SAP IDM 快速指南

SAP IDM - 簡介

在大企業中，主要的挑戰是如何安全地組織和維護身份資料和許可權。企業資料儲存在不同的應用程式中，並從多個來源收集，因此管理資料機密性存在重大風險。為了分配資料安全，需要對身份資料和許可權進行管理和維護，使其保持最新。市場上有各種身份和訪問管理模組，可以幫助資料所有者準確、及時地管理身份資訊。

主要的 ERP 軟體提供商提供內建功能，可以將身份管理與其他模組結合使用。這些身份管理工具嵌入在 ERP/CRM 軟體中，無需顯式安裝或配置。

SAP 身份管理是 SAP 提供的類似工具，可幫助公司在複雜的環境中管理其 SAP 和非 SAP 系統的使用者帳戶。透過使用 SAP 身份管理工具，公司可以安全地管理和提供對不同異構應用程式的訪問，而無需大量手動工作。

需要身份和訪問管理解決方案的原因有很多：

由於業務流程同時執行在本地和雲端，因此需要無縫地管理使用者訪問管理。
需要根據使用者角色分配應用程式和資訊訪問許可權，而不管目錄中的技術層次結構如何。
提供自助服務使用者和密碼管理系統，避免對關鍵應用程式進行手動密碼重置。
根據當前和以前的訪問許可權提取報告。
降低在複雜環境中執行使用者配置的運營成本。
易於管理多個身份來源。
提供審計跟蹤和日誌系統來跟蹤身份更改。
滿足公司對使用者訪問管理解決方案的特定要求。
防止在多企業環境中對公司資源（企業應用程式、資料庫、Web 應用程式、活動目錄等）進行未授權訪問。

主要優點

以下是使用 SAP 身份管理的主要優點：

確保使用者許可權在正確的時間分配給所需的系統，並防止未授權訪問。
在多個複雜的企業環境中，一致地管理使用者角色和許可權。
安全執行業務審批工作流程和流程。
易於管理審計跟蹤和日誌系統進行跟蹤。

SAP IDM - 架構

SAP 身份管理系統用於維護跨不同 ECC 應用程式的身份資料。您可以根據可用的授權從不同的 SAP 應用程式匯入資料到 IDM。從後端應用程式匯入授權後，許可權將新增到系統中，然後同步到後端應用程式。

使用者介面用於在身份儲存中執行不同的自我管理身份任務，並將更改複製回後端應用程式。

大多數 SAP 身份管理元件執行在 NetWeaver 應用程式和 Java 伺服器上。SAP IdM 的一些重要元件包括：

SAP 身份儲存
供使用者和管理員使用的使用者介面
IdM 資料庫
IdM 開發者工作室
開發者工作室服務
執行時元件

身份儲存提供來自多個來源的身份資料的統一檢視，並有助於管理業務流程、日誌記錄和稽核、密碼管理以及訪問管理的報告功能。身份中心從不同的應用程式儲存庫收集資料，將其轉換為所需的格式，並將其複製回源儲存庫。

一些 IDM 元件執行在 SAP NetWeaver AS for Java 上，其中包括供使用者和管理員使用的身份管理使用者介面，但其他一些元件則單獨安裝，並且是獨立元件。下面提到了 SAP IDM 架構的關鍵元件：

管理員可以使用軟體配置管理器 1.0 安裝工具安裝 SAP 身份管理。配置管理器 1.0v 安裝所有 SAP 身份管理元件，除了 IDM 開發者工作室客戶端、登入幫助和 SAP IDM 密碼管理實用程式。上述元件需要使用外部客戶端工具手動安裝。

SAP IDM 排程程式實用程式

用於在 IDM 系統中建立新的排程程式。使用使用者介面元件，您還可以停止或啟動排程程式。這可以透過使用者介面元件或使用命令列選項來完成。

IDM 執行時引擎

IDM 的此元件用於同步和配置任務，並且需要 SAP Java 虛擬機器才能執行。

SAP IDM - 安裝

您可以在分散式環境中安裝 SAP IdM 系統，其中每個程序都在單獨的系統上執行。您可以使用任何作業系統來執行安裝，並選擇任何資料庫，例如 MS SQL、Oracle、DB2 等。

