SAP IDM – 快速指南

---

SAP IDM – 简介

在大型企业中，主要挑战是安全地组织和维护身份数据和特权。企业数据存储在不同的应用程序中并从多个来源收集，因此管理数据机密性存在重大风险。为了分发数据安全，需要管理和维护最新的身份数据和权限。市场上有各种身份和访问管理模块，可以帮助数据所有者准确和最新地管理身份信息。

主要的 ERP 软件供应商提供内置功能来管理其他模块的身份。这些身份管理工具嵌入在 ERP/CRM 软件中，无需明确安装或配置。

SAP 身份管理是 SAP 提供的类似工具，可帮助公司在 SAP 和非 SAP 系统的复杂环境中管理其用户帐户。通过使用 SAP 身份管理工具，公司可以管理和提供对不同异构应用程序的访问，而无需太多手动工作，而且非常安全。

需要身份和访问管理解决方案的原因有多种 –

• 由于业务流程在本地和云上运行，因此需要无缝管理用户访问权限。

• 需要根据用户角色分配应用程序和信息访问权限，而不考虑目录中的技术层次结构。

• 提供自助式用户和密码管理系统，避免关键应用程序手动重置密码。

• 根据当前和以前的访问拉取报告。

• 降低在复杂环境中执行用户配置的运营成本。

• 易于管理多个身份来源。

• 审计跟踪和日志系统的可用性，以跟踪身份更改。

• 满足公司对用户访问管理解决方案的特定要求。

• 防止在多企业环境中未经授权访问公司资源 – 企业应用程序、数据库、Webapps、Active Directory 等。

主要优势

以下是使用 SAP Identity Management 的主要好处 –

• 确保在正确的时间将用户权限分配给所需的系统并防止未经授权的访问。

• 在多个复杂的企业环境中管理用户角色和权限的一致性。

• 安全执行业务审批工作流程和流程。

• 易于管理用于跟踪的审计跟踪和日志系统。

SAP IDM – 架构

SAP 身份管理系统用于维护跨不同 ECC 应用程序的身份数据。您可以根据可用授权将数据从不同的 SAP 应用程序导入到 IDM。从后端应用程序，导入授权后，权限被添加到系统，然后同步到后端应用程序。

用户界面用于在身份存储中执行不同的自我管理身份任务，并将更改复制回后端应用程序。

大多数 SAP 身份管理组件在 NetWeaver 应用程序和 Java 服务器上运行。SAP IdM 的几个重要组成部分包括 –

• SAP 身份存储

• 用户和管理员的用户界面

• 身份管理数据库

• IdM 开发者工作室

• 开发者工作室服务

• 运行时组件

身份存储提供来自多个来源的身份数据的一致视图，并有助于管理业务流程、日志记录和审计、密码管理以及访问管理的报告功能。身份中心从不同的应用程序存储库收集数据，转换为所需的格式并将其复制回源存储库。

很少有 IDM 组件在 SAP NetWeaver AS for Java 上运行，这包括面向用户和管理员的身份管理用户界面，但很少有其他组件是单独安装的和独立的组件。下面提到的 SAP IDM 架构的关键组件 –

管理员可以使用 Software Provisioning Manager 1.0 安装工具安装 SAP Identity Management。Provisioning Manager 1.0v 安装除 IDM Developer Studio 客户端、登录帮助和 SAP IDM 密码管理实用程序之外的所有 SAP 身份管理组件。提到要使用外部客户端工具手动安装的组件。

SAP IDM 调度程序实用程序

这用于在 IDM 系统中创建新的调度程序。使用用户界面组件 – 您还可以停止或启动调度程序。这可以通过用户界面组件或使用命令行选项来完成。

IDM 运行时引擎

IDM 的这个组件用于同步和供应任务，需要 SAP Java 虚拟机才能执行。

SAP IDM – 安装

您可以在分布式环境中安装 SAP IdM 系统，其中每个进程都在单独的系统上运行。您可以使用任何操作系统执行安装并选择任何数据库，如 MS SQL、Oracle、DB2 等。

