SAP GRC系统与许多SAP应用程序进行了开箱即用的集成,还支持向HANA DB进行资源调配,LDAP和企业门户应用程序。
由于技术发生了许多变化,而且客户也使用基于各种技术构建的应用程序,因此SAP GRC访问控制解决方案在支持非SAP系统的资源调配方面始终具有挑战性。此外,与非SAP系统的集成并不简单,需要在目标应用程序和GRC系统中进行一定程度的定制。
本博客的目的是解释GRC系统如何使用GRC中的"手动设置"选项处理非SAP系统的用户访问设置,而无需额外定制方面的努力。
下面讨论的细节将更多地介绍技术设置,为了说明,我使用了"ARIBA"作为与GRC集成的目标系统。
让我们看看如何设置此功能,以及如何在GRC 10/10.1/12.0系统(端到端)中进行测试。
在SM59中创建连接类型为的连接器作为"L"(逻辑目的地)。为了便于说明,我使用ARIBA作为连接器名称。
在以下IMG路径中定义连接器:连接器将使用连接类型"FILE"。
SPRO->IMG->GRC->公共组件设置->集成框架->维护连接器和连接类型->定义连接器
在中定义连接器组以下IMG路径并将ARIBA连接器分配给该连接器组
SPRO->IMG->GRC->通用组件设置->集成框架->维护连接器和连接类型->定义连接器组
维护连接设置
连接器必须分配给所有AC相关的集成场景(ROLMG、SUPMG、AUTH、,PROV)可用,因为这是一个好的实践。
SPRO->IMG->GRC->公共组件设置->集成框架->维护连接设置
对于"AUTH"集成场景,物联网是学什么的,分配"ARIBA"连接器
对于"PROV"集成场景,分配"ARIBA"连接器
对于"ROLMG"集成场景,为"SUPMG"集成场景分配"ARIBA"连接器
,分配"ARIBA"连接器
维护连接器设置
在以下路径中维护连接器设置:
SPRO->IMG->GRC->公共组件设置->集成框架->维护连接器设置
维护动作和连接器组的映射
在此配置中,您可以将动作分配给连接器组,海淘客,并且然后为每个组选择默认连接器
以启用手动设置并运行风险分析。前提是将非SAP系统的用户和角色数据加载到GRC系统中。
对于此数据加载,我们将遵循SAP GRC提供的方法为遗留系统加载数据。
执行事务文件,下面的屏幕截图将显示为:
在文件事务中定义相关的逻辑和物理路径
逻辑文件名是操作系统级别的文件路径,可以使用"文件"访问事务
物理文件名是应用服务器级的文件路径,可以使用"AL11"事务访问。
AL11目录和关联路径
对于所有逻辑路径,维护相同的物理路径,这意味着需要用于同步非SAP用户和角色数据的所有相关文件都需要上载到相同的物理路径。
逻辑文件名定义,跨客户机-在该步骤中,您维护所有客户机的逻辑文件名。逻辑文件名的定义包括以下值:逻辑文件名。
下面突出显示的文件名将是实际的文件名,其中非SAP数据将被维护并上传到应用服务器,并且可以从AL11查看。
在此配置中维护连接设置
,将连接器分配给集成场景。应用程序使用连接器与您环境中的其他系统通信
对于"AUTH"集成场景,分配"ARIBA"连接器
对于"AUTH"集成场景,我们需要维护上一步中定义的逻辑路径,因为相应的用户和角色数据将从此路径中的文件中检索。
在连接器配置中配置逻辑路径时,必须遵循以下文件ID命名约定,淘客宝,企业服务软件,因为这些名称在相应的程序逻辑中是硬编码的。
文件ID格式和文件内容详细说明哪些字段是必填字段、可选字段等,大数据怎么查询,对于上述文件,可以按照以下SAP说明中指定的格式执行:
1594963–GRC访问控制10–如何配置旧连接器
示例:
下面的屏幕截图显示了CL\u GRAC\u AD\u AUTH\u MGMT\u类文件下的"Get Action"信息方法,您可以看到文件ID名称。只是要强调的是,SAP GRC根据RFC、HDB、LDAP、WS、FILE、IDM\ U OB等不同的连接器类型有不同的授权和访问管理类。下面的屏幕截图是与文件类相关的方法:
定义用户、角色、配置文件、操作、权限、用户操作、用户权限、角色操作的逻辑文件路径,角色权限、配置文件操作、配置文件权限。因此,逻辑路径将更新如下:
示例文件的内容如下:
动作文件
用户文件
用户动作文件
角色文件
角色动作文件
上传到应用服务器,我们将使用标准的SAP功能模块"ARCHIVFILE\u CLIENT\u TO\u SERVER"
执行功能模块并提供输入:
路径:文件存储在PC中的本地路径
目标路径:与在文件事务中配置逻辑路径时使用的物理路径相同
对所有相关文件执行功能模块后,所有文件都将得到上传到应用服务器
上传完所有文件后,可以执行以下SAP标准同步作业:
PFCG授权同步
角色数据同步
用户数据同步
以上同步作业完成后,ARIBA角色将上传到BRM并进一步用于设置。
ARIBA角色导入
将ARIBA角色导入GRC系统
将您的非SAP系统(在本场景中为ARIBA)的设置设置为"手动设置"
提交ARIBA角色的"访问请求",然后手动处理设置。