Zentrale Benutzerverwaltung (ZBV)
Die zentrale Benutzerverwaltung (ZBV) von SAP hilft Benutzerstammsätze zentral von einem Mandanten des Systems aus in allen angeschlossenen ABAP-Systemen zu verwalten. So können Kosten und Ressourcen für die Benutzerverwaltung gespart werden, in dem zum Beispiel die doppelte Pflege von Accounts und Passwörtern vermieden wird.
Wofür benötigt man eine zentrale Benutzerverwaltung (ZBV)?
Die Zentrale Benutzerverwaltung (auch Central User Administration – CUA) verwaltet die Konten mehrerer Benutzer auf verschiedenen Mandanten in einer Umgebung mit mehreren SAP-Systemen. Sie dient dazu, Benutzerstammsätze von einem einzigen System aus zentral zu pflegen und vorgenommene Änderungen automatisiert an Untersysteme weiterleiten zu können. Sie bietet seinen Nutzern eine Übersicht über alle Benutzerdaten in der gesamten Systemlandschaft im Zentralsystem.
Wie funktioniert die SAP ZBV?
Die ZBV verwendet ALE und den RFC-Mechanismus (SAP Remote Function Call) für die Kommunikation von Benutzerdaten zwischen einem zentralen SAP-System, auf dem die zentrale Benutzerverwaltung ausgeführt wird, und Client-SAP-Systemen. Bei diesem Ansatz wird die produktive zentrale Benutzerverwaltung in der Regel vom hoch-verfügbarem, produktiven SAP-System eingerichtet, z. B. im SAP-HR-System oder in jedem anderen SAP-System, das für die zentrale Verwaltung und Überwachung verwendet wird.
Der Aufbau der ALE-Landschaft für die ZBV ist so strukturiert, dass eines der Systeme als Zentralsystem bestimmt ist. Die untereinander nicht miteinander verknüpfte Tochtersysteme, sind mit dem Zentralsystem in beide Richtungen verbunden. Nur in dem Fall, wenn das Zentralsystem ein Tochtersystem ist, liegt eine Verbindung vor. Die Folge ist die Eliminierung möglicher Fehler, die durch den mandanten- und ggf. systemübergreifenden Stammdatenaustausch entstehen können. Abschließend können je nach Konfiguration in der Transaktion SCUM unter anderem Benutzersperren, Rollen, Profile, Anmeldedaten verwaltet werden.
Für SAP-Systemadministratoren bietet das SAP- Basissystem einfache Erweiterungen der gängigen SAP- Dialogtransaktionen für die Benutzerpflege (SU01, SU10), wenn die zentrale Benutzerverwaltung konfiguriert ist. Es gibt flexible Optionen für ein benutzerdefiniertes Setup, einschließlich der zentralen Verwaltung von Benutzerattributen (z. B. Rollenzuweisungen), ohne die lokale Pflege ausgewählter Attribute in den Client-SAP-Systemen (z. B. Adressdaten oder Anmeldesprache) aufzugeben. Optional können lokal gepflegte Attribute auch an das zentrale SAP-System zurückgesendet und von dort an andere Client-SAP-Systeme verteilt werden.
LDAP-Synchronisation
Mit SAP Web Application Server 6.10 wird die regelmäßige Synchronisation von Benutzerdaten mit Unternehmensverzeichnissen über den LDAP Connector unterstützt. Dies wird über den Standardreport SLDAPSYNC_USER erreicht, der normalerweise alle 12- oder 24-Stunden im Batch-Modus ausgeführt wird. Das Synchronisationsverhalten kann angepasst werden, um Zeitstempel zu vergleichen, wenn sich die Attributwerte im Verzeichnis und in den SAP-Benutzertabellen unterscheiden, und um festzulegen, was zu tun ist, wenn neue Einträge im Verzeichnis oder in den SAP-Benutzertabellen angezeigt werden. Um diese Art der Synchronisationsfunktionalität zu unterstützen, müssen die SAP-Benutzer passend zum Unternehmensverzeichnis des Kunden zugeordnet werden. Dafür kann die Transaktion LDAPMAP genutzt werden, mit der die Zuordnung zwischen den verschiedenen Feldern der SAP-Benutzertabellen und den angegebenen Verzeichnisattributen angepasst wird.