您可以使用軟體配置管理器 (SWPM) 工具來執行 IdM 的安裝。按照以下步驟，您可以安裝 SAP IdM：

安裝 IdM 核心元件

要安裝 IdM 核心元件，請使用 OD 管理員帳戶登入並啟動軟體配置管理器工具 (sapinst.exe)，然後選擇 SAP Identity Management 8.0 → 安裝 → 分散式系統 → SAP Identity Management 核心元件，如下所示

以典型模式執行安裝。啟動核心元件安裝後，您需要輸入 SAP SID 和目標驅動器。

按照安裝步驟操作，並輸入 SAP 歸檔檔案、SAP 主機代理等的路徑。接下來，系統會提示您選擇資料庫系統：

提供執行資料庫的主機名、埠號和 IdM 資料庫的憑據：

在下一個視窗中，您必須提供要用於 IdM 包的資料庫模式字首和基本限定名稱：

在後續步驟中輸入其他引數，並按照說明步驟操作，然後單擊“下一步”按鈕執行安裝。完成 IdM 核心元件的安裝後，將顯示以下訊息：

安裝 SAP IdM 執行時和其他開發者元件

登入到要安裝 IdM 執行時和其他可部署元件的其他主機，開啟軟體配置管理器，然後選擇 SAP Identity Management 8.0 → 安裝 → 分散式系統 → SAP Identity Management 排程程式例項。

SAP Identity Management Dispatcher Instance

以典型模式啟動安裝過程，並提供 SAP IdM 系統的配置檔案 ddir 路徑，如下所示：

按照安裝步驟操作，並輸入分配給 SAP IdM 排程程式的例項編號，也可以使用預設值。

在下一步中，提供驅動程式路徑和 JDBC 驅動程式類名。檢視引數，然後繼續完成安裝步驟。

安裝 SAP IdM 可部署元件

開啟軟體配置管理器。選擇 SAP Identity Management 8.0 → 安裝 → 分散式系統 → SAP NetWeaver AS Java 上的 SAP Identity Management 元件。

這將安裝以下元件：

必備元件

SAP IdM 開發者工作室服務
SAP IdM 使用者介面

附加元件

SAP IdM REST 介面
SAP IdM 門戶內容
身份聯合

按照之前的安裝步驟操作，並提供要使用這些元件的 NetWeaver Java 系統的 SAP SID：

在下一步中，您需要選擇要部署的其他 IdM 可部署元件：

選擇附加元件後，單擊“下一步”按鈕，SAP IdM 可部署元件的安裝將完成。

虛擬安裝活動目錄伺服器

開啟軟體配置管理器，然後選擇 SAP Identity Management 8.0 → 安裝 → 附加元件 → SAP Identity Management 虛擬目錄伺服器。這將在選定的主機上安裝虛擬目錄伺服器例項 8.0。

Installing Active Directory Server Virtually

按照安裝步驟操作，並提供要分配給虛擬目錄伺服器的例項編號，也可以使用提供的預設值。

下一步是檢視引數並完成安裝過程。

SAP IDM - 開發者工作室

SAP IDM 開發者工作室是一個基於 Eclipse 的外掛，用於配置身份管理解決方案。這是一個基於客戶端的工具，必須安裝在每個開發人員或管理員系統上。要啟用身份管理開發者工作室，從 Eclipse 使用者介面導航到“幫助”->“安裝新軟體”。

接下來是提供外掛可用的儲存庫站點。單擊“新增……”，如下面的螢幕截圖所示：

這將開啟“新增儲存庫”對話方塊，輸入名稱，例如“SAP Identity Management Developer Studio”，並在“位置”欄位中輸入 Identity Management Developer Studio 外掛的 URL。為 Eclipse Oxygen (4.7) 提供此 URL https://tools.hana.ondemand.com/oxygen ->“確定”。

展開 SAP Identity Management Tools 後，選擇 SAP Identity Management Developer Studio 複選框，然後單擊“下一步”。

配置 SAP IdM 開發者工作室

在 SAP IDM 開發者工作室中，您可以新增與 IDM 資料庫的連線。您需要輸入以下詳細資訊：

應用程式伺服器名稱
埠
資料來源

在“首選項”->“連線”->“單擊 + 號”。

提供所需的資訊，然後單擊“確定”新增資料庫。新增資料庫後，您可以展開並檢視樹檢視。

SAP IDM - 設定框架

在 SAP Identity Management 中，您可以使用一組模板連線到 SAP 系統，併為不同的任務設定作業和流程。SAP IDM 中的包是最小的程式碼單元，可以是聯結器型別或其他包使用的實用程式集。管理員可以向用戶授予單獨傳輸每個包的許可權，然後處理配置以對其進行自定義。IDM 提供配置包作為預設元件，以提供自定義的起點。

