP-System angelegt werden.

Weitere Informationen finden Sie unter Benutzerverwaltung mit dem Application Server ABAP als Datenquelle .

Principal sperren

Identity-Management sperrt Principals, die Sie gerade bearbeiten. Andere Benutzer, die den Benutzer, die Gruppe oder die Rolle, die Sie bearbeiten, bearbeiten wollen, erhalten eine Warnung, dass das Principal bereits von einem anderen Benutzer bearbeitet wird. Die Sperre verhindert, dass mehrere Benutzer dasselbe Principal bearbeiten und sich versehentlich überschreiben.

Hinweis

Diese Sperre gilt nur für Identity-Management (entweder als eigenständige Anwendung oder in SAP NetWeaver Administrator oder SAP NetWeaver Portal integriert). Falls Sie eine andere Anwendung verwenden oder mit Backend-Werkzeugen auf das Principal zugreifen, z.B. mit Verwaltungswerkzeugen eines Verzeichnisdiensts, gilt die Sperre nicht.

Die Sperre ist an die Session gebunden.

  • Wenn Sie innerhalb derselben Session ein weiteres Browserfenster, z.B. im Internet Explorer mit der Tastenkombination Strg + N öffnen, gilt die Sperre nicht. Beide Fenster können dasselbe Principal gleichzeitig bearbeiten.

  • Falls Sie in einer neuen Session ein weiteres Browserfenster öffnen, z.B. durch Auswählen der Browseranwendung aus dem Windows-Start-Menü, können Sie nicht dasselbe Principal gleichzeitig bearbeiten, selbst wenn Sie sich an der Identity-Management-Anwendung als derselbe Benutzer angemeldet haben.

Suche

Identity-Management ermöglicht die Suche nach Principals.

  • Suchen nach Benutzern, Gruppen oder Rollen

    Verwenden Sie den Asterisk (*) als Platzhalter. Falls Sie keinen Text eingeben, gibt die Suchfunktion eine Liste aller Benutzer, Gruppen, Aktionen oder Rollen zurück, abhängig von dem Principal, das Sie auswählen.

    • Einfache Suche nach einer Zeichenkette in der Benutzerkennung oder im Namen

      Weitere Informationen finden Sie unter Einfache Suche konfigurieren .

    • Erweiterte Benutzersuche unter Verwendung von Benutzerattributen als Suchkriterien

  • Rekursives Suchen nach Principals, die anderen Principals zugeordnet sind

    Beispiel

    Wenn Sie eine normale Suche nach Benutzern durchführen, die einer Rolle zugeordnet sind, findet die Suche nur die der Rolle direkt zugeordneten Benutzer. Wenn Sie rekursiv suchen, findet die Suche sowohl die der Rolle direkt zugeordneten Benutzer als auch die Benutzer, die den der Rolle zugeordneten Gruppen zuordnet sind, d.h. die der Rolle indirekt zugeordneten Benutzer.

Hinweis

  • Wenn Sie nach Portalrollen suchen, können Sie nur nach dem URL-Pfad unterhalb des Protal Content Directory (PCD) suchen. Sie können nicht nach dem vollständigen Pfad suchen.

  • Sie können die Suche einschränken, indem Sie die Datenquelle, die Sie durchsuchen wollen, auswählen, falls es mehrere Datenquellen gibt.

    Ein Portal im Verbund erhöht die Komplexität. Nur bei Rollen können Sie entfernte Datenquellen durchsuchen, d.h. entfernte Portalsysteme in Ihrem Verbund. Falls Sie Alle Datenquellen durchsuchen, beinhaltet dies die entfernten Portale. Bei allen anderen Principals (Benutzern, Gruppen und Aktionen) beinhaltet die Suche nur die Datenquellen, die für Ihr lokales Portal relevant sind.

Weitere Informationen finden Sie unter Suchoptionen für die UME konfigurieren .

Aktivitäten

Verwenden Sie die Identity-Management-Anwendung, um Benutzer, Gruppen und Rollen auf dem AS Java anzulegen, zu bearbeiten und zu löschen.

Benutzer löschen

Empfehlung

Wir empfehlen Ihnen, Benutzer nicht zu löschen, sondern lieber zu sperren und das Ablaufdatum ihres Kontos zu setzen. Löschen Sie einen Benutzer erst nach einer Frist in Übereinstimmung mit den örtlichen Audit-Bestimmungen.

Falls Sie einen Benutzer löschen, werden Sie aufgefordert, einen Grund für das Löschen des Benutzers aufzuschreiben. Dieser Text wird in einer Benachrichtigungs-E-Mail an den Benutzer versendet, falls Sie die E-Mail-Benachrichtigung aktiviert haben.

Sie können keine Portalrolle löschen. Sie können nur ihre Zuordnung zur Gruppe, zum Benutzer und zur Benutzerzuordnung löschen. Um die Rolle selbst zu löschen, müssen Sie die Portal-Content-Werkzeuge verwenden.