Ab welchem Release ist SAP ZBV verfügbar?
Die zentrale Benutzerverwaltung ist ein Standardbestandteil der SAP-Benutzerverwaltung in SAP NetWeaver. Es wurde zum ersten Mal mit R/3-Release 4.5 verfügbar. Client-Systeme zwischen R/3 Release 4.5 und Web Application Server Release 6.20 können über Application Link Enabling (ALE) eine Verbindung zur CUA herstellen. Es können Systeme mit verschiedenen Releases integriert werden. SAP empfiehlt jedoch, dass das zentrale System in einer bestimmten Konfiguration die höchste NetWeaver-Version hat.
Vorteile von SAP ZBV
- Übersicht über alle Benutzerdaten in der gesamten Systemlandschaft.
- Sobald Sie SAP ZBV konfiguriert ist, können Benutzer nur im zentralen System erstellt oder gelöscht werden -> hohe Konsistenz
- Benutzerattribute können nur lokal, nur zentral oder sowohl zentral als auch lokal gepflegt werden.
- Es wird ein einziger Verwaltungspunkt für Benutzerkonten und eine Hauptinformationsquelle für Sicherheitsattribute von Benutzern eingerichtet, z. B. Authentifizierungs- und Berechtigungsdaten.
- Es bietet zentrale Funktionen zum Sperren und Entsperren von Benutzerkonten sowie zum Gewähren und Entfernen von Zugriffsrechten für verschiedene Anwendungen und Ressourcen.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Zukunft der ZBV
Die Benutzerverwaltung in SAP-Umgebungen hat sich mit der Zeit grundlegend geändert. Aus Folge der wachsenden Nachfrage nach Zentralisierung der Benutzerverwaltung bei SAP, führte SAP die ZBV ein, die jedoch einigen Einschränkungen unterlag (es konnten keine Workflows realisiert werden und auch keine Non-SAP-Systeme, wie zum Beispiel Active Directory angehängt werden) und SAP Kunden deshalb die Leistungen von anderen Anbietern annahmen. Heute ist SAP NetWeaver Identity Management die Empfehlung von SAP für die Verwaltung von Benutzern über SAP-Systeme.
FAQ zur Zentralen Benutzerverwaltung
Was ist die Zentrale Benutzerverwaltung?
Die Zentrale Benutzerverwaltung verwaltet die Konten mehrerer Benutzer auf verschiedenen Mandanten in einer Umgebung mit mehreren SAP-Systemen.
Wozu dient mir die Zentrale Benutzerverwaltung?
Sie dient dazu, Benutzerstammsätze von einem einzigen System aus zentral zu pflegen und vorgenommene Änderungen automatisiert an Untersysteme weiterleiten zu können.
Wie funktioniert die Zentrale Benutzerverwaltung?
Ein zentraler ZBV-Master-Mandant steuert und verwaltet via ALE/RFC angeschlossene Mandanten. SU01 und SU10 werden mit Aktivierung der ZBV um entsprechende Funktionen erweitert. Änderungen der Stammdaten werden regelmäßig synchronisiert. Eine lokale Benutzerverwaltung findet normalerweise nicht mehr statt
Was sind die Vorteile einer ZBV?
Unternehmen erhalten eine Übersicht über alle Benutzerdaten in der gesamten Systemlandschaft. Sobald die SAP ZBV konfiguriert ist, können Benutzer nur im zentralen System erstellt oder gelöscht werden. Außerdem wird ein einziger Verwaltungspunkt für Benutzerkonten und eine Hauptinformationsquelle für Sicherheitsattribute von Benutzern eingerichtet.
Wie ist die Zukunft der ZBV?
Da keine Workflows realisiert werden und auch keine Non-SAP-Systeme, wie zum Beispiel Active Directory angehängt werden können, ist SAP NetWeaver Identity Management die Empfehlung von SAP für die Verwaltung von Benutzern über SAP-Systeme.
Weitere Links
Central User Administration(CUA) configuration