每個包都使用全域性唯一名稱標識，這意味著您不能在任何身份儲存中使用相同的包名稱。

您通常可以找到以下包型別：

引擎包

此包提供核心流程，這些流程負責觸發必要的流程和其他在其他包中使用的公共指令碼。

聯結器包

此包提供聯結器，用於配置特定系統，例如 SAP ABAP 等。

表單包

此包儲存所有不同事務型別的使用者介面任務的定義

此包包含通知任務和模板，用於傳送配置、審批任務和業務工作流程的通知。

自定義包

此軟體包用於自定義配置框架，而無需更改其他已儲存的軟體包。此軟體包包含來自其他客戶的自定義指令碼以及一些可用於自定義其他軟體包的預設自定義指令碼。

使用者訪問軟體包的授權

要訪問軟體包的內容，使用者必須對該軟體包擁有必要的授權。軟體包存在以下授權：

檢視
開發者
佈局開發者
匯入
所有者

SAP IDM - 儲存庫型別

要將您的 SAP 和非 SAP 系統連線到 SAP Identity Management，必須基於不同的型別建立儲存庫。儲存庫型別說明所有可用儲存庫型別的公共常量，並協助儲存庫配置過程。

以下是使用儲存庫型別的優勢：

對於所有儲存庫型別，您可以更改儲存庫常量，這將應用於現有和新的儲存庫。
您還可以為任何型別的現有和新儲存庫新增新的常量。

通常在以下情況下需要更改給定儲存庫的儲存庫型別：

將 SAP Identity Management 從 v7.2 升級到 8.0 並要在 SAP IDM 8.0 中使用配置框架。這將允許您配置 v7.2 儲存庫以更改新框架中提供的儲存庫型別。
存在具有自定義功能的自定義儲存庫型別，並且您想將任何現有儲存庫型別更改為自定義型別。

要更改儲存庫型別，您必須登入到 SAP Identity Management 管理 UI - “http://<主機>:<埠>/idm/admin”。

接下來選擇“系統配置”選項卡 -> 從左側選單點選“儲存庫”。

您可以選擇一個已停用的儲存庫，然後點選“更改儲存庫型別”。

接下來是選擇儲存庫型別 -> 提供描述（可選欄位）-> 確定。接下來驗證儲存庫常量，並在需要時修復值，如下所示。

Configuration History Repository Operations

您還可以透過導航到“配置歷史記錄儲存庫操作”來檢視儲存庫更改歷史記錄。

您還可以檢視由於儲存庫型別更改而導致的儲存庫常量更改，導航到配置歷史記錄 $\rightarrow$ 儲存庫常量

SAP IDM - 使用身份儲存

在 SAP IDM 中，儲存在身份儲存中的資訊用於配置框架，這為管理與身份相關的身份資訊（如部門、員工姓名、組、業務單元等）提供了一個集中式儲存庫。身份儲存還提供廣泛的審計跟蹤和跟蹤功能來監控可以更改的屬性。

通常，身份儲存連線到 SAP NetWeaver AS for Java 中的身份管理使用者介面，並且每個 Java 安裝只能連線到一個身份儲存。建立身份儲存時會在系統中新增許多系統屬性。有一個識別符號 MSKEYVALUE，它在所有條目型別中儲存身份儲存中的唯一識別符號。

在身份管理中，您使用條目型別來定義條目屬性，例如允許的和必需的屬性。

注意 - MSKEY 編號在身份中心的所有身份儲存中都是唯一的。

管理身份儲存中的條目型別

通常不建議刪除身份儲存中的條目型別，因為它們對於審計跟蹤和跟蹤目的而言是必需的。您可以將其標記為非活動狀態或使用狀態欄位來標記該條目型別的狀態。

例如 - 員工以後可以重新加入公司，在這種情況下，如果可以對該員工使用相同的條目型別，則可以簡化流程。

SAP IDM - 身份中心屬性

身份中心是 SAP IDM 的主要元件，它為身份管理系統提供關鍵功能。身份中心使用身份儲存來管理所有關鍵功能。SAP 身份中心通常與管理控制檯和其他執行時元件一起安裝。為了透過 Active Directory 伺服器使用登入服務進行自助服務密碼管理，SAP IDM 應該與身份中心配置。

