Manual SAP ADM900
Manual SAP ADM900
Manual SAP ADM900
Ejercicio 10
Ejemplo de negocios
Su sistema SAP Gestión de Identidad acaba de ser actualizado con información de identificación de empleado de su compañía. ¿Quieres probar esta
nueva herramienta mediante la actualización de la información de la dirección y el aprovisionamiento de su usuario a un nuevo sistema.
7. Una vez que los nuevos privilegios aparecen en la tabla, inicie una sesión en el cliente ZMG 900 con su usuario.
Ejemplo de negocios
Su sistema SAP Gestión de Identidad acaba de ser actualizado con información de identificación de empleado de su compañía. ¿Quieres probar esta
nueva herramienta mediante la actualización de la información de la dirección y el aprovisionamiento de su usuario a un nuevo sistema.
una) Abra un navegador dentro Citirx e ir a la URL: http: // wdflbmt0620: 50000 / IDM.
segundo) Introduzca su nombre de usuario ADM900 - ## y la contraseña Bienvenido para restablecer su contraseña si
mi) Escoger Elegir Tarea, y luego expandir Identidad seleccionando la flecha negro.
una) Sobre el Atributos generales pestaña, vaya a la Asociado con dirección de la compañía zona.
una) Sobre el Los roles y privilegios asignados pestaña, en el mostrar campo, seleccione Privilegio.
una) Sobre el SAP Gestión de Identidad pantalla, seleccione la Gestionar pestaña y seleccione su
usuario.
do) Elija Buscar hasta que el nuevo acceso que acaba de asignar a su usuario aparece en la
Nombre para mostrar zona.
7. Una vez que los nuevos privilegios aparecen en la tabla, inicie una sesión en el cliente ZMG 900 con su usuario.
Nota:
Si no puede iniciar sesión en el cliente 900, pregunte a su instructor para obtener ayuda.
Resumen de la lección
Ahora debería ser capaz de:
Resumen de la lección
Esta lección presenta los principios de administración de usuarios central (CUA) y proporciona ayuda a la decisión. La
lección también cubre los pasos necesarios para configurar CUA.
OBJETIVOS DE LA LECCIÓN
Fundamentos de la CUA
La información del usuario se almacena de una manera específica del cliente en sistemas SAP. Esto significa que cada cliente en
un sistema tiene su propio grupo, independiente de usuarios permitidos. Si usted tiene un paisaje complejo sistema en su
empresa, es posible que tenga más de uno de los tres tipos de sistema estándar (Desarrollo (DEV), Garantía de Calidad (QAS), y
Producción (PRD)).
Insinuación:
Por ejemplo, hay tres sistemas de producción de SAP: un SAP Supply Chain Management aplicación
para la planificación de la producción, un ERP Componente central SAP (SAP) como un sistema de
producción de ERP, y un cliente de SAP Gestión de Relación con el sistema (SAP SCM) (SAP CRM) .
Estos sistemas son considerados como sistemas PRD.
Los usuarios se mantienen en el sistema y el cliente respectivo. Si, por ejemplo, un desarrollador se retira de su empresa, usted debe
asegurarse de que el registro de usuario relevante se elimina de todos los clientes afectados. Debe asegurarse de que el usuario
correspondiente está bloqueado. Si usted no sabe exactamente en qué áreas de su colega trabajó como desarrollador, tienes que entrar
a cada cliente individual que él o ella puede haber usado, y buscar manualmente y eliminar el usuario (colega). En los paisajes
complejos, esta tarea se vuelve confuso. Esto puede conducir a brechas de seguridad potenciales en su administración de usuarios y
puede resultar en costos significativos para el mantenimiento de usuario consistente.
Nota:
Los usuarios que ya no se van a utilizar para iniciar sesión en el sistema SAP deben ser bloqueados y no se
borran.
La figura muestra la estructura de administración de usuarios en un escenario clásico con múltiples sistemas SAP.
Como se puede ver en la figura, el número de clientes interesantes (es decir, clientes que no sean
000, 001, y 066) a ser administrado es 17, incluso en este ejemplo sencillo. Los clientes que se muestran se utilizan para diferentes
propósitos. Por ejemplo, el cliente 200 no es necesaria en el sistema de producción del sistema SAP ECC, porque es un cliente de
prueba.
Para determinar datos de usuario utilizando CUA, los siguientes puntos deben ser definidos:
Los requisitos previos para la aplicación eficiente de CUA son los siguientes:
● Hay un gran número de usuarios idénticos en varios clientes.
● Desea reducir el costo de administración de usuarios distribuidos compleja mediante la implementación de CUA.
Estos requisitos deben existir en el entorno del sistema antes de la puesta en práctica de CUA, de lo contrario, la reducción de
trabajo debido a la aplicación de CUA no será óptima. Sin embargo, estos requisitos no son totalmente auto-explicativo. Por ejemplo,
si usted tiene un paisaje de tres sistema estándar en el que cada usuario trabaja principalmente en un cliente, y los grupos de
usuarios en los diferentes clientes son completamente diferentes, el ahorro de costes debido a la implementación de la CUA no es
particularmente grande. La situación es similar si se utiliza usuarios idénticos en varios clientes, pero su infraestructura de sistemas
contiene sólo unos pocos clientes o el número de usuarios administrados no es muy alta.
Insinuación:
CUA también puede simplificar la administración de usuarios en pequeños entornos de sistemas. Esto se debe a que los
registros maestros de usuario se administran entonces sólo en un cliente de la infraestructura del sistema, que está
claramente establecido. Esto aumenta la seguridad de los sistemas que administra.
La figura muestra todo el trabajo se puede realizar en relación con los registros maestros de usuario de un cliente central cuando
se implementa CUA. En este ejemplo, dos paisajes CUA se utilizan para administrar los usuarios en los sistemas de producción y
de prueba, y los sistemas de desarrollo no se gestionan como parte de CUA.
CUA reside en un sistema dedicado. El uso de CUA, puede distribuir la siguiente información desde el sistema central para los
sistemas de los niños mediante el uso de la tecnología ALE. La información es
sobre la cual existen usuarios en el que el sistema, en el que el cliente, con la que los roles y las tareas del perfil.
También puede distribuir la contraseña inicial. También puede distribuir la contraseña inicial.
Insinuación:
ALE es una herramienta poderosa. Sólo una pequeña parte de sus múltiples posibilidades se puede explicar en el
contexto de la CUA.
● CUA se puede implementar utilizando un sistema que ejecuta al menos SAP 4.6C Bases y superiores. El sistema debe ser lo
más actualizada posible, con los últimos paquetes de soporte y parches del kernel.
● CUA puede ser utilizado de liberación cruz, aunque un sistema enlazado debe tener al menos SAP Basis
4.5B (y también debe tener un estatus actual de soporte de la serie como sea posible).
● CUA también se puede utilizar, por ejemplo, para la administración de usuarios en SAP NetWeaver Business Warehouse (SAP
NetWeaver BW), SAP CRM, SAP y proveedores de sistemas de gestión de relaciones (SAP SRM). Sin embargo, se debe hacer
referencia a SAP Notas sobre este tema antes de implementar CUA.
En un sistema integrado ALE, SAP y no SAP sistemas pueden tener que comunicarse entre sí. Los sistemas conectados entre sí
se denominan sistemas lógicos. Los sistemas lógicos en el contexto de la CUA son en realidad los clientes que los usuarios
necesitan ser mantenidos. Un sistema SAP solo puede alojar múltiples sistemas lógicos en términos de ALE (y CUA). El
intercambio de datos en un sistema ALE-integrada se realiza mediante el intercambio de documentos intermedios (IDocs) por
Remote Function Call (RFC).
Precaución:
Asegúrese de que si CUA está en uso y definiciones de función son transportados (por medio de solicitudes de
transporte de un sistema a otro), las asignaciones de usuario a las funciones no deben ser transportados.
Si CUA está en uso y el papel definiciones, incluyendo asignaciones de usuario, son transportados al mismo tiempo, las
discrepancias puedan surgir en la asignación de usuario a roles. Puede evitar estos problemas como se describe en la
nota SAP 571276: PFCG: Transporte de funciones utilizando la transacción SM30 estableciendo la entrada
CUA general
Nota:
El término “usuarios técnicos” se refiere a los usuarios de técnicas en los términos de clasificación de usuario para la
medición del sistema. En este caso, la clase de usuarios técnicos representa usuarios para los que se pagan no hay
derechos de licencia. Los usuarios de técnicas que se utilizan para CUA son del tipo de sistema (creado en SU01
transacción). Aunque la documentación de SAP y Notas a veces se refieren a los usuarios del tipo Comunicación. Sin
embargo, esta recomendación no está actualizado porque los usuarios del tipo Comunicación, a diferencia de los
usuarios del tipo Sistema,
Precaución:
En esta sección, sólo se usan los términos “sistema central” y “Sistema de niño”. Estos términos se refieren
específicamente a los clientes (sistemas lógicos). Por lo tanto, si y nuestra empresa corre el CUA CUA
central y niño en el mismo sistema SAP (en diferentes clientes), los términos “sistema central” y “Sistema de
niño” se refieren a diferentes clientes en el mismo sistema SAP.