您可以使用 Software Provisioning Manager (SWPM) 工具来执行 IdM 的安装。按照以下步骤，您可以安装 SAP IdM –

安装 IdM 核心组件

要安装 IdM 核心组件，请使用 OD 管理员帐户和 stat 软件供应管理器工具 (sapinst.exe) 登录，然后选择 SAP Identity Management 8.0 $\rightarrow$ Installation $\rightarrow$ Distributed System $\rightarrow$ SAP Identity Management Core Component as如下图

在典型模式下运行安装。启动核心组件安装后，您需要传递 SAP SID 和目标驱动器。

按照安装步骤并传递 SAP 存档、SAP 主机代理等的路径。接下来将提示您选择数据库系统 –

提供运行数据库的主机名、端口号和 IdM 数据库的凭据 –

在下一个窗口中，您必须提供用于 IdM 包的数据库模式前缀和基本限定名称 –

在后续步骤中传递其他参数并按照说明步骤操作，然后单击下一步按钮运行安装。当 IdM 核心组件安装完成后，将出现以下消息 –

安装 SAP IdM 运行时和其他开发人员组件

登录到要安装 IdM 运行时和其他可部署组件的其他主机，打开 Software Provisioning Manager 并选择 SAP Identity Management 8.0 $\rightarrow$ Installation $\rightarrow$ Distributed System $\rightarrow$ SAP Identity Management Dispatcher Instance。

以典型模式启动安装过程，并提供 SAP IdM 系统的配置文件 ddir 补丁，如下所示 –

按照安装步骤执行步骤并将分配给 SAP IdM 调度程序的实例编号传递给 SAP IdM 调度程序，或者您也可以使用默认值。

在下一步中，提供驱动程序路径和 JDBC 驱动程序类名称。查看参数并继续完成安装步骤。

安装 SAP IdM 可部署组件

打开软件供应管理器。选择 SAP 身份管理 8.0 $\rightarrow$ 安装 $\rightarrow$ 分布式系统 $\rightarrow$ SAP NetWeaver AS Java 上的 SAP 身份管理组件。

这将安装以下组件 –

必备组件

• SAP IdM 开发人员工作室服务

• SAP IdM 用户界面

附加组件

• SAP IdM REST 接口

• SAP IdM 门户内容

• 身份联合

按照先前安装中的步骤并提供要使用这些组件的 NetWeaver Java 系统的 SAP SID –

在下一步中，您需要选择要部署的其他 IdM 可部署组件 –

选择其他组件后，单击下一步按钮，SAP IdM 可部署组件的安装将完成。

虚拟安装 Active Directory 服务器

打开 Software Provisioning Manager 并选择 SAP Identity Management 8.0 $\rightarrow$ Installation $\rightarrow$ Additional Components $\rightarrow$ SAP Identity Management Virtual Directory Server。这将在选定的主机上安装虚拟目录服务器实例 8.0。

按照安装步骤提供实例编号以分配给虚拟目录服务器，或者您可以使用默认提供的。

下一步是检查参数并完成安装过程。

SAP IDM – 开发人员工作室

SAP IDM Developer Studio 是一个基于 Eclipse 的插件，用于配置身份管理解决方案。这是一个基于客户端的工具，必须安装在每个开发人员或管理员系统上。要启用身份管理开发人员工作室，从 Eclipse 用户界面，导航到帮助 -> 安装新软件。

接下来是提供插件可用的存储库站点。点击“添加…”，如下图所示 –

这将打开添加存储库对话框，传递名称如-“SAP Identity Management Developer Studio：并在位置字段下，传递 Identity Management Developer Studio 插件的 URL。提供此 URL https://tools.hana.ondemand.com/oxygen for Eclipse Oxygen (4.7) -> OK。

当您展开 SAP Identity Management Tools 时，选择 SAP Identity Management Developer Studio 复选框并单击下一步。

配置 SAP IdM Developer Studio

在 SAP IDM Developer studio 中，您可以添加与 IDM 数据库的连接。您需要传递以下详细信息 –

• 应用服务器名称

• 港口

• 数据源

在首选项 -> 连接 -> “点击&加号”。

提供所需信息，然后单击“确定”以添加数据库。添加数据库后，您可以展开并查看树视图。

SAP IDM – 设置框架

在 SAP Identity Management 中，您可以使用一组模板连接到 SAP 系统并设置作业、不同任务的流程。SAP IDM 中的包是最小的代码单元，可以是其他包使用的连接器类型或实用程序集。管理员可以授予用户单独运输每个包裹的权限，然后进行配置以自定义它们。IDM 提供配置包作为默认组件以提供起点定制。