以下是使用身份中心執行的關鍵功能：

密碼重置
業務和工作流
日誌記錄
審計跟蹤
報告
配置

SAP 身份中心包含以下元件：

管理控制檯

管理控制檯是 MMC 中的一個外掛，用於設定配置框架中不同任務和作業的起始配置。

資料庫管理

SAP 身份中心使用資料庫來維護有關配置任務和業務工作流、日誌資訊和審計跟蹤以及身份儲存等的所有資訊。

您可以在身份中心中使用以下資料庫：

Oracle 版本 10/11
DB2
MS SQL Server 2005/2008

複製身份中心配置

要將 SAP 身份中心配置和資料從一個數據庫複製到另一個數據庫，您可以使用系統複製。對於此任務，您可以在 SAP 社群網路中找到作業。從 SCN 下載 Zip 檔案，解壓縮檔案，然後執行以下步驟：

建立排程程式
匯入作業資料夾
配置匯入的儲存庫

要傳遞排程程式指令碼，您必須導航到“選項”選項卡 -> “建立排程程式指令碼”。

建立指令碼後，您需要傳遞執行作業和執行時引擎的詳細資訊。要定義此內容，請導航到“策略”選項卡 -> 選擇“執行作業”複選框。

您可以在“選項”選項卡下檢查排程程式狀態 -> 要更新狀態，請單擊“重新整理”按鈕。狀態顯示在“服務狀態”欄位下。

您還可以選擇排程程式服務自動啟動。為此，請選擇“自動啟動”欄位的複選框以啟用它。

您還可以手動管理排程程式作業以停止/啟動。為此，您可以使用“服務狀態”下的“啟動”和“停止”選項：

SAP IDM - 管理包

如本教程前面所述，軟體包是配置的最小單元，它可以是聯結器或儲存庫中其他軟體包使用的實用程式的集合。一些預設軟體包作為身份管理核心元件的一部分交付並匯入資料庫，為解決方案提供起點。

軟體包具有一組用於在身份管理儲存庫中維護它們的特性。以下是關鍵特性：

軟體包限定名稱
使用者編輯
授權
版本控制
物件
傳輸軟體包

軟體包限定名稱

SAP Identity 系統中的每個軟體包都有一個限定名稱，其中包含安裝期間提供的基名稱和軟體包建立期間傳遞的軟體包名稱。安裝期間傳遞的基名稱通常包含字母數字、數字、下劃線和點。例如 - XYZ.com。軟體包建立期間傳遞的軟體包名稱是全域性唯一的，即您不能在 SAP IDM 中的不同身份儲存中擁有相同的軟體包名稱。