4. En el Log.System columna, crear un nuevo nombre lógico en letras mayúsculas, para que pueda
identificar fácilmente los sistemas por sus nombres más adelante.
La convención de nomenclatura para los nombres de sistema lógico es <SID> CLNT ###, donde se reemplaza <SID> con
el ID del sistema relevante y ### con el número de cliente relevante, por ejemplo, DEVCLNT100. Introduzca el nombre del
sistema lógico, como el sistema central o sistema de niño.
6. Crear el nombre de sistema lógico del sistema central y el nombre del niño relevante en toda la
sistemas niño.
● Enviar la solicitud de transporte generado en la etapa 5 (que contiene los nombres de todos los sistemas lógicos) a todos los otros
sistemas en CUA.
● Realice los pasos 1 a 4 en todos los sistemas secundarios del CUA. Crear el nombre de sistema lógico del sistema central
y sistema de niño relevante en cada caso.
Insinuación:
Los datos para los sistemas lógicos se crea a través del cliente. Si hay varios sistemas lógicos de
CUA en un sistema SAP, es necesario realizar los pasos del 1 al 5 (o importar la solicitud de
transporte) sólo una vez.
También puede utilizar las transacciones de venta para asignar los sistemas lógicos. Para ello, seleccione Ajustes básicos → Sistemas
lógicos → Asignar sistema lógico de cliente o ejecutar SCC4 transacción directamente. Como alternativa, puede editar la tabla T000
utilizando la transacción SM30. Después de cambiar al modo de modificación, se puede asignar una entrada adecuada al sistema
lógico de campo en la vista detallada de los atributos del cliente. Al hacerlo, utilice la Ayuda para entradas (F4) para evitar errores de
entrada. Seleccione la entrada apropiada, tal como DEVCLNT100, si desea asignar este sistema lógico cliente 100 en el sistema DEV.
Hacer esta asignación de los sistemas lógicos para todos los clientes involucrados en CUA (en todos los sistemas implicados).
Insinuación:
En este punto, se puede demostrar transacciones reducido BD54 y SCC4 en el sistema de formación. Como
parte de la eCATT inicial (llamado ZT_RUNONCE), sistemas lógicos deberían haber sido creado y asignado
correctamente.
Se requiere una conexión RFC separada, adicional para conectar el sistema central a sí mismo. usuarios especiales se
utilizan para estas conexiones RFC. Estas técnicas son usuarios del sistema de tipo y sus autorizaciones están claramente
delimitadas usando funciones predefinidas.
Nota:
Para obtener más información acerca de las autorizaciones mínimas CUA para los usuarios de comunicación, véase la
nota SAP 492589. Los compuestos de los grupos de funciones SAP_BC_USR_CUA juntos los diferentes roles para los
usuarios del servicio de CUA. El rol compuesto se utiliza sólo con fines de documentación. Los papeles individuales que
contiene se asignan directamente a los usuarios del servicio.
conexiones RFC son necesarios desde el sistema central para todos los sistemas de niño. Estas conexiones RFC utilizan los
usuarios en los sistemas de los niños. La convención de nomenclatura recomendada para estos usuarios es CUA_ <SID> _ ###,
donde <SID> se reemplaza con el ID del sistema del sistema de infantil y ### con el número de cliente está tratando en el sistema
de niño. Este usuario también requiere autorizaciones que están contenidos en la SAP_BC_USR_CUA_SETUP_CLIENT papeles y
SAP_BC_USR_CUA_CLIENT. Sin embargo, no se debe asignar las funciones de SAP entregados a los usuarios técnicos, sino
copias de estas funciones para las que se han creado perfiles de autorización con el mantenimiento de papel (transacción PFCG).
Por simplicidad, el nombre de las copias de los papeles de SAP mediante la adición Z_ al principio del nombre, es decir,
Z_SAP_BC_USR_CUA_SETUP_CLIENT y Z_SAP_BC_USR_CUA_CLIENT.
Insinuación:
Insinuación:
También se requieren conexiones RFC de los sistemas niño al sistema central. Cada sistema de niño debe ser capaz
de abrir una conexión RFC al sistema central.
Insinuación:
Puesto que las conexiones RFC se pueden utilizar a través del cliente (todos los clientes de un sistema puede
usar una conexión compartida RFC), es necesario crear una sola conexión RFC al sistema central si hay
varios sistemas niño en un sistema SAP.
La conexión del sistema del niño al sistema central utiliza un usuario técnico del Sistema tipo que debe ser conocido en
el sistema central. Este usuario debe tener el ID de CUA_ <SID>. En este caso, <SID> es el ID del sistema del sistema
de niño que se comunica con el sistema central utilizando este usuario.
Nota:
El Z_SAP_BC_USR_CUA_CENTRAL_BDIST función es requerida por el usuario en la conexión RFC si los
atributos de la ESPUMA transacción se establecen para la redistribución.
Nota:
Además de las conexiones RFC de los sistemas niño al sistema central, también necesita una conexión
RFC del sistema central a sí mismo (loopback). Esta conexión también utiliza el usuario con ID CUA_
<SID>, donde <SID> es el identificador del sistema central. Las autorizaciones necesarias están
contenidas en los papeles Z_SAP_BC_USR_CUA_SETUP_CENTRAL,
Z_SAP_BC_USR_CUA_CENTRAL, y Z_SAP_BC_USR_CUA_CENTRAL_BDIST.
Insinuación:
Para obtener información general acerca de las autorizaciones y roles necesarios suministrados por
SAP en el entorno CUA, véase la nota SAP 492589 - CUA: autorizaciones mínimas para los usuarios
de la comunicación.
Después de crear los usuarios con las asignaciones de funciones apropiadas en todos los clientes involucrados, es necesario definir
únicamente las conexiones RFC en la transacción SM59. Puede hacerlo mediante la realización de los siguientes pasos:
Tipo de conección 3
Precaución:
El nombre del destino RFC debe ser idéntico al sistema de lógica que desea para hacer frente
con la conexión RFC. La conexión RFC se debe especificar en letras mayúsculas.
4. Pulse la tecla Intro. En la etiqueta Opciones Técnicas, realizar los siguientes ajustes:
● Si desea restringir la función de CUA a un determinado grupo de servidores, se puede especificar el grupo de inicio de
sesión después de seleccionar el balance de carga: Sí botón de opción y elegir el botón Volver.
● Si no desea utilizar la distribución de carga, especifique el nombre del host en el que la instancia central de su
sistema de destino se ejecuta como host de destino y especificar el número de instancia de la instancia central.
5. En la página de inicio de sesión pestaña y seguridad, especifique el cliente del sistema lógico requerido y la
técnica para el usuario CUA_ <SID> _ ### (por ejemplo, CUA_QAS_200 o CUA_DEV_200) y una contraseña (en su
curso de formación, esta contraseña se especifica por el instructor antes del inicio del curso).
Para configurar la conexión RFC requerida del sistema de niño al sistema central, iniciar sesión en el sistema de niño y
realizar los pasos 1 a 7 de nuevo. Utilizar el usuario CUA_ <SID>, donde <SID> es el ID del sistema del sistema de niño.
También debe configurar la conexión RFC del sistema central a sí mismo.
Nota:
También puede utilizar las conexiones RFC confianza para la comunicación CUA. Esto aumenta la seguridad de su
comunicación CUA más. Para obtener información acerca de la configuración CUA utilizando conexiones RFC
confianza, consulte la documentación en línea.
La activación CUA
Después de activar con éxito CUA, que ya no será capaz de crear los usuarios en los sistemas que utilizan los niños vinculados
SU01 transacción. Antes de activar CUA, todavía es posible crear nuevos usuarios que utilizan SU01 transacción en un sistema
de niño.
se realizan automáticamente por el sistema. Para llevar a cabo la activación CUA, siga los siguientes pasos:
4. Escoger Crear.
5. Introduzca los nombres de todos los sistemas del niño que va a conectar en el Recipiente columna.
Si expande los nodos de los sistemas individuales, aparece el siguiente mensaje para cada sistema:
modelo de distribución ALE fue salvado se inició Administración de usuarios activada la comparación
del texto central
Nota:
Si se muestran mensajes de problemas aquí, siga el procedimiento en la nota SAP 333441 - CUA: consejos
para el análisis de problemas.
Configuración CUA
Cuando se activa CUA, el sistema lleva a cabo la siguiente configuración pasos automáticamente:
1. El modelo ALE correspondiente se crea o ajustado para que coincida con el nuevo modelo si CUA
se han realizado cambios.
