Sapforum.Biz
Инструменты => Администрирование (BC) => Тема начата: yuriy.milovanov от Июль 17, 2012, 04:36:19 pm
-
Коллеги,
доброго времени суток!
Вас беспокоит системный инженер компании-интегратора продуктов Novell Inc.
Моей специализацией являются решения в области информационной безопасности и, в частности, продукт Novell Identity Manager. Одной из основных задач данного решение является централизованное управление учетными данными пользователей в различных системах (ActiveDirectory, LDAP, JDBC, etc). Грубо говоря: синхронизация аккаунтов между системами а так же управление правами оных в перделах системы.
В рамках одного из проектов, возникла задача изучение аспектов интеграции данного решения с подсистемой управления учетными данными SAP (R/3, ERP, ECC).
Мне удалось реализовать базовый функционал коннектора к SAP (поставляется вендором) в тестовой среде. Трудности возникли в процессе его кастомизации. В связи с этим, хотел бы проконсультироваться с вами в следующих вопросах:
Одним из этапов конфигурации коннектора является установка соответствий между полями учетной записи в SAP и атрибутами Novell IDM. Базовая конфигурация коннектора уже включает определенный набор соответствий. Например, вот некоторые из них:
(http://i.imgur.com/R8hNz.png?1)
Из документации:
SAP User field values can be arranged in three types:
- Simple fields: These values are not grouped with other fields. The syntax in the schema map is <field name>.
- Structure fields: These values are grouped with other pieces of data that describe a larger collection of single‐instance data. The syntax for these fields in the schema map is <structure name>:<field name>. For example, ADDRESS:TELEPHONE.
- Table fields: These values are similar to Structure fields, but there can be multiple instances of the structured data. The syntax for these fields in the schema map is <table name>:<field name>. For example, ADDTEL:TELEPHONE.
Собственно, вопрос заключается в следующем: каким образом можно кастомизировать данный набор полей/классов?
- Как получить полный список классов SAP (например: «US» - User, «AG» - Activity Group)?
- Как получить полный список полей данного класса (например: ADDRESS:FIRSTNAME, GROUPS:USERGROUP)?
- Можно ли расширить класс SAP дополнительными (своими) полями?
P.S. Прошу прощения за наличие в данной теме маркетинговой информации.
P.P.S. Текст данной темы растиражирован еще на нескольких форумах. Прошу отнестись к этому с пониманием :)
-
Тему перенес в раздел базиса, что-то мне кажется базису это ближе будет...
-
Посмотрите доку по родному SAP NetWeaver Identity Management
http://scn.sap.com/community/netweaver-idm
возможно там вы сможете найти ответы на свои вопросы
По крайней мере с аналогом вашего продукта от мелкомягких это помогло ;)
-
Посмотрите доку по родному SAP NetWeaver Identity Management
http://scn.sap.com/community/netweaver-idm
возможно там вы сможете найти ответы на свои вопросы
По крайней мере с аналогом вашего продукта от мелкомягких это помогло ;)
Так в том то и дело, что вопрос у меня скорее по SAP чем по возможностям интеграции. Имеется ввиду, как получить эту информацию средствами SAP? Дальше, уже с своей стороны, установив соответствие с полями/атрибутами моей системы, я знаю что с этим делать. Просто, вполне вероятно, что у заказчика используются "не стандартные" (расшириные) атрибуты пользователя, ввиду его (заказчика) особенности. Как минимум потому, что у них используется самописная интеграция с их (опять же самописной) PKI-инфраструктурой (инфраструктура открытых ключей - шифрование, цифровая подпись, SSO). Эту информацию мне точно прийдется вычитывать/запонять при обслуживании учетной записи в SAP средствами нашего продукта.
P.S. Доступ к документации по SAP NW IDM только по UserID, которого в SAP-е у меня, естественно, нет :)
-
Если у Вас есть возможность посмотреть в SAP, тогда вам нужно в тр. BAPI (бизнес-объекты) найти объект USER. В нем есть методы, к которым обращаются ваши функции с помощью JAVA коннектора. Каждый метод реализован в виде функционального модуля.
Например метод GETDetail реализован с помощью функционального модуля BAPI_USER_GET_DETAIL. В транзакции SE37 можно просмотреть входящие и исходящие параметры функционального модуля.
Вполне возможно, что какие-то функции не реализованы с помощью вызова стандартных функциональных модулей. В таком случае Вам необходимо уточнить их имена у технических специалистов SAP. Имена начинаются на Z или Y.
-
Если у Вас есть возможность посмотреть в SAP, тогда вам нужно в тр. BAPI (бизнес-объекты) найти объект USER. В нем есть методы, к которым обращаются ваши функции с помощью JAVA коннектора. Каждый метод реализован в виде функционального модуля.
Например метод GETDetail реализован с помощью функционального модуля BAPI_USER_GET_DETAIL. В транзакции SE37 можно просмотреть входящие и исходящие параметры функционального модуля.
Вполне возможно, что какие-то функции не реализованы с помощью вызова стандартных функциональных модулей. В таком случае Вам необходимо уточнить их имена у технических специалистов SAP. Имена начинаются на Z или Y.
Огромное спасибо! В целом, направление понял. :)
Есть еще несколько вопросов:
1) Как быть в отношении Авторизационных Профилей и Ролей? Я не нашел соответствующих объектов в списке (в тр. BAPI).
2) Поставляемый вендором (Novell) коннектор реализует двунаправленную синхронизацию учетных данных — из системы в приложение и наоборот. Для задач синхронизации в приложение используется BAPI интерфейс (через SAP Jco). Обратная синхронизация реализована на базе механизма ALE/CUA — Novell IDM является «дочерней системой» данные (USER.CLONE IDoc) в которую передаются либо через TRFC-порт, либо через FILE-порт. В связи с этим, вопрос: можно ли, используя этот же (ALE/CUA) механизм "распространять" (distribute) объекты Авторизационных Профилей и Ролей?
-
C ALE немного знаком, с CUA - только в теории. Думаю, подтянутся крутые базисники и ответят на Ваш вопрос. Знаю, что после переноса ролей необходимо генерировать профили. На данный момент не знаю, существует ли IDOC для переноса ролей. В тр. WE81 можно посмотреть типы IDOC (названия с точки зрения семантики).
-
В сторону "BAPI_JOBROLE_CLONE" есть смысл смотреть?
-
В сторону "BAPI_JOBROLE_CLONE" есть смысл смотреть?
Нет - это пустышка (текст закомментарен)
Но можно попробовать функции из группы функций PRGN_AUTH