使用者編輯

要更改軟體包，您必須簽出，完成後，您應該簽入以使更新的配置可用於其他軟體包。簽出軟體包後，其他使用者無法對該軟體包進行配置修改。

授權

要訪問軟體包內容，使用者應該對該軟體包具有許可權。使用者可以在身份儲存中的軟體包上擁有不同級別的授權。以下是軟體包上存在的常見授權：

所有者
檢視
開發者
匯入
佈局開發者

版本控制

使用軟體包的版本控制，您可以恢復軟體包的先前版本。軟體包通常有兩個版本號，主版本和次版本。

主版本 - 每當您更改軟體包並將其公開時，主版本都會遞增。

次版本 - 每當您簽入軟體包時，次版本都會遞增。

物件

您可以將軟體包中使用的物件定義為公共的或私有的。其他軟體包可以呼叫公共物件。

傳輸軟體包

身份儲存中的每個軟體包都是單獨傳輸的。

注意 - 要在 SAP IDM Developer Studio 中執行配置框架，您必須匯入引擎軟體包、自定義軟體包和聯結器軟體包。

SAP IDM - 使用流程

在 SAP Identity Management 中，您可以建立新流程並使用開發人員工作室將流程拖放到工作流中。您可以透過導航到軟體包屬性來停用/啟用軟體包。

導航到流程屬性的“常規”選項卡以啟用/停用流程。在“常規”選項卡下，您有以下選項：

欄位
描述
已啟用
流程 ID/名稱

流程 ID 顯示用於在 IdM 資料庫中識別流程的編號。

使用流程屬性

身份儲存中的流程定義了一組按特定順序執行的操作。您會看到流程屬性的以下選項：

常規

使用“常規”選項卡，您可以啟用/停用流程或定義流程型別。您還可以為流程定義儲存庫。

結果處理

此選項卡可用於執行流程的結果處理。

文件

在此欄位中，您可以提供流程的文件。

SAP IDM - 身份儲存表單

身份儲存表單用於維護身份儲存中的條目，例如許可權、使用者、角色等。一組表單作為配置框架中的軟體包預設提供。身份表單通常包含以下欄位：

屬性定義
訪問控制
UI 配置詳細資訊

通常將表單定義為軟體包內的公共物件，但是您可以將其從公共物件中移除並讀取它們。除了預設表單外，還有其他引導活動，如下所示：

檢視分配請求表單

這些表單可用於檢查分配請求的狀態，並可用於授權使用者重新啟動任何失敗的活動。

分配請求表單

此表單用於向用戶提供一個或多個分配，通常用於提供基於上下文的角色。

密碼重置

此表單用於為使用者提供重置密碼的引導活動。

要建立表單，請使用 Identity Management 開發人員工作室在軟體包中導航到“表單”資料夾 $\rightarrow$ “新建”。

接下來根據以下表單選項採取操作：

如果要建立表單資料夾，請選擇“資料夾”選項。

或者要建立表單 $\rightarrow$ 選擇“表單”。

或者要建立引導任務表單 $\rightarrow$ 選擇“分配請求/檢視分配請求/密碼重置”表單。

您還可以配置表單屬性，以下選項卡可用，並在進行更改後，導航到“檔案”->“儲存”。

常規
結果處理
屬性
訪問控制
演示
文件

常規

此選項卡用於執行表單的一般屬性。以下是“常規”選項卡下的選項：

欄位	描述
已啟用	啟用/停用表單

表單 ID/名稱

這顯示一個在 Identity Management 資料庫中標識表單的編號。

表單型別

此選項用於定義表單型別。以下值可用：

常規
訪問控制表單
顯示錶單
搜尋表單

儲存庫

此選項可用於將儲存庫連結到表單。執行表單時，將使用選定的儲存庫。

結果處理

此選項用於配置表單的結果處理部分。

屬性

此選項用於定義表單屬性。

引數

引數用於配置引導活動 - 分配請求/檢視分配請求/密碼重置。

訪問控制

使用此選項卡，您可以定義表單的訪問部分。

演示

此部分用於配置表單顯示。

文件

您可以在此選項卡中提供表單描述。

SAP IDM - 管理作業

在 SAP IDM 中，作業儲存在包下的作業資料夾中，並在身份儲存區內執行。可以執行以下操作：

建立新作業
啟用/停用現有作業
執行作業

要建立新作業，請選擇包的“作業資料夾”，然後選擇“新建”→“作業”。您可以輸入作業名稱，連線到排程程式並定義作業屬性。

您還可以定義作業屬性。要定義作業屬性，請在樹狀檢視中選擇作業，然後從上下文選單中單擊“屬性”選項。

以下是可用選項：

常規
日誌記錄
狀態
文件

要儲存對作業的更改，請轉到“檔案”→“儲存”。

在“常規”選項卡下，可以使用以下選項定義作業屬性：

啟用 - 此複選框可用於啟用/停用作業。

作業 ID/名稱 - 此處顯示唯一的 ID 和作業名稱。

排程規則 - 排程規則用於定義作業執行頻率。

排程時間 - 排程時間顯示作業計劃執行的時間。

您還可以選擇“執行”立即執行作業。排程時間將設定為當前時間。

要停止正在執行的作業，您可以單擊“停止”按鈕。

由排程程式執行 - 您可以選擇允許執行此作業的排程程式。

SAP IDM - 自助服務密碼重置

在 SAP IdM 8.0 或更高版本中，您可以為終端使用者配置登入幫助服務或自助服務密碼重置。使用登入幫助服務，終端使用者可以更改其密碼。要配置自助服務密碼重置，應滿足以下前提條件：

您應該在系統環境中至少執行一個排程程式。
除了管理員之外，還應該存在一個使用者帳戶。
應該配置一個身份管理使用者介面。
應該有一個 UME 角色，其中包含分配給 UME 中“匿名使用者”組的“idm_anonymous”操作。