3. comparación de texto con los sistemas niño se lleva a cabo para las funciones (y perfiles). El modelo de distribución
ALE define las aplicaciones que se comunican entre sí en los sistemas distribuidos y que los tipos de datos se distribuyen.
Es necesario un modelo de distribución ALE separado para CUA. En el sistema central, se define la estructura de su CUA
en la vista del modelo, que luego se distribuye a los sistemas niño.
En el modelo de distribución ALE a ser definido para CUA, se distribuyen los siguientes tipos de datos:
● direcciones de la empresa
En el modelo de distribución, se requieren dos métodos para distribuir datos de usuario y direcciones de la empresa. Para poner en
práctica estos métodos, el modelo de distribución utiliza el método de clonación de las interfaces de programación de aplicaciones de
negocios (BAPIs) del usuario y el usuario objetos de negocio de la empresa. Se puede ver el modelo socio en BD64 transacción.
perfiles de socios definen las condiciones para el intercambio electrónico de datos a través de la interfase IDOC. Si no existe un perfil
de socio, no podrá comunicarse con el dispositivo a través de la interfase IDOC. Se pueden visualizar estos perfiles de socios en
WE20 transacción. Las tablas de verificación y textos para los roles, perfiles y datos de licencia en los sistemas individuales de los
niños se guardan temporalmente en el sistema central. Esto significa que se pueden visualizar de forma rápida. Si se han cambiado, lo
que tiene que ejecutar la comparación de texto. Si ejecuta la comparación de texto en el sistema central, se pueden seleccionar los
sistemas infantiles de la que los datos van a ser leído. Si ejecuta la comparación de texto en un sistema de niño, los datos actuales se
envía al sistema central CUA.
Insinuación:
Las funciones de transacción SCUA se han mejorado a través de módulos de apoyo. Para obtener
más información, véase la nota SAP 952349.
Precaución:
Incluso si los usuarios ya no pueden ser creados en los sistemas niño, CUA está en pleno funcionamiento sólo
Para cada campo de la transacción SU01, puede utilizar SCUM transacción para determinar el sistema en el que el contenido del
campo se puede administrar.
● Global
Usted puede mantener sólo los datos en el sistema central. Los datos se distribuyen automáticamente a los
sistemas de niño. Los valores de los campos correspondientes no se pueden cambiar allí; los valores sólo se
pueden mostrar.
● Local
Usted puede mantener sólo los datos en el sistema de niño. Los cambios no se distribuyen a otros sistemas.
● Propuesta
Usted ha mantenido un valor por defecto en el sistema central que se distribuye automáticamente a los sistemas de los
niños cuando se crea un usuario. Después de la distribución, los datos se mantienen sólo a nivel local y ya no se distribuye
si cambia en el sistema central o el niño.
● Redistribución (Redist)
Puede mantener los datos tanto a nivel central y local. Cada vez que se cambian los datos, el cambio se
distribuye de vuelta al sistema central y luego se envía desde allí a los otros sistemas niño.
Usted puede encontrar esta opción sólo en la pestaña de bloqueo y para las contraseñas iniciales (la página de inicio de sesión pestaña de
Datos). Puede mantener las contraseñas y los datos iniciales de bloqueo a nivel central y local. Sin embargo, sólo los cambios realizados en
los datos en el sistema central se distribuyen a los otros sistemas. Los cambios locales en los sistemas de los niños no se distribuyen.
Precaución:
Si posteriormente cambia la distribución del local o propuesta a Global o redistribución, datos inconsistentes pueden
ser creados. La única excepción es que se puede restablecer los indicadores sobre la pestaña de bloqueo en
cualquier momento y sin peligro. Garantizar que se tiene en cuenta la nota SAP 611972 - SCUM: Cambio de
parámetros de la distribución de campo.
Insinuación:
Los ajustes de los parámetros de la distribución se envían automáticamente a los sistemas niño.
La siguiente tabla enumera las recomendaciones para la configuración de la distribución de los parámetros para un
número de campos:
Campo Ajuste
Campo Ajuste
parámetros Propuesta
Los campos de datos que los usuarios mantienen ellos mismos Redistribución o local
La recomendación para una configuración global se aplica a todos los campos que no figuran (con la excepción de las cerraduras).
Nota:
Para obtener información acerca de la gestión de bloqueo para sus usuarios (por ejemplo, debido a demasiados intentos fallidos de
Para optimizar la distribución ALE de CUA, puede ejecutar (por separado) el procesamiento de salida y
procesamiento de entrada del IDOC en el fondo.
Nota:
Puede encontrar más información sobre esto en la documentación en línea bajo la palabra clave en
proceso de fondo activada.
En los sistemas convencionales, la activación de CUA (utilizando la transacción SCUA) genera perfiles de socios en los
sistemas niño que permiten el procesamiento inmediato (síncrona) (en línea).
Nota:
Para comprobar los perfiles de socio, WE20 transacción se ejecute en el sistema de niño. Navegue hasta el perfil de
socio por la elección Perfiles de los socios → Socio Tipo LS → < Sistema lógico del sistema central>. En la primera
pestaña, haga doble clic en los parámetros de entrada para los tipos de mensajes CCLONE y USERCLONE. Tomar
nota del procesamiento por la configuración del módulo de funciones en el Opciones entrantes pestaña.
En los sistemas convencionales, la recepción de la IDOC se separa de la transformación IDOC (véase la nota SAP 555229). El
proceso de trabajo de diálogo reservado para la comunicación RFC no procesa los IDOCs transferidos a sí mismo. Si un IDOC no
se puede procesar inmediatamente porque no hay procesos de trabajo de diálogo están disponibles, el sistema programa un job
de fondo (con la RBDAPP01 paso) para este IDOC con un inicio inmediato. El usuario que se utiliza para la comunicación RFC
requiere autorizaciones adicionales para este escenario (véase la nota SAP 492589).
Nota:
Programación del trabajo en segundo plano es controlada por las entradas de la tabla de TEDEF. En los sistemas
convencionales, esta tabla (para los clientes actuales) contiene una entrada con los valores EVENTT = TRFC-IDOC y ROUTID
= tareas lote.
Si cambia la entrada de la tabla de EVENTT = TRFC-IDOC y ROUTID = SYNCHRON, el sistema actualiza todos
los IDOC desde el proceso de trabajo de diálogo que se utilizan actualmente para la comunicación RFC. En
todas las aplicaciones, la mesa de TEDEF controla el procesamiento de todos los IDOC que se envían a los
clientes actuales.
Puede utilizar el informe RSESYNMESTYP para convertir el procesamiento de IDOC para el procesamiento sincrónico, dependiendo del
tipo de mensaje enviado, el tipo IDOC, o la extensión. El CCLONE tipos de mensajes y USERCLONE son relevantes para CUA.
Puede utilizar SUCOMP transacción para administrar los datos de dirección de la empresa. Puede utilizar SCUG transacción en el
sistema central para llevar a cabo las actividades de sincronización entre el sistema central y los sistemas niño. Esta sincronización
se realiza mediante la selección de su sistema de niño en la pantalla inicial de SCUG transacción y luego elegir Sincronizar
direcciones de la empresa en el Sistema Central. Para obtener más información, consulte la documentación en línea.
Nota:
Para obtener más información al respecto, consulte la documentación en línea. Alternativamente, se puede comparar
direcciones de la empresa utilizando la transacción SCUC. No es posible transferir datos de usuario en esta transacción.
Para poder transferir los usuarios de un sistema de niño al sistema central o distribuirlos desde el sistema central a un sistema de
niño, el grupo de usuarios al que está asignado el usuario debe existir en todos los sistemas en los que el usuario existe.
Después de sincronizar las direcciones de la empresa, puede transferir los usuarios de los sistemas niño recién conectados a la
administración central. Puede hacerlo utilizando SCUG transacción en el sistema central. En la pantalla inicial de la transacción
SCUG, seleccione su sistema de niño y luego seleccione Copiar usuarios al sistema central. Las opciones de transferencia de
usuario son los siguientes:
● Usuarios nuevos
Estos usuarios aún no están contenidas en CUA. Al elegir los usuarios de transferencia, puede transferir los usuarios seleccionados al sistema
central. Todos los parámetros de usuario (como la dirección, los datos de inicio de sesión, y así sucesivamente), perfiles, y los papeles son
● usuarios idénticos
Hay los ID de usuario idénticos (el ID de usuario o la identificación es la cadena que se introduce en el campo de usuario en la
pantalla de inicio de sesión SAP). Por ejemplo, estos podrían ser los ID de usuario con idénticos nombres y apellidos. Puede
transferir las funciones y datos del perfil de este usuario al sistema central. El usuario se distribuye a continuación, tal como existe en
el sistema central. Los datos locales se sobrescribe. En tales casos, se supone que, por ejemplo, el ID de MOOREJ que existe en
múltiples sistemas lógicos, con el último nombre de Moore y el primer nombre Jane, siempre pertenece a la misma persona. En las
grandes empresas, esta suposición no siempre es correcta. Por esta razón, se debe utilizar cadenas de caracteres únicos, tales
como el número de personal como el ID de usuario.