每个包都使用全局唯一名称标识，这意味着您不能在任何身份存储中使用相同的包名称。

您通常可以找到以下包类型 –

发动机包

该包提供了核心流程，负责触发其他包中使用的必要流程和其他常用脚本。

连接器包

该包提供了连接器，用于配置特定系统，如 SAP ABAP 等。

表格包

此包存储不同事务类型的所有用户界面任务的定义

此包存储不同事务类型的所有用户界面任务的定义

此包包含用于发送供应、审批任务和业务工作流通知的通知任务和模板。

定制包

此包用于自定义配置框架，而无需更改其他存储的包。该包包含来自其他客户的自定义脚本和少数可用于自定义其他包的默认自定义脚本。

用户授权访问包

要访问包的内容，用户必须对该包具有所需的授权。包存在以下授权 –

• 看法

• 开发商

• 布局开发人员

• 进口

• 所有者

SAP IDM – 存储库类型

要将 SAP 和非 SAP 系统连接到 SAP Identity Management，必须根据不同类型创建存储库。存储库类型告诉所有可用存储库类型的通用常量，并协助存储库配置过程。

以下是使用存储库类型的优点 –

• 对于所有存储库类型，您可以更改存储库常量，这将适用于现有和新存储库。

• 您还可以为任何类型的所有存储库添加新常量，这包括现有和新存储库。

在以下情况下，您通常需要更改给定存储库的存储库类型 –

• 将 SAP Identity Management 从 v7.2 升级到 8.0 并在 SAP IDM 8.0 中使用供应框架。这将允许您配置 v7.2 存储库以更改新框架中交付的存储库类型。

• 有具有自定义功能的自定义存储库类型，您希望将任何现有存储库类型更改为自定义。

要更改存储库类型，您必须登录到 SAP Identity Management Administration UI-“http://<host>:<port>/idm/admin”。

接下来是选择 System Configuration 选项卡 -> 从左侧菜单中单击 Repositories。

您可以选择禁用的存储库，然后单击“更改存储库类型”。

接下来是选择 Repository type -> Provide description (optional field) -> OK。接下来是验证存储库常量并在需要时修复值，如下所示。

您还可以通过导航到“配置历史存储库操作”来查看存储库更改历史记录。

您还可以查看由于 Repository 类型更改而导致的 Repository 常量更改，导航到 Configuration History $\rightarrow$ Repository Constants

SAP IDM – 使用身份存储

在 SAP IDM 中，存储在身份存储中的信息用于配置框架，这提供了一个集中存储库来管理身份相关信息，如部门、员工名称、组、BU 等。身份存储还提供广泛的审计跟踪和跟踪功能来监控属性这是可以改变的。

通常，身份存储连接到 SAP NetWeaver AS for Java 中的身份管理用户界面，并且每个 Java 安装只能连接到一个身份存储。创建身份存储时，系统中添加了许多系统属性。有一个标识符 MSKEYVALUE，它在所有条目类型的身份存储中存储唯一标识符。

在身份管理中，您可以使用条目类型来定义条目属性，例如允许的和必需的属性。

注意– MSKEY 号码在所有身份存储的身份中心中是唯一的。

管理身份存储中的条目类型

通常不建议删除身份存储中的条目类型，因为它们是审计跟踪和跟踪目的所必需的。您可以将其标记为非活动或使用状态字段来标记该条目类型的状态。

Ex – 员工可以稍后加入公司，如果可以为该员工使用相同的条目类型，则可以简化流程。

SAP IDM – 身份中心属性

身份中心是 SAP IDM 的主要组件，它为身份管理系统提供关键功能。身份中心使用身份存储来管理所有关键功能。SAP 身份中心通常与管理控制台和其他运行时组件一起安装。要通过 Active Directory 服务器使用登录服务进行自助密码管理，SAP IDM 应配置身份中心。