下一步是為終端使用者建立密碼重置表單並將其新增到身份儲存配置。

請按照以下步驟建立密碼重置表單：

轉到 SAP IdM 開發者工作室→導航到您要為自助服務密碼重置建立表單的包→表單。

轉到上下文選單→新建→密碼重置。您可以將表單重新命名為 PasswordReset 表單。

接下來是分配匿名使用者組以允許訪問。為此，請轉到新建立表單的“訪問控制”選項卡→在“允許訪問”下拉列表中選擇“匿名”→“確定”。

要儲存更改，請轉到“檔案”→“儲存”。

定義密碼重置引數

要使用自助服務密碼重置，您需要定義密碼重置引數，例如應提示的問題數量、驗證所需的最小正確答案數量等。

要定義引數，請轉到密碼重置表單的上下文選單→屬性。導航到“引數”選項卡並根據需要配置引數。

SAP IDM - 設定電子郵件通知

您可以使用 SAP 配置框架中提供的通知包在 SAP Identity Management 8.0 中設定電子郵件通知。開發者工作室中有一個包“com.sap.idm.util.notification”，其中包含啟用通知所需的通知包和模板。

要配置電子郵件通知，您需要傳遞“NOTIFYEVENT”包常量的值，並使其指向通知模板。您可以使用以下通知事件型別：

NOTIFYEVENT_ASSIGNMENT_COMPLETED - 傳送與分配許可權相關的通知

NOTIFYEVENT_ASSIGNMENT_FAILED - 傳送與分配失敗相關的通知

NOTIFYEVENT_ASSIGNMENT_REVOKED - 傳送與訪問許可權刪除相關的通知

NOTIFYEVENT_PASSWORD_CHANGED - 傳送與密碼更改相關的通知

NOTIFYEVENT_USER_MODIFIED - 傳送與修改使用者帳戶相關的通知

NOTIFYEVENT_USERACCOUNT_CREATED - 傳送與使用者帳戶建立相關的通知

NOTIFYEVENT_USERACCOUNT_DELETED - 傳送有關使用者刪除的通知

NOTIFYEVENT_USERACCOUNT_DISABLED - 傳送與使用者帳戶停用相關的通知

NOTIFYEVENT_USERACCOUNT_ENABLED - 啟用使用者通知

要使用這些通知事件，您需要在 IdM 開發者工作室中籤出包並建立一個流程。

配置通知事件型別後，您需要在通知包常量中新增郵件模板名稱。

SAP IDM - 連線 SAP ABAP 系統

您可以配置 SAP Identity Management 系統以連線到 SAP ABAP 系統並配置 ABAP 使用者。在 SAP IdM 8.0 或更高版本的配置框架中，提供了一個名為“com.sap.idm.connector.abap”的獨立包中的聯結器。此聯結器可用於使 SAP Identity Management 系統與 SAP ABAP 系統通訊以進行使用者配置。

建立更新作業

在 IdM 開發者工作室樹狀檢視中，您必須選擇要為其建立作業的聯結器包。例如：對於 ABAP 聯結器包“com.sap.idm.connector.abap”。

接下來，轉到“作業”資料夾，複製初始作業載入並重命名 ABAP 更新所需的作業為“ABAP- 更新”。

保持以下透過啟用並停用其他透過：

ReadABAPRoles
ReadABAPProfiles
ReadABAPCompanyAddress
ReadJavaRoles
WriteABAPRolePrivileges - 只有在相應的 Read 透過處於活動狀態時
WriteABAPProfilePrivileges - 只有在相應的 Read 透過處於活動狀態時
WriteABAPCompanyAddress - 只有在 ReadJavaRoles 透過處於活動狀態時
WriteJavaRolePrivileges - 只有在相應的 ReadJavaRoles 透過處於活動狀態時

SAP IdM 開發者工作室中還有其他包可用於連線到其他 SAP 系統。您必須搜尋 SAP 配置框架包，選擇 IdM 檔案並選擇正確的檔案。

例如，要連線到 SAP HANA 系統，您可以選擇 HANA 聯結器包檔案“com.sap.idm.connector.hana.idmpck”。

選擇所需的包，該包將匯入到 Identity Management Developer Studio。

SAP IDM - 連線非 SAP 系統

要將非 SAP 系統連線到 SAP Identity Management，如果預設聯結器包不可用，則您可以為這些常用系統（JDBC、Web 服務、平面檔案、資料庫、LDAP 等）構建您自己的聯結器。