● diferentes usuarios
Estos ID de usuario existir tanto en los sistemas centrales e infantiles, pero el usuario tiene un primer y / o último nombre diferente. Si, en
un caso individual, estos identificadores se refieren en realidad al mismo usuario, puede transferir las funciones y datos del perfil que
pertenecen al usuario al sistema central. El usuario se distribuye a continuación, tal como existe en el sistema central. Si los ID no se
refieren a un mismo usuario, utilice CUA para crear un nuevo ID de usuario en el sistema de niño por uno de los usuarios y eliminar el viejo
sistema de identificación en el niño.
Alternativamente, se puede asignar un nuevo ID de usuario en el sistema de niño (si diferentes empleados tienen un ID idénticos
en diferentes clientes). Para este propósito, se puede iniciar la transacción SU01 en el sistema del niño y elegir usuarios → Rebautizar.
Si se reinicia la transferencia usuario, éste aparece como un nuevo usuario en lugar de un usuario diferente.
● usuario ya el centro
Insinuación:
Una función está disponible para la copia de los usuarios. Puede acceder a esta función mediante pulsadores en SCUG
transacción si se selecciona la página ya pestaña central de usuario. El uso de estos botones, puede transferir
asignaciones de funciones, tareas de perfil, y la clasificación de licencia de los usuarios de los sistemas de los niños,
especialmente en los casos en los que (a pesar de CUA de estar en uso) la administración correspondiente se llevó a
cabo hasta ahora en los sistemas de los niños (en línea con los ajustes en la ESPUMA transacción).
Nota:
Para obtener más información, véase la nota SAP 704412 - CUA apoyo para el mantenimiento de datos de la licencia.
Insinuación:
Hasta que se complete la transferencia del usuario, los sistemas niño afectado todavía contienen (inesperado) opciones de
procesamiento para los usuarios que no hayan sido transferidos, tales como la función de eliminación para los usuarios en SU01
transacción.
Se utiliza la pantalla de registro (transacción SCUL) principalmente para comprobar el estado de la distribución de IDOC para cambiar las
direcciones de empresas o usuarios. Si cambia una dirección de empresa en el centro
sistema de CUA, esto se replica y un IDOC CCLONE se envía a cada sistema de niño de CUA. Si cambia un usuario en el sistema
central CUA, los datos de usuario también se distribuye a los sistemas secundarios asignado a este usuario. A lo sumo, tres IDOC
USERCLONExx son enviados por cada usuario: atributos de usuario (USER), asignación del perfil (PERFIL), y la asignación de
funciones (ACTGRP). A continuación, puede ver en la lista de resultados de la visualización del registro si el usuario o la dirección de
la empresa se ha replicado con éxito a los sistemas niño.
Insinuación:
Puede que no sea posible procesar completamente IDocs con los cambios del usuario en el sistema de niño (estado no
confirmada en la transacción SCUL) porque no hay suficientes procesos de trabajo de diálogo están disponibles (en el
sistema niño o instancia contactado). En este caso, puede iniciar el procesamiento posterior de los IDOC en el sistema de
niño usando BD87 transacción o bien optar por el proceso de entrada de los IDOC en el proceso de fondo. Para obtener
más información acerca de los IDOC, véase la nota SAP 399271 - CUA: Consejos para optimizar el rendimiento de
distribución ALE.
Nota:
sistemas lógicos se crean y se asignan por un eCATT inicial (llamado ZT_RUNONCE), que debe ser
ejecutado como parte del procedimiento de actualización del sistema.
1. Iniciar sesión en el sistema central (cliente ZMC 800) y comprobar si la lógica necesaria
sistemas se enumeran.
una) Iniciar sesión en el sistema central CUA como identificador de usuario de administración ADM900 - ##.
do) Sobre el pantalla IMG pantalla, seleccione Ajustes básicos → Sistemas lógicos → Definir
Sistema lógico.
2. En el sistema central CUA (cliente ZMC 800), comprobar si los sistemas lógicos requeridos
son asignados correctamente.
do) Sobre el pantalla IMG pantalla, seleccione Ajustes básicos → Sistemas lógicos → Asignar
Sistema lógico de cliente.
mi) Haga doble clic en el cliente que representa el sistema central (800) para mostrar el cliente
información detallada.
F) Verificar que el sistema lógico adecuado es asignado. Si no es así, asignarle (utilizando la ayuda F4).
3. Iniciar sesión en el sistema de niño CUA (cliente ZMG 900) y comprobar si la lógica necesaria
sistemas se enumeran.
una) Iniciar sesión en el sistema de niño CUA como ID de usuario de administración ADM900 - ##. La contraseña
es Bienvenido.
do) Sobre el pantalla IMG pantalla, seleccione Ajustes básicos → Sistemas lógicos → Definir
Sistema lógico.
4. En el sistema del niño CUA (cliente ZMG 900), comprobar si los sistemas lógicos requeridos
son asignados correctamente.
do) Sobre el pantalla IMG pantalla, seleccione Ajustes básicos → Sistemas lógicos → Asignar
Sistema lógico de cliente.
mi) Haga doble clic en el cliente que representa el sistema de niño (900) para mostrar los detalles del cliente
información. Verificar que el sistema lógico adecuado es asignado. Si no es así, asignarle (utilizando la ayuda F4).
Nota:
eCATT configuración de prueba ZT_PREPCUA_ <SID> que existe en su sistema central CUA (<SID> es el identificador
del sistema de su sistema central CUA) ya debería ser ejecutado como parte de la actualización del sistema. Todos los
usuarios y destinos RFC deberían ya se han definido. Si no es así, ejecute la configuración de prueba antes de la
demostración.
1. Compruebe RFC destino < CUA SID Niño> CLNT <###> (ZMGCLNT900) usando
SM59 transacción en el sistema central CUA. Esto apunta a que el cliente del niño CUA y en el que el usuario CUA_
<SID CUA Niño> _ <CUA cliente Niño> (CUA_ZMG_900) se define. Escoger Conexiones ABAP. Haga doble clic
Destino RFC.
Escoger Utilidades → Prueba → Prueba de autorización.
2. Compruebe RFC destino < CUA Parent SID> CLNT <###> (ZMCCLNT800) SM59 en el
sistema central CUA. Esta apunta al cliente de la CUA central y en el que el usuario
CUA_ <CUA SID Parent> (CUA_ZMC) se define. Se crea una conexión de bucle invertido en el sistema central.
Escoger Conexiones ABAP. Haga doble clic Destino RFC. Escoger
Utilidades → Prueba → Prueba de autorización.
3. Compruebe RFC destino < CUA Parent SID> CLNT <###> (ZMCCLNT800) utilizando
transacción SM59 en el sistema de niño. Esto apunta a que el cliente de la CUA central y en el que el usuario CUA_
<CUA SID Parent> (CUA_ZMC) se define (mediante el cual < SID> es el ID de sistema de su sistema central CUA).
Escoger Conexiones ABAP. Haga doble clic Destino RFC. Escoger Utilidades → Prueba → Prueba de autorización.
una) En el sistema CUA Parent (ZMC Client 800), en el Guía de implementación ( transacción
VENTA), escoger Modelado y la implementación de procesos de negocio → Configurar procesos predefinidos
ALE comerciales → Interaplicaciones Procesos de Negocio →
Administración central de usuarios → Seleccione el modelo Vista para Administración central
(Alternativamente, iniciar la transacción SCUA).
F) los Registros de visualización Aparece la pantalla. Si expande los nodos para cada sistema, usted debe
consulte los siguientes mensajes para los pasos que se han completado con éxito:
2. En el sistema central, comprobar si un modelo de distribución ha sido creado para que CUA
puede ser utilizado para intercambiar BAPIs USER.Clone y UserCompany.Clone.
Insinuación:
El modelo de distribución se crea en el sistema de niño. perfiles de los socios también se generan de forma
automática, pero no tienen por qué realizarse como parte de esta tarea.
Insinuación:
Después CUA se activa con éxito, se puede tomar un tiempo antes de que los ajustes de
configuración realizados se procesan desde el sistema de niño.
Utilice la transacción ESCORIA en el sistema central para mantener los parámetros de la distribución de campo.
1. En el sistema del niño CUA, utilice el RSESYNMESTYP informe para establecer el procesamiento de IDOC
CCLONE y USERCLONE tipos de mensajes para el procesamiento síncrono.
