Интеграция SAP и Novell Identity Manager

[yuriy.milovanov]

Коллеги,
доброго времени суток!

Вас беспокоит системный инженер компании-интегратора продуктов Novell Inc.
Моей специализацией являются решения в области информационной безопасности и, в частности, продукт Novell Identity Manager. Одной из основных задач данного решение является централизованное управление учетными данными пользователей в различных системах (ActiveDirectory, LDAP, JDBC, etc). Грубо говоря: синхронизация аккаунтов между системами а так же управление правами оных в перделах системы.
В рамках одного из проектов, возникла задача изучение аспектов интеграции данного решения с подсистемой управления учетными данными SAP (R/3, ERP, ECC).
Мне удалось реализовать базовый функционал коннектора к SAP (поставляется вендором) в тестовой среде. Трудности возникли в процессе его кастомизации. В связи с этим, хотел бы проконсультироваться с вами в следующих вопросах:
Одним из этапов конфигурации коннектора является установка соответствий между полями учетной записи в SAP и атрибутами Novell IDM. Базовая конфигурация коннектора уже включает определенный набор соответствий. Например, вот некоторые из них:


Из документации:

SAP User field values can be arranged in three types:

• Simple fields: These values are not grouped with other fields. The syntax in the schema map is <field name>.
  
• Structure fields: These values are grouped with other pieces of data that describe a larger collection of single‐instance data. The syntax for these fields in the schema map is <structure name>:<field name>. For example, ADDRESS:TELEPHONE.
  
• Table fields: These values are similar to Structure fields, but there can be multiple instances of the structured data. The syntax for these fields in the schema map is <table name>:<field name>. For example, ADDTEL:TELEPHONE.

Собственно, вопрос заключается в следующем: каким образом можно кастомизировать данный набор полей/классов?

• Как получить полный список классов SAP (например: «US» - User, «AG» - Activity Group)?
  
• Как получить полный список полей данного класса (например: ADDRESS:FIRSTNAME, GROUPS:USERGROUP)?
  
• Можно ли расширить класс SAP дополнительными (своими) полями?

P.S. Прошу прощения за наличие в данной теме маркетинговой информации.
P.P.S. Текст данной темы растиражирован еще на нескольких форумах. Прошу отнестись к этому с пониманием :)

[Uukrul]

Тему перенес в раздел базиса, что-то мне кажется базису это ближе будет...

[№1]

Посмотрите доку по родному SAP NetWeaver Identity Management
http://scn.sap.com/community/netweaver-idm
возможно там вы сможете найти ответы на свои вопросы
По крайней мере с аналогом вашего продукта от мелкомягких это помогло ;)

[yuriy.milovanov]

Посмотрите доку по родному SAP NetWeaver Identity Management
http://scn.sap.com/community/netweaver-idm
возможно там вы сможете найти ответы на свои вопросы
По крайней мере с аналогом вашего продукта от мелкомягких это помогло ;)

Так в том то и дело, что вопрос у меня скорее по SAP чем по возможностям интеграции. Имеется ввиду, как получить эту информацию средствами SAP? Дальше, уже с своей стороны, установив соответствие с полями/атрибутами моей системы, я знаю что с этим делать. Просто, вполне вероятно, что у заказчика используются "не стандартные" (расшириные) атрибуты пользователя, ввиду его (заказчика) особенности. Как минимум потому, что у них используется самописная интеграция с их (опять же самописной) PKI-инфраструктурой (инфраструктура открытых ключей - шифрование, цифровая подпись, SSO). Эту информацию мне точно прийдется вычитывать/запонять при обслуживании учетной записи в SAP средствами нашего продукта.

P.S. Доступ к документации по SAP NW IDM только по UserID, которого в SAP-е у меня, естественно, нет :)

[ysichov]

Если у Вас есть возможность посмотреть в SAP, тогда вам нужно в тр. BAPI (бизнес-объекты) найти объект USER. В нем есть методы, к которым обращаются ваши функции с помощью JAVA коннектора. Каждый метод реализован в виде функционального модуля.
Например метод GETDetail реализован с помощью функционального модуля BAPI_USER_GET_DETAIL. В транзакции SE37 можно просмотреть входящие и исходящие параметры функционального модуля.
  Вполне возможно, что какие-то функции не реализованы с помощью вызова стандартных функциональных модулей. В таком случае Вам необходимо уточнить их имена у технических специалистов SAP. Имена начинаются на Z или Y.

[yuriy.milovanov]

Если у Вас есть возможность посмотреть в SAP, тогда вам нужно в тр. BAPI (бизнес-объекты) найти объект USER. В нем есть методы, к которым обращаются ваши функции с помощью JAVA коннектора. Каждый метод реализован в виде функционального модуля.
Например метод GETDetail реализован с помощью функционального модуля BAPI_USER_GET_DETAIL. В транзакции SE37 можно просмотреть входящие и исходящие параметры функционального модуля.
  Вполне возможно, что какие-то функции не реализованы с помощью вызова стандартных функциональных модулей. В таком случае Вам необходимо уточнить их имена у технических специалистов SAP. Имена начинаются на Z или Y.

Огромное спасибо! В целом, направление понял. :)

Есть еще несколько вопросов:
1) Как быть в отношении Авторизационных Профилей и Ролей? Я не нашел соответствующих объектов в списке (в тр. BAPI).
2) Поставляемый вендором (Novell) коннектор реализует двунаправленную синхронизацию учетных данных — из системы в приложение и наоборот. Для задач синхронизации в приложение используется BAPI интерфейс (через SAP Jco). Обратная синхронизация реализована на базе механизма ALE/CUA — Novell IDM является «дочерней системой» данные (USER.CLONE IDoc) в которую передаются либо через TRFC-порт, либо через FILE-порт. В связи с этим, вопрос: можно ли, используя этот же (ALE/CUA) механизм "распространять" (distribute) объекты Авторизационных Профилей и Ролей?

[ysichov]

C ALE немного знаком, с CUA - только в теории. Думаю, подтянутся крутые базисники и ответят на Ваш вопрос. Знаю, что после переноса ролей необходимо генерировать профили. На данный момент не знаю, существует ли IDOC для переноса ролей. В тр. WE81 можно посмотреть типы IDOC (названия с точки зрения семантики).

[yuriy.milovanov]

В сторону "BAPI_JOBROLE_CLONE" есть смысл смотреть?

[№1]

В сторону "BAPI_JOBROLE_CLONE" есть смысл смотреть?

Нет - это пустышка (текст закомментарен)
Но можно попробовать функции из группы функций PRGN_AUTH