以下是使用身份中心执行的关键功能 –

• 重设密码

• 业务和工作流程

• 日志记录

• 审计追踪

• 报告

• 供应

SAP Identity Center 包含以下组件 –

管理控制台

管理控制台是 MMC 中的一个插件，用于设置供应流中不同任务和作业的启动配置。

数据库管理

SAP 身份中心使用数据库来维护有关供应任务和业务工作流、日志信息和审计跟踪以及身份存储等的所有信息。

您可以在身份中心使用以下数据库 –

• 甲骨文版本 10/11

• 数据库2

• MS SQL Server 2005/2008

复制身份中心配置

要将 SAP 身份中心配置和数据从一个数据库复制到另一个数据库，您可以使用系统复制。对于此任务，您可以在 SAP 社区网络中找到工作。从 SCN 下载 Zip 文件并解压缩文件和以下要执行的步骤 –

• 创建调度器

• 导入作业文件夹

• 配置导入的存储库

要传递调度程序脚本，您必须导航到选项选项卡 -> 创建调度程序脚本

创建脚本后，您需要传递运行作业和运行时引擎的详细信息。要对此进行定义，请导航到“策略”选项卡 -> 选择“运行作业”复选框。

您可以在选项选项卡下检查调度程序状态 -> 要更新状态，请单击刷新按钮。状态显示在服务状态字段下。

您也可以选择调度员服务来自动启动。为此，请选中复选框自动启动字段以启用它。

您还可以管理 Dispatcher 作业以手动停止/启动。为此，您可以使用服务状态下方的启动和停止选项 –

SAP IDM – 维护包

正如本教程前面提到的，包是最小的配置单元，它可以是存储库中其他包使用的连接器或实用程序的集合。很少有默认包作为身份管理核心组件的一部分交付并导入数据库以提供解决方案的起点。

包具有一组功能，用于在身份管理存储库中维护它们。以下是主要功能 –

• 包装合格名称

• 用户编辑

• 授权

• 版本控制

• 对象

• 运输包裹

包限定名称

SAP Identity 系统中的每个包都有限定名称，其中包含安装过程中提供的基本名称和包创建过程中传递的包名称。安装过程中传递的基本名称通常包含字母数字、数字、下划线和点。前 – XYZ.com。在包创建过程中传递的包名称是全局唯一的，即在 SAP IDM 的不同身份存储中不能有相同的包名称。

用户编辑

要对包进行更改，您必须签出，一旦更改完成，您应该签入以使更新的配置可用于其他包。签出包后，其他用户无法对该包进行配置修改。

授权

要访问包内容，用户应具有该包的权限。用户可以对身份存储中的包具有不同级别的授权。以下是包装上存在的常见授权 –

• 所有者

• 看法

• 开发商

• 进口

• 布局开发人员

版本控制

使用包的版本控制，您可以恢复包的先前版本。包通常有两个版本号，主要版本和次要版本。

主要版本– 每当您对包进行更改并将其公开时，主要版本就会增加。

次要版本– 每次签入包时，次要版本都会增加。

对象

您可以将包中使用的对象定义为公共或私有。公共对象可以被其他包调用。

运输包裹

身份存储中的每个包裹都是单独运输的。

注– 要在 SAP IDM Developer Studio 中执行供应框架，您必须导入引擎包、自定义包和连接器包。

SAP IDM – 使用流程

在 SAP Identity management 中，您可以创建新流程并使用 developer studio 在工作流中拖动流程。您可以通过导航到包属性来禁用/启用包。