Nota:
En los sistemas convencionales, la recepción de la IDOC se separa de procesamiento de IDOC (véase la nota
SAP 555229). El proceso de trabajo de diálogo utilizado para la comunicación RFC no procesa los IDOCs
transferidos a sí mismo. Si un IDOC no se puede procesar inmediatamente porque no hay procesos de trabajo
de diálogo están disponibles, el sistema programa una tarea de fondo (con paso RBDAPP01) para este IDOC
con un inicio inmediato. El usuario que se utiliza para la comunicación RFC requiere autorizaciones adicionales
para este escenario (véase la nota SAP 492589). Para los propósitos de este curso, configurar el proceso
síncrono para los IDOC-CUA pertinentes (véase la nota SAP 763982). Los IDOCs se actualizan por el proceso
de trabajo de diálogo que se utiliza para la comunicación RFC.
segundo) ejecutar el RSESYNMESTYP programa con los siguientes valores ( Acción verifiy columna
espectáculos Activado en cada entrada):
IDOCTYP *
CIMTYP *
do) ejecutar el RSESYNMESTYP programa con los siguientes valores ( Acción verifiy columna
espectáculos Activado en cada entrada):
IDOCTYP *
CIMTYP *
Nota:
Los pasos 1a a 1i ya se han completado en el sistema de entrenamiento de golf. Utilice 1j Paso para verificar
que las empresas en cada sistema son los mismos.
una) ejecutar la transacción SCUG en su sistema central CUA (ZMC Cliente 800).
do) Escoger (direcciones de la empresa texto largo: Sincronizar direcciones de la empresa en la central
Sistema).
re) Seleccione las entradas y seleccione Distribuir a Sistema infantiles, si encuentra la empresa
direcciones En el Sistema Central solamente.
F) Seleccione las entradas y seleccione Copiar del Sistema infantiles, si encuentra direcciones de la empresa
En el Sistema Niño Sólo.
h) Seleccione las entradas y seleccione Distribuir a Sistema infantiles, si tu encuentras Different Company
Direcciones.
Insinuación:
Elegimos ir desde el sistema central para los sistemas de los niños, porque se supone que
la dirección en el sistema central es la correcta.
j) Utilice la transacción SUCOMP en tanto el padre del niño CUA CUA y sistemas para comprobar
si sus acciones son exitosas. Usted debe ser capaz de encontrar todas las empresas transferidas mediante la Ayuda
para entradas.
La transferencia de los usuarios del sistema de niño a la administración central. A continuación, compruebe el registro de distribución. Si
algunos datos de usuario no ha sido totalmente distribuida, iniciar manualmente el procesamiento posterior en el sistema de niño.
Nota:
Paso 1 ya se ha completado en el sistema de entrenamiento de golf. Utilice el Paso 2 para verificar los registros para
los usuarios transferidos.
1. utilizando la transacción SCUG en su sistema central CUA (ZMC Cliente 800), copie los usuarios de
el sistema de niño CUA (ZMG Client 900) a la administración central. Si es necesario, decidir cómo usuario individual registros
maestros han de ser manipulados.
una) iniciar la transacción SCUG en su sistema central CUA (ZMC Cliente 800). En el árbol
estructura, seleccione su sistema niño.
do) Sobre el Usuarios nuevos pestaña, seleccione todos los usuarios y copiarlos en CUA eligiendo
usuarios de transferencia.
mi) Sobre el diferentes usuarios pestaña, se puede ver que los clientes centrales e infantiles contienen
usuarios con el mismo ID, pero diferentes combinaciones de nombre o apellido. Seleccionar todos los usuarios aquí y elegir Los
usuarios de transferencia. Esta acción de la elección Transferir usuarios
transfiere los datos maestros de usuario para estos usuarios de sistema central CUA (ZMC Client 800) al sistema
de niño CUA (ZMG Client 900) de acuerdo con los parámetros de la distribución de campo.
2. utilizando la transacción SCUL en el sistema central CUA (ZMC Client 800), comprobar el
registro de distribución para el mantenimiento de usuario central. Todos los registros maestros han sido totalmente distribuida de usuario?
Insinuación:
Si su grupo CUA contiene todavía no confirmados registros maestros de usuario, puede, si es necesario, iniciar el
procesamiento posterior en el sistema de niño de forma manual, utilizando la transacción BD87. En la pantalla inicial,
seleccione Ejecutar, expandir la estructura de árbol que aparece, seleccione el USERCLONE entrada, y seleccione Proceso
seleccionado nodo.
segundo) En la pantalla inicial, elija el usuarios pestaña. En el Selección por Estado de la distribución
área, seleccionar todos los campos (es decir, también se desea visualizar registros maestros de usuario que se han
distribuido con éxito).
re) La siguiente pantalla muestra el estado de los registros maestros de usuario individuales. Verde
entradas indican distribuidos con éxito registros maestros.
mi) Escoger Leyenda para una explicación de los símbolos y los colores utilizados en la transacción SCUL.
Nota:
Este ejercicio es opcional en este curso.
Ejemplo de negocios
Es necesario mantener los perfiles de usuario en la base de datos y proporcionar autorización para los usuarios desde un sistema central. Es
Nota:
Este ejercicio se utilizan dos sistemas SAP:
Nota:
En este ejercicio, cuando los valores son ##, reemplazar los caracteres con el número de
participante que su instructor le proporciona.
Tarea 1
Continúa trabajando en su sistema niño CUA. Asegúrese de que está en la pantalla de inicio de transacción PFCG.
Tarea 2
1. En el sistema central CUA, (ZMC cliente 800), crear un nuevo usuario, NIÑO##. Asegurarse
que este usuario se pone el papel en su sistema niño CUA (ZMG Cliente 900), (pero sin registro maestro en el sistema
central). También, mantener datos adicionales, como el número de teléfono, número de fax, y así sucesivamente.
2. En el sistema central CUA, compruebe el registro de distribución para el nuevo usuario, NIÑO##.
Continúa trabajando en su sistema central CUA. Asegúrese de que está en la pantalla de inicio de transacción SU01 y el ID de
usuario NIÑO## se selecciona para el Usuario campo.
3. En el sistema del niño CUA, compruebe el registro maestro de usuario del nuevo usuario, NIÑO##.
4. Iniciar sesión en el sistema como usuario del niño CUA NIÑO## y mantener sus propios datos (usuario).
5. Iniciar sesión en el sistema central como usuario CUA NIÑO## y mantener sus propios datos (usuario).
6. En el sistema central CUA, utilizar la transacción SUIM para comprobar que los roles están asignados a la
de usuario que acaba de crear en todos los sistemas conectados a CUA.
Nota:
Este ejercicio es opcional en este curso.
Ejemplo de negocios
Es necesario mantener los perfiles de usuario en la base de datos y proporcionar autorización para los usuarios desde un sistema central. Es
Nota:
Este ejercicio se utilizan dos sistemas SAP:
Nota:
En este ejercicio, cuando los valores son ##, reemplazar los caracteres con el número de
participante que su instructor le proporciona.
Tarea 1
una) Iniciar sesión en el sistema de niño CUA como ID de usuario de administración ADM900 - ##. Si este es el
yo) Elija el semáforo amarillo en la parte superior y confirme la ventana emergente con respecto completa (*)
Continúa trabajando en su sistema niño CUA. Asegúrese de que está en la pantalla de inicio de transacción PFCG.
Insinuación:
Esto hará que la comparación de texto para el nombre y la descripción de todos los roles y perfiles
manuales.
Tarea 2
1. En el sistema central CUA, (ZMC cliente 800), crear un nuevo usuario, NIÑO##. Asegurarse
que este usuario se pone el papel en su sistema niño CUA (ZMG Cliente 900), (pero sin registro maestro en el sistema
central). También, mantener datos adicionales, como el número de teléfono, número de fax, y así sucesivamente.
una) Iniciar sesión en el sistema central CUA cliente ZMC 800 como ID de usuario de administración ADM900-
##.
do) Sobre el Mantenimiento por el usuario: Acceso, entrar NIÑO## en el Usuario campo y luego
elegir la Crear presionar el botón.
re) Sobre el Dirección pestaña, introduzca algunos datos (en particular, para la Apellido campo).
mi) Sobre el los datos de inicio de sesión pestaña, introduzca ninguna contraseña en el Contraseña inicial campo. Introducir el
F) Sobre el parámetros pestaña, proporcionan alguna ID de parámetro ( por ejemplo, BUK = 42).
sol) Sobre el Roles pestaña, utilice la ayuda F4 para una línea en blanco para seleccionar el sistema (lógico) de
su sistema CUA niño. En la misma línea, utilice la ayuda F4 para seleccionar su nuevo papel (puede que tenga que
buscar papeles ZSAP *).
h) Pulse ENTER. Verá una notificación de que un nuevo sistema (lógico) es asignado a esta
usuario. Esto se puede comprobar mediante la apertura de la sistemas pestaña.
2. En el sistema central CUA, compruebe el registro de distribución para el nuevo usuario, NIÑO##.
Continúa trabajando en su sistema central CUA. Asegúrese de que está en la pantalla de inicio de transacción SU01 y el ID de
usuario NIÑO## se selecciona para el Usuario campo.
segundo) Mantenga todos los valores por defecto, pero seleccione Exitoso sobre el usuarios pestaña.