第一步是設定儲存庫和初始載入。要設定儲存庫，您可以使用儲存庫嚮導。

下表確認 SAP Identity Management 中提供的聯結器列表：

SAP IDM - 使用 SAP BW 進行身份報告

您還可以將 SAP Business Warehouse 系統用於報告目的。要將 BW 用於報告，您應該設定 SAP IDM 和 BW 之間的連線。之後，您需要將身份儲存資料傳輸到 BW。要連線 SAP BW，您可以使用 IdM 開發者工作室中提供的 SAP 包。

使用 SAP BW 進行報告時，需要以下軟體元件：

身份中心
虛擬目錄伺服器 (VDS)
SAP NetWeaver BW
BW 系統上的 Web 服務

要開始資料傳輸，您需要在身份中心建立一個作業，該作業會觸發來自虛擬目錄服務到 BW 系統持久暫存區的 Web 服務呼叫。

您可以根據要傳輸的資料量配置多個呼叫。這用於初始資料載入和執行後續增量載入。

SAP IDM - 使用 GRC 10.0 整合

您可以透過在身份中心啟用一組流程來將 SAP Identity Management 系統與訪問控制 GRC 整合。使用 SAP IdM 系統，您可以根據訪問控制中定義的合規性規則，在多個連線的系統中執行配置。根據身份管理和訪問控制之間定義的通訊，您可以觸發以下呼叫以實現角色同步。

RFC 通訊
Web 服務通訊

要將 GRC 配置框架匯入到身份中心，您可以在 SAP Identity Management 8.0 版本中使用單獨的包“com.sap.idm.grc.grc10”。此包提供儲存庫型別、初始配置流程、作業和指令碼以執行初始載入。

此包com.sap.idm.grc.grc10提供了一組內部和公共流程。以下是公共流程列表：

以下螢幕截圖顯示了將 GRC 訪問控制整合到 Identity Management 的包結構：

SAP IDM - 遷移到新版本

您還可以將 SAP Identity Management 7.1/7.2 升級到 8.0 版本。如果您使用的是 SAP IdM v7.1，則要升級到 8.0 版本，您需要先升級到 SAP IdM v7.2。要遷移到 SAP Identity Management 8.0，您的當前系統應該執行在 v7.2 SP09 或 v7.2 SP10 上。

SAP Identity Management v8.0 比舊版本有一些重要的改進：

可以選擇將 IDM Developer Studio 作為 Eclipse 外掛使用
易於與其他 SAP 系統整合
更好的安全性和訪問控制

在開始升級之前，應執行以下檢查：

所有排程程式都應停止。
REST API 和使用者介面應停止。
應備份資料庫和身份資料。
要升級 SAP IdM 資料庫，您應該使用 mxmc_update 指令碼。

您可以單獨執行 SAP Idm 8.0 版本的安裝，安裝後，您需要將 key.ini 檔案從 7.2 系統複製到指定的路徑：

在資料庫節點上使用此位置 - /usr/sap//SYS/global/security/data/Key/Keys.ini
在執行時環境中使用此位置 - /usr/sap//IDM/Identity_Center/Key/Keys.ini
您應該將 Keys.ini 檔案設定為引用此路徑 - \\\sapmnt\\SYS\global\security\data\Key\Keys.ini，其中是 SAP Identity Management 系統的 SAP 系統 ID
接下來，執行從 SAP IdM v7.2 匯入身份儲存
接下來，執行從 SAP IdM v7.2 匯入儲存庫
接下來，執行從 SAP IdM v7.2 匯入作業資料夾
接下來，執行從 SAP IdM v7.2 匯入資料

SAP IDM - 工作職責

SAP IdM 管理員的主要職責如下：

具有至少 3-6 年的 SAP IdM 經驗
將 IdM 連線到 SAP 和非 SAP 系統、AD 系統和資料庫的經驗
處理基於業務角色的分配的能力
設定和監控IdM作業
良好理解和經驗，熟悉SAP安全和授權
執行SAP IdM任務的經驗——使用者管理、業務和流程工作流、身份儲存管理
為不同的SAP和非SAP應用程式設定儲存庫
瞭解SAP GRC v10訪問控制和基於角色的職責分離，包括GRC規則
良好理解資訊安全控制和ISO27001控制知識

列印頁面