导航到流程属性的常规选项卡以启用/禁用流程。在常规选项卡下，您有以下选项 –

• 场地

• 描述

• 启用

• 进程 ID/名称

进程 ID 显示用于标识 IdM 数据库中进程的编号。

使用过程属性

身份存储中的进程定义了以特定顺序执行的一组操作。您会看到以下 Process 属性选项 –

一般的

使用常规选项卡，您可以启用/禁用流程或定义流程类型。您还可以为流程定义存储库。

结果处理

此选项卡可用于执行进程的结果处理。

文档

在此字段中，您可以提供流程的文档。

SAP IDM – 身份存储表单

身份存储表单用于维护身份存储中的条目，例如权限、用户、角色等。一组表单默认作为供应框架中的包交付。身份表格通常包含以下字段 –

• 属性定义

• 访问控制

• 界面配置详情

通常表单被定义为包内的公共对象，但是您可以将它们从公共对象中删除并读取它们。除了下面给出的默认表单外，还有其他指导活动 –

查看作业申请表

这些表单可用于检查分配请求的状态，并可用于授权用户重新启动任何失败的活动。

分配申请表

这用于为用户提供一个或多个分配，通常用于提供基于上下文的角色。

重设密码

这用于为用户提供重置密码的指导活动。

要创建表单，请使用 Identity Management developer studio $\rightarrow$ New 导航到包中的 Forms 文件夹。

接下来是按照以下表单选项采取行动 –

如果要创建表单文件夹，请选择文件夹选项。

或创建表格 $\rightarrow$ 选择表格。

或创建引导式任务表单 $\rightarrow$ 选择分配请求/查看分配请求/密码重置表单。

您还可以配置表单属性，以下选项卡可用，进行更改后，导航到文件 – > 保存。

• 一般的

• 结果处理

• 属性

• 访问控制

• 推介会

• 文档

一般的

此选项卡用于执行表单的常规属性。以下是常规选项卡下的选项 –

Field	描述
Enabled	启用/禁用表单

表格 ID/名称

这显示了一个数字，用于标识身份管理数据库中的表单。

表格类型

这用于定义表单类型。以下值可用 –

• 常规的

• 访问控制表

• 显示形式

• 搜索表格

存储库

此选项可用于将存储库链接到表单。运行表单时，将使用选定的存储库。

结果处理

这用于配置表单的结果处理部分。

属性

这用于定义表单属性。

参数

参数用于配置引导活动-分配请求/查看分配请求/密码重置。

访问控制

使用此选项卡，您可以定义表单的访问部分。

推介会

这用于配置表单呈现。

文档

您可以在此选项卡中提供表单描述。

SAP IDM – 维护作业

在 SAP IDM 中，作业存储在包下的作业文件夹中，并在身份存储中执行。可以执行以下操作 –

• 创建新工作

• 启用/禁用现有作业

• 执行作业

要创建新作业，请选择包的作业文件夹并选择新建 $\rightarrow$ 作业。您可以传递作业名称、连接到调度程序并定义作业属性。

您还可以定义作业属性。定义作业属性 -> 在树视图中选择作业，然后从上下文菜单中单击属性选项。

以下选项可用 –

• 一般的

• 日志记录

• 状态

• 文档

要将更改保存到作业，请转到文件 $\rightarrow$ 保存。

以下选项可用于在“常规”选项卡下定义作业属性 –

已启用– 此复选框可用于启用/禁用作业。

作业 ID/名称– 这显示了唯一的 ID 和作业名称。

Schedule Rule – 计划规则用于定义作业执行频率。

计划时间– 计划时间显示作业计划运行的时间。

您还可以选择“运行以安排作业”以立即运行。预定时间设置为当前时间。

要停止正在运行的作业，您可以单击“停止”按钮。

由调度员运行– 您可以选择允许运行此作业的调度员。

SAP IDM – 自助服务密码重置

在 SAP IdM 8.0 或更高版本中，您可以为最终用户配置登录帮助服务或自助服务密码重置。通过登录帮助服务，最终用户可以更改他们的密码。要配置自助服务密码重置，应满足以下预检查 –

• 您应该至少有一个调度员在横向运行。

• 除了管理员之外，应该存在一个用户帐户。

• 应该配置一个身份管理用户界面。

• 应该有 UME 角色和操作“idm_anonymous”在 UME 中分配匿名用户组。

下一步是为最终用户创建密码重置表单并添加到身份存储配置中。

按照步骤创建密码重置表单 –

转到 SAP IdM 开发人员工作室 $\rightarrow$ 导航到要创建自助密码重置表单的包 -> 表单。

转到上下文菜单 $\rightarrow$ 新建 $\rightarrow$ 密码重置。您可以将表单重命名为 PasswordReset 表单。

接下来是分配匿名用户组以允许访问。为此，请转到新创建的表单 $\rightarrow$ 的“访问控制”选项卡，在允许访问下拉菜单中选择匿名 $\rightarrow$ 确定。