3. En el sistema del niño CUA, compruebe el registro maestro de usuario del nuevo usuario, NIÑO##.
una) Iniciar sesión en el sistema de niño CUA como ID de usuario de administración ADM900 - ##. La contraseña
Es bienvenido.
do) Entrar NIÑO## en el Usuario campo y luego elegir el Monitor presionar el botón.
re) Tenga en cuenta los datos relativos a todas las páginas de la lengüeta. Nota la En los últimos modificados campo. Nota la
mutabilidad al entrar en el modo de cambio: Sólo algunos campos están listos para la entrada (estos deben ser los campos
que no se estableció a Global en la transacción ESCORIA para el mantenimiento de los parámetros de distribución de campo).
4. Iniciar sesión en el sistema como usuario del niño CUA NIÑO## y mantener sus propios datos (usuario).
una) Iniciar sesión en el sistema de niño CUA como nuevo usuario NIÑO##. Tienes que entrar en la primera
segundo) Para mantener sus propios datos de usuario, puede hacer lo siguiente:
● Sobre el SAP Easy Access pantalla, seleccione Menú → Menú del Usuario → Funciones de base
→ Mantener datos de usuario propios (dirección, valores por defecto, parámetros).
do) Tenga en cuenta la variabilidad restringida de los campos. Cambiar algunos datos.
5. Iniciar sesión en el sistema central como usuario CUA NIÑO## y mantener sus propios datos (usuario).
una) Iniciar sesión en el sistema central CUA como nuevo usuario NIÑO##. Usted verá el estado
mensaje de que no se puede iniciar sesión en el sistema central CUA debido a un sistema de asignación de CUA faltante.
6. En el sistema central CUA, utilizar la transacción SUIM para comprobar que los roles están asignados a la
de usuario que acaba de crear en todos los sistemas conectados a CUA.
una) Iniciar sesión en el sistema central CUA como ID de usuario de administración ADM900 - ##.
do) Sobre el Sistema de Información de Usuarios pantalla, seleccione Sistema de Información de Usuarios → Usuario →
Información cruzada del sistema (gestión central de usuarios) → Los usuarios de roles.
mi) Sobre el Informe de la Cruz-Sistema de Información / Rol pantalla, introduzca NIÑO## en el Usuario
Nombre campo.
Resumen de la lección
Ahora debería ser capaz de:
Resumen de la lección
Esta lección describe cómo trabajar con los servicios de directorio.
OBJETIVOS DE LA LECCIÓN
SAP NetWeaver Portales también requieren de almacenamiento para datos de usuario, tales como datos maestros y asignación de grupo
(tienda persistencia de usuario). SAP Enterprise Portal 5.0 (primera entrega al final de
2001) utiliza uno o más servidores de directorio para este propósito. El sistema verifica los datos del usuario en contra de estos servidores de
directorio cuando los usuarios inician sesión en el portal. A partir del servidor de aplicaciones Java (Java AS) 6.20, el motor de gestión de usuarios
(UME) ofrece diferentes opciones para almacenar los datos de usuario (llamadas fuentes de datos). servidores de directorio se utilizan para la mayoría
Tanto CUA y servicios de directorio le permiten mantener los datos del usuario en un lugar y sincronizar los datos del usuario en
múltiples sistemas. Ambos conceptos se pueden implementar de forma independiente y también se puede conectarlos entre sí.
De esta manera, se puede utilizar CUA para conectar los sistemas SAP con SAP Basis 4.5 o 4.6, mientras que otros sistemas SAP basados
en AS ABAP 6,10 o más también se pueden conectar directamente al servicio de directorio.
En un escenario de este tipo, la sincronización LDAP funciona como un control remoto para CUA, lo que significa que todos
los requisitos y restricciones de CUA siguen aplicando.
Resumen de la lección
Ahora debería ser capaz de:
X UNA SAP_GWFND
X segundo SAP_UI
X do SAP_BW
X re GRCFND_A
X mi GRCPINW
X F SLL_LEG
X sol UIGRC001
X H SAP_APPL
X yo SAP_HR
2. ¿Cuál es la diferencia entre el cubo central de despliegue de SAP Gateway y Despliegue incorporado? ¿Qué se
recomienda la instalación?
3. Para la administración de identidades, ¿cuál de los siguientes escenarios de SAP hace el Gobierno, Riesgo y Cumplimiento (GRC)
el soporte de soluciones de control de acceso?
4. ¿Qué componente de la gobernabilidad de SAP, Riesgo, y la solución (GRC) Cumplimiento proporciona la capacidad para gestionar y
controlar los privilegios de usuario?
X re Puede proporcionar una administración segura de los usuarios mediante la centralización de la obra.
7. ¿Por cuál de los siguientes propósitos son conexiones Remote Function Call (RFC) utilizados en el escenario CUA?
X UNA Para distribuir los datos de usuario del sistema central a los sistemas niño
X do Para enviar los cambios a los datos en el sistema central a los sistemas niño
8. Una vía de una entrada a la raíz del árbol se define automáticamente cuando se crea un nombre distinguido (DN) para
una entrada.
X Cierto
X Falso
X UNA SAP_GWFND
X segundo SAP_UI
X do SAP_BW
X re GRCFND_A
X mi GRCPINW
X F SLL_LEG
X sol UIGRC001
X H SAP_APPL
X yo SAP_HR
2. ¿Cuál es la diferencia entre el cubo central de despliegue de SAP Gateway y Despliegue incorporado? ¿Qué se
recomienda la instalación?
Para una implementación de cubo central, instalar SAP pasarela independiente de las tecnologías de consumo en un
sistema autónomo. Esto separa los componentes de back-end de los componentes frontend. Para el despliegue
incorporado, todos los componentes están instalados en un sistema. No recomendamos el despliegue incorporado.
3. Para la administración de identidades, ¿cuál de los siguientes escenarios de SAP hace el Gobierno, Riesgo y Cumplimiento (GRC)
el soporte de soluciones de control de acceso?
4. ¿Qué componente de la gobernabilidad de SAP, Riesgo, y la solución (GRC) Cumplimiento proporciona la capacidad para gestionar y
controlar los privilegios de usuario?
X re Puede proporcionar una administración segura de los usuarios mediante la centralización de la obra.
7. ¿Por cuál de los siguientes propósitos son conexiones Remote Function Call (RFC) utilizados en el escenario CUA?
X UNA Para distribuir los datos de usuario del sistema central a los sistemas niño
X do Para enviar los cambios a los datos en el sistema central a los sistemas niño
8. Una vía de una entrada a la raíz del árbol se define automáticamente cuando se crea un nombre distinguido (DN) para
una entrada.
X Cierto
X Falso
Lección 1
OBJETIVOS DE LA UNIDAD
Resumen de la lección
Esta lección explica cómo utilizar las capacidades de monitoreo de seguridad de SAP Solution Manager para obtener una visión general
de todo el paisaje de la configuración de seguridad de sus sistemas.
OBJETIVOS DE LA LECCIÓN
El servicio Administrador y soporte de la plataforma SAP Solution de SAP ayuda a implementar, monitorear y operar los
parámetros relevantes para la seguridad de SAP de manera eficiente a través de toda su infraestructura de sistemas SAP. SAP
proporciona capacidades de control de grano fino y recomendaciones para mejorar la seguridad, ofreciendo varios métodos,
herramientas y servicios.
La arquitectura de supervisión Computing Center Management System (MCP) se utiliza como base para la recopilación de
información desde el sistema SAP en el paisaje. Ofrece un marco flexible a la que extensas funciones de control y de
administración pueden ser fácilmente añadidos. Los elementos de la arquitectura de control de funcionamiento en gran parte
independientes entre sí, y pueden ser desarrollados y ajustar de forma independiente el uno del otro más. Basado en la
arquitectura, la MCP en el SAP Solution Manager asegura central de monitoreo y eficiente de los sistemas SAP.
Las diversas funciones proporcionadas por SAP Solution Manager son los siguientes:
● Servicio SAP Security Optimization (SAP SOS)
SAP SOS está diseñado para comprobar la seguridad de los sistemas SAP. Este servicio comprende un análisis del sistema y de las
recomendaciones resultantes de los ajustes del sistema. Se ocupa de la configuración del sistema y personalización de que el sistema
de seguridad de impacto. Se centra en la seguridad del sistema interno y externo.
Para mejorar la seguridad interna, SAP SOS comprueba muchas combinaciones de autorización críticos. SAP SOS mejora la seguridad
externa mediante la comprobación de las posibilidades de acceso a su sistema y los métodos de autenticación utilizados. Este servicio
comprueba la configuración de un sistema SAP en temas de seguridad predefinidas. Para obtener más información, consulte SAP
Service Marketplace, rápida conexión / llamada de socorro.
SAP EWA supervisa las áreas administrativas esenciales de los componentes de SAP y mantiene a los clientes hasta a la fecha de su
rendimiento y estabilidad. Como parte de SAP EWA, SAP también ofrece controles seleccionados con la configuración relevante para la
seguridad (incluyendo el estado de aplicación de Notas correspondiente de la Seguridad SAP). Para obtener más información, consulte
la nota SAP 863362 - Los controles de seguridad en el Servicio de Alerta y SAP SAP EarlyWatch mercado, rápida conexión /
Ewa.
buscar recomendaciones del sistema de SAP notas en el portal de soporte de SAP para el sistema técnico seleccionado, y luego
envían la información a SAP Solution Manager. Recomendaciones del sistema están integrados en la gestión del cambio. Por
ejemplo, puede crear una solicitud de cambio directamente después de seleccionar las notas correspondientes. Para las notas no
ABAP, puede confirmar parches de Java que se pueden cargar en el optimizador de mantenimiento. Para obtener más información,
● validación de la configuración
informes de validación de configuración ofrece un marco genérico para verificar las configuraciones de los sistemas SAP
administrados conectados. Este marco se puede utilizar para definir las configuraciones del sistema esperados de acuerdo con las
políticas y directrices, y comparar dichas configuraciones esperados en contra de la configuración real de los sistemas SAP
gestionados. Para obtener más información sobre la validación de la configuración, consulte SAP Service Marketplace, rápida
conexión /
cambio de control.
Si usted necesita para preparar una sesión para implementar SAP SOS, es necesario rellenar un cuestionario. Los resultados de la
comprobación en varios componentes del sistema se utilizan para producir recomendaciones para optimizar la configuración del sistema o
componente que está siendo analizado.
Insinuación:
El SAP SOS se puede utilizar en cualquier momento. El mejor momento para usar es durante el final de la fase de entrada en
funcionamiento. El servicio también es útil mientras se prepara para auditorías internas y externas. El SAP SOS se puede
volver a ejecutar para asegurarse de que los cambios aplicados en la configuración del sistema son un éxito y que no aparecen
nuevas vulnerabilidades.
El concepto subyacente de SAP SOS es garantizar el buen funcionamiento de la solución de SAP mediante la adopción de medidas antes
de que ocurran problemas de seguridad graves. Esta verificación consiste en cientos de controles basados en las directrices de seguridad
de SAP y el conocimiento de los consultores SAP seguridad.
Los controles para asegurar un funcionamiento suave de la solución de SAP incluir las siguientes actividades:
● superusuarios comprobar
● Confirmacion de contraseña
SAP enrutador:
● cheque Saprouttab
● cheque SNC
● comprobación de la configuración
● Activar SSL
● verificación de la administración
Insinuación:
Realice los siguientes pasos para ejecutar la tónica de Servicio de Optimización de Seguridad:
1. Programar una recogida automática de datos y la transferencia mediante la creación de un modo SAP SOS en
2. Generar una descarga ST14 SOS como fuente de datos secundarios y enviarlo a SAP Solution
Gerente.
3. Llenar el cuestionario SAP SOS para enfocar el informe sobre los resultados reales. Por ejemplo, se puede
eximir a los usuarios súper conocidos del informe.
7. Derivar de entrada para su política de seguridad de SAP en general e iniciar la supervisión de seguridad adecuada.
SAP EWA es un diagnóstico que supervisa los procesos y sistemas de negocios más importantes. Ayuda a identificar problemas
potenciales en una etapa temprana, evitar cuellos de botella, y supervisar el rendimiento de sus sistemas. El uso de este mecanismo,
puede validar el estado de seguridad sobre una base semanal para un conjunto predefinido de parámetros.
El informe de SAP EWA también muestra una alerta cuando Notes SAP críticas para la seguridad están presentes o no se aplican en
el sistema analizado. SAP EWA está incluido en el contrato de mantenimiento con SAP sin costo adicional. Mediante la ejecución y el
seguimiento de SAP EWA, puede aumentar la estabilidad, rendimiento y seguridad para todo el entorno de la solución.
SAP EWA supervisa soluciones en sistemas SAP y no SAP en SAP Solution Manager. SAP Solution Manager procesa los
datos descargados desde sistemas no SAP SAP o. Se puede visualizar el informe EarlyWatch como un documento HTML.
También puede crear el informe como un documento de Microsoft Word. Puede utilizar estos documentos como informes de
estado para analizar y evitar posibles problemas.
Si SAP EWA muestra señales de alarma, se dispara más servicios. Dependiendo del estado de su sistema, los servicios activados
pueden incluir la comprobación de SAP EarlyWatch. El Registro de SAP EarlyWatch se realiza a través de una conexión remota
por un ingeniero de servicio técnico. Durante el servicio, el ingeniero de servicio analiza el sistema, diagnostica problemas
particularmente complejos, y desarrolla soluciones para estos problemas. Cada sistema productivo tiene derecho a un máximo de
dos cheques de SAP EarlyWatch por año dentro del contrato de mantenimiento con SAP (válido para los clientes de SAP con
contrato de Soporte Estándar).
Precaución:
SAP recomienda encarecidamente que active SAP EWA para todos los sistemas productivos.
EarlyWatch Informe
EarlyWatch
El informe analiza EarlyWatch la seguridad del sistema en términos de la autorización y, por tanto, abarca los siguientes
temas:
● Política de contraseñas
Para estos temas, consulte la nota SAP 863362 - Controles de Seguridad en SAP EWA. La recolección de datos y la transferencia de todas
las sesiones remotas se pueden realizar automáticamente. SAP EWA informa al cliente sobre los problemas con la recolección de datos.
Para el procesamiento y evaluación, los datos relevantes se envía desde los sistemas de satélites al sistema central SAP Solution
Manager. EWA SAP para sistemas de satélites también forma la base para su posterior análisis. Si la calificación global de SAP EWA es de
Apoyo. Si todas las secciones de clasificación de color amarillo o verde, los resultados se envían a SAP Support una vez cada
cuatro semanas. Los datos transferidos incluye sólo los datos técnicos con contenido no sensible, que es transparente y
manejable en la transacción SDCCN.
El Centro de Control de Datos de Servicio, que se puede acceder por transacción SDCC, es una herramienta de servicio que proporciona una
visión general de las sesiones de servicio previstas. Se lleva a cabo la recogida de datos en el sistema SAP. Los datos recogidos se transfiere
a cualquiera propio sistema SAP Solution Manager del usuario o SAP. Los resultados de SAP EWA son los requisitos previos para otros
servicios de SAP. Los ejemplos de servicios de SAP que utilizan los resultados de SAP EWA como requisitos previos son los siguientes:
Los principales requisitos previos para usar SAP EWA son los siguientes:
● Que haya realizado los ajustes necesarios en SAP Solution Manager Personalización de SDCCN y SAP EWA.
● Que han puesto los sistemas en una solución, y hay una conexión remota entre el componente SAP y SAP Solution
Manager.
● Su sistema SAP debe ser de liberación mínima, es decir, cualquier NetWeaver SAP o SAP Web AS en caso de pila ABAP,
J2EE motor de 6,40 en el caso de la pila de Java, o liberar 3.0D para SAP R / 3.
● pila ABAP requiere trabajos de monitoreo para ser configurados correctamente. Compruebe esta configuración mediante la aplicación
de la nota SAP 69455, corriendo informe RTCCTOOL, y siguiendo las instrucciones.
● pila Java requiere que configure Diagnóstico Solution Manager y poner en práctica la nota SAP 976054.
3. Escoger Configuración de la alerta EarlyWatch por la elección de la Administración Alerta EarlyWatch pestaña.
4. Puede configurar la colección de supervisión de datos de SAP EWA por sistema o solución.
Insinuación:
recomendación sistema es una funcionalidad de SAP Solution Manager que se centra en SAP Notes. Proporciona una
recomendación a la medida de notas que se debe aplicar a un sistema gestionado seleccionado. Esta recomendación se
calcula basándose en el estado Notas reales del sistema. Preguntas como: “¿Es una nota SAP específica ya implementada en
el sistema?”, “¿Qué versión tienen las Notas implementadas?”, O “¿Son versiones más recientes disponibles?” Se tienen en
cuenta para el cálculo de la recomendación para un sistema. recomendación sistema recoge la información necesaria de los
sistemas gestionados a través de un trabajo en segundo plano que debe ser programado de forma regular. Una actualización
de la información calculada previamente para un sistema específico también se puede iniciar directamente. El cálculo se
realiza en la espina dorsal de soporte global de SAP, lo que significa que no hay carga se genera en el sistema SAP Solution
Manager o en el sistema administrado. Recomendaciones del sistema se dividen en las siguientes categorías:
Sobre la base de las recomendaciones calculados, puede configurar diferentes estados para las notas recomendadas. Puede
especificar los estados para las notas, como a implementarse, no es relevante, o pospuesta. Esto, en combinación con un filtro de
mostrar sólo las notas con un cierto estatus, ofrece una visión general de todas las recomendaciones y le ayuda a realizar un
seguimiento de las tareas asignadas en base a las recomendaciones.