要保存更改，请转到文件 $\rightarrow$ 保存。

定义密码重置参数

要使用自助密码重置，您需要定义密码重置参数，例如应提示的问题数量、验证正确答案的最小数量等。

要定义参数，请转到密码重置表单 $\rightarrow$ 属性的上下文菜单。导航到“参数”选项卡并根据需要配置参数。

SAP IDM – 设置电子邮件通知

您可以使用 SAP 供应框架中提供的通知包在 SAP Identity Management 8.0 中设置电子邮件通知。Developer Studio 中有可用的包“com.sap.idm.util.notification”，其中包含通知包和启用通知的模板。

要配置电子邮件通知，您需要将“NOTIFYEVENT”包常量的值传递给通知模板。您有以下可用的通知事件类型 –

NOTIFYEVENT_ASSIGNMENT_COMPLETED – 发送与分配权限相关的通知

NOTIFYEVENT_ASSIGNMENT_FAILED – 发送与分配失败相关的通知

NOTIFYEVENT_ASSIGNMENT_REVOKED – 发送与访问删除相关的通知

NOTIFYEVENT_PASSWORD_CHANGED – 发送与密码更改相关的通知

NOTIFYEVENT_USER_MODIFIED – 发送与修改用户帐户相关的通知

NOTIFYEVENT_USERACCOUNT_CREATED – 发送与用户帐户相关的通知

NOTIFYEVENT_USERACCOUNT_DELETED – 发送有关用户删除的通知

NOTIFYEVENT_USERACCOUNT_DISABLED – 发送与用户帐户禁用相关的通知

NOTIFYEVENT_USERACCOUNT_ENABLED – 启用用户通知

要使用此通知事件，您需要在 IdM Developer Studio 中签出一个包并创建一个流程。

配置好通知事件类型后，需要在通知包常量中添加邮件模板名称。

SAP IDM – 连接 SAP ABAP 系统

您可以配置您的 SAP 身份管理系统以连接到 SAP ABAP 系统并供应 ABAP 用户。在 SAP IdM 8.0 或更高版本的 Provisioning 框架中，您将连接器作为名为“com.sap.idm.connector.abap”的单独包交付。此连接器可用于将 SAP 身份管理系统与 SAP ABAP 系统进行通信以进行用户配置。

为更新创建作业

在 IdM developer studio 树视图中，您必须选择要为其创建作业的连接器包。例如：对于 ABAP 连接器包“com.sap.idm.connector.abap”。

接下来是转到 Jobs 文件夹，复制初始作业加载并在所需更新中重命名 ABAP 更新的作业，“ABAP-更新”。

保持以下通行证处于活动状态并禁用其他通行证 –

• 读ABA角色

• 读取ABAP配置文件

• 读取ABAP公司地址

• 读取Java角色

• WriteABAPRolePrivileges – 仅当相应的读取通道处于活动状态时

• WriteABAPProfilePrivileges – 仅当相应的读取通道处于活动状态时

• WriteABAPCompanyAddress – 仅当 ReadJavaRoles 传递处于活动状态时

• WriteJavaRolePrivileges – 仅当相应的 ReadJavaRoles 传递处于活动状态时

SAP IdM developer Studio 中还有其他软件包可用于连接到其他 SAP 系统。您必须搜索 SAP Provisioning Framework 包，选择 IdM 文件并选择正确的文件。

例如，要连接到 SAP HANA 系统，您可以选择 HANA 连接器包文件“com.sap.idm.connector.hana.idmpck”。

选择所需的包，该包将被导入到 Identity Management Developer Studio。

SAP IDM – 连接非 SAP 系统

要将非 SAP 系统连接到 SAP Identity Management，如果默认连接器包不可用，那么您可以为这些常用系统（JDBC、Web 服务、平面文件、数据库、LDAP 等）构建自己的连接器。

第一步是设置存储库和初始加载。要设置存储库，您可以使用存储库向导。

下表确认 SAP Identity Management 中提供的连接器列表 –

SAP IDM – 使用 SAP BW 的身份报告

您还可以使用 SAP Business Warehouse 系统进行报告。要使用 BW 进行报告，您应该设置 SAP IDM 和 BW 之间的连接。发布您需要将身份存储数据传输到 BW。要连接 SAP BW，您可以使用 IdM developer Studio 中提供的 SAP 包。

使用 SAP BW 进行报告时需要以下软件组件 –

• 身份中心

• 虚拟目录服务器 (VDS)

• SAP NetWeaver BW

• BW系统上的Web服务

要开始数据传输，您需要在身份中心创建一个作业，以触发从虚拟目录服务到 BW 系统上的持久暂存区的 Web 服务调用。

您可以根据要传输的数据量配置多个呼叫。这既用于数据的初始加载，也用于执行后续的增量加载。

SAP IDM – 使用 GRC 10.0 进行集成

您可以通过在身份中心启用一组流程，将 SAP 身份管理系统与访问控制 GRC 集成。通过使用 SAP IdM 系统，您可以根据访问控制中定义的合规性规则在多个连接的系统中执行供应。基于身份管理和访问控制之间定义的通信，您可以触发以下调用以实现角色同步。

• RFC通讯

• 网络服务通信

要将 GRC Provisioning 框架导入 Identity Center，您可以使用SAP Identity Management 8.0 版本中的单独包“ com.sap.idm.grc.grc10 ”。此包提供存储库类型、初始供应过程、作业和脚本以执行初始加载。

这个包com.sap.idm.grc.grc10提供了一组内部和公共进程。下面显示了公共进程列表 –

以下屏幕截图显示了将 GRC 访问控制集成到身份管理的包结构 –

SAP IDM – 迁移到新版本

您还可以将 SAP Identity Management 7.1/7.2 升级到 8.0 版。如果您运行的是 SAP IdM v7.1，那么要升级到 8.0 版，您需要先升级到 SAP IdM v7.2。要迁移到 SAP 身份管理 8.0，您当前的系统应在 v7.2 SP09 或 v7.2 SP10 上运行。

SAP Identity Management v8.0 对旧版本有一些重要的改进 –

• 将 IDM Developer Studio 用作 Eclipse 插件的选项

• 易于与其他 SAP 系统集成

• 更好的安全性和访问控制

在开始升级之前应执行以下检查 –

• 应该停止所有调度员。

• 应停止 REST API 和用户界面。

• 应备份数据库和身份数据。

• 要升级 SAP IdM 数据库，您应该使用 mxmc_update 脚本。

您可以单独执行 SAP Idm 8.0 版本的安装和安装后，您需要将 key.ini 文件从 7.2 系统复制到上述路径 –

• 在数据库节点上使用此位置 – /usr/sap/<SID>/SYS/global/security/data/Key/Keys.ini

• 在运行时环境中使用此位置 – /usr/sap/<SAPSID>/IDM<Instance_Number>/Identity_Center/Key/Keys.ini

• 您应该设置引用此路径的 Keys.ini 文件 – \\<host>\sapmnt\<SAPSID>\SYS\global\security\data\Key\Keys.ini，其中 <SAPSID> 是 SAP Identity 的 SAP 系统 ID管理系统

• 接下来是执行从 SAP IdM v7.2 导入身份存储

• 接下来是执行从 SAP IdM v7.2 导入存储库

• 接下来是从 SAP IdM v7.2 执行导入作业文件夹

• 接下来是从 SAP IdM v7.2 执行导入数据

SAP IDM – 工作职责

SAP IdM 管理员的主要职责如下 –

• 至少 3-6 年的 SAP IdM 经验

• 将 IdM 连接到 SAP 和非 SAP 系统、AD 系统和数据库的经验

• 能够处理基于业务角色的分配

• 设置和监控 IdM 作业

• 对SAP安全和授权有很好的理解和经验

• 执行 SAP IdM 任务的经验 – 用户管理、业务和流程工作流、管理身份存储

• 为不同的 SAP 和非 SAP 应用程序设置存储库

• 了解 SAP GRC v10 访问控制和基于角色（包括 GRC 规则）的职责分离

• 对信息安全控制有很好的理解和 ISO27001 控制知识