Para mostrar un ejemplo detallado de cómo trabajar con las recomendaciones del sistema, asumir esta situación: un sistema e
ingeniero de seguridad, que es responsable de varios sistemas SAP quiere determinar qué parches que SAP lanzado en el día
de parches mensuales son relevantes para la seguridad de su sistema de (s).
Los siguientes pasos muestran cómo las recomendaciones sistema de ayuda en el cumplimiento de esta tarea:
1. El ingeniero entra en el Gestión del cambio centro de trabajo en la Solución SAP de la compañía
System Manager y abre la Recomendaciones del sistema funcionalidad.
3. El ingeniero continuación, selecciona el sistema de producto correspondiente. Esto da como resultado una lista de técnicos
4. A medida que las recomendaciones se basan en sistemas técnicos, el ingeniero selecciona ahora una
sistema técnico.
5. El ingeniero es capaz de seleccionar un filtro en el componente (s) de aplicaciones para limitar aún más la
cantidad de notas de SAP recomendados. En este ejemplo, no se establece ningún filtro en componentes de aplicación.
Para iniciar el cálculo de la recomendación, el administrador elige Aplicar filtro.
6. Si el trabajo de fondo para recoger la información de los sistemas gestionados que ya tiene
recogido algunos datos, estos datos se transfieren a SAP. En SAP, el cálculo real se lleva a cabo y se envía de
nuevo a SAP Solution Manager del cliente.
7. Si el trabajo de fondo aún no se ha ejecutado o no está programada, el ingeniero adquiere, por elección
Refrescar para iniciar directamente la recopilación de información o utiliza el ajustes Menú para iniciar el trabajo de fondo para la
recolección de datos.
La recomendación se mostrará en la parte inferior de la ventana. La lista de notas recomendadas puede ser ordenada por
componente de aplicación (esta es la configuración por defecto) o por el componente de software. Para cambiar la vista, utilizar
el Ver menú desplegable justo encima de la lista de Notas recomendadas.
Cuando se utiliza la vista de componentes de software, una de las siguientes características se muestra para cada nota:
● SP SP relevante relevante significa que esta nota es relevante para el sistema porque el nivel SP coincide exactamente
● SP SP independiente independiente significa que esta nota puede ser relevante para el sistema porque el componente de
El ingeniero de seguridad encuentra todas las notas de SAP relevantes para la seguridad en el Notas de seguridad pestaña. Para obtener
más información sobre las notas de SAP recomendadas, las búsquedas ingeniero cada nota SAP, lee la descripción de la Nota de la
elección del título de la nota, y selecciona un estado para cada nota.
Tras el seguimiento de todos los documentos relevantes para la seguridad que necesitan ser implementado, el ingeniero puede filtrar por un estatuto
específico para mantener limpia la vista de lista. Por ejemplo, el filtro puede ser para el estado A ser implementado, lo que da una lista de todas las
Con esta lista, el ingeniero puede empezar a aplicar las notas con la transacción SNOTE.
Recomendaciones del sistema también se puede utilizar para sistemas de Java. El procedimiento es exactamente el mismo que el
procedimiento descrito para Notas de seguridad. La única diferencia es que las notas del parche de Java sólo se muestran en la Notas de
corrección pestaña. Con el Añadir a la cesta de descarga pulsador, se puede añadir directamente a los parches de Java que contienen las
notas seleccionadas a la cesta de descarga en SAP Service Marketplace. La integración con el Optimizador de Mantenimiento para
aprobar la cesta de descarga también está disponible.
Para los clientes que utilizan la funcionalidad de solicitud de cambio de gestión en SAP Solution Manager, recomendaciones
sistema proporcionan integración con solicitud de cambio de gestión. Esta funcionalidad le permite desencadenar una solicitud de
cambio de las notas de SAP seleccionadas para su implementación.
recomendación sistema se entrega a partir del SAP Solution Manager 7.0 SPS26. Esta funcionalidad está disponible en
el Gestión del cambio Estación de trabajo (códigos de transacción
SOLMAN_WORKCENTER o SM_WORKCENTER). Por lo tanto, el acceso a los centros de trabajo es un requisito previo.
Para facilitar la recogida de datos y para acelerar el cálculo de delta, un trabajo de fondo puede ser programado, que recoge
automáticamente toda la información necesaria de los sistemas gestionados. Para controlar el acceso a las recomendaciones del sistema,
el objeto de autorización SM_TABS ( en SAP Solution Manager 7.0) o (SM_FUNCS en SAP Solution Manager 7.1) se puede utilizar para
conceder o denegar el acceso a las diferentes páginas de la lengüeta de recomendaciones del sistema.
Antes de utilizar las recomendaciones del sistema, SAP recomienda encarecidamente que implementar SAP Notas 1554475 y 1577059.
SAP también recomienda configurar SAP Solution Manager de las actualizaciones automáticas. Para la solución de problemas,
compruebe el AGS_SR registro de aplicación para ver los registros de configuración y de verificación. En caso de cualquier problema,
cree un mensaje de cliente en el componente SV-SMG-SR (Recomendaciones del sistema para los sistemas administrados).
Validación de configuración
Con la validación de configuración dentro de SAP Solution Manager, SAP ofrece una herramienta para validar los diversos tipos de elementos de
configuración de software. Esta herramienta utiliza un repositorio único elemento de configuración dentro de SAP Solution Manager para ayudar a
estandarizar y armonizar los elementos de configuración dentro de los sistemas de Java y ABAP. validación de configuración utiliza los datos de
configuración almacenados centralmente para validar un gran número de sistemas mediante el uso de un subconjunto de los datos de
● Son todos los sistemas en un nivel determinado nivel de parches del sistema operativo o de parches de base de datos?
● Han cualquier configuración de plantilla para las aplicaciones de SAP o parámetros de bases de datos han aplicado a todos los
sistemas?
● ¿Se ha validado que no hay núcleo liberan más de seis meses está presente en todos los sistemas?
Para responder a estas preguntas, un sistema de destino se define como un sistema de referencia para comparar los valores. Este
sistema puede ser un sistema real o un conjunto virtual de elementos de configuración mantenidos manualmente. Basado en esta
referencia, los ajustes se comparan en una comprobación de coherencia. controles predefinidos adicionales, que son no sólo consistencia
basado, se llevan a cabo para algunos ajustes. Ejemplos de tales ajustes incluyen STANDARD_USERS y la configuración de puerta de
enlace.
Los controles que son una parte de las tiendas de configuración estándar son como sigue:
● Si las reglas para los parámetros del perfil se pueden definir utilizando rangos de números y operadores de comparación.
● Si las expresiones regulares se pueden utilizar para el control de los archivos de configuración de SAP Gateway.
recomendaciones en línea desde el EWA / RSECNOTE se importan directamente. Tenga en cuenta que las dependencias se definen
hacia el componente, la liberación y soporte de la serie, correspondiente a la revisión del kernel. Si una nota no se ha aplicado, una
pista, tales como “nota debe ser aplicado” o “no es relevante”, se muestra.
Insinuación:
Para acceder a la validación de la configuración en SAP Solution Manager, elija una de la siguiente ruta:
● A través de URL directa - http: // <host> / <puerto> / SAP / BC / WebDynpro / SAP / ags_workcenter /
● A través de SAP GUI - Configuración de la Gestión del Cambio Mantenimiento Validación / Reporting
La herramienta de validación de configuración valida los entregables de contenido en los planos plataforma, base de datos, y
de aplicación.
● fácil aplicación
La herramienta de validación de configuración proporciona informes predefinidos y plantillas para facilitar la aplicación y reducir al
La herramienta de validación de configuración proporciona configuraciones de referencia flexibles basadas en las configuraciones
existentes del sistema, configuraciones o líneas de base definidas por el cliente, y funcionalidades Personalización.
La herramienta de validación de configuración proporciona una amplia gama de informes funcionalidades que son accesibles desde un
punto de entrada central y se ejecutan en el navegador. La herramienta también proporciona funciones interactivas de drill-down y filtro, así
como la calificación, la radiodifusión, y funcionalidades de exportación.
Resumen de la lección
Ahora debería ser capaz de:
1. ¿Cuál de las siguientes herramientas le permiten descubrir las configuraciones de seguridad que faltan?
X do validación de la configuración
2. En SAP Security Optimization Services (SAP SOS), las notas de SAP implementadas anteriormente se pueden ver en el almacén
de datos ___________.
X UNA ABAP_NOTES
X segundo SNOTE
X re Notas de corrección
1. ¿Cuál de las siguientes herramientas le permiten descubrir las configuraciones de seguridad que faltan?
X do validación de la configuración
2. En SAP Security Optimization Services (SAP SOS), las notas de SAP implementadas anteriormente se pueden ver en el almacén
de datos ___________.
X UNA ABAP_NOTES
X segundo SNOTE
X re Notas de corrección