SAP IDM 快速指南

SAP IDM - 简介

在大企业中，主要的挑战是如何安全地组织和维护身份数据和权限。企业数据存储在不同的应用程序中，并从多个来源收集，因此管理数据机密性存在重大风险。为了分配数据安全，需要对身份数据和权限进行管理和维护，使其保持最新。市场上有各种身份和访问管理模块，可以帮助数据所有者准确、及时地管理身份信息。

主要的 ERP 软件提供商提供内置功能，可以将身份管理与其他模块结合使用。这些身份管理工具嵌入在 ERP/CRM 软件中，无需显式安装或配置。

SAP 身份管理是 SAP 提供的类似工具，可帮助公司在复杂的环境中管理其 SAP 和非 SAP 系统的用户帐户。通过使用 SAP 身份管理工具，公司可以安全地管理和提供对不同异构应用程序的访问，而无需大量手动工作。

需要身份和访问管理解决方案的原因有很多：

由于业务流程同时运行在本地和云端，因此需要无缝地管理用户访问管理。
需要根据用户角色分配应用程序和信息访问权限，而不管目录中的技术层次结构如何。
提供自助服务用户和密码管理系统，避免对关键应用程序进行手动密码重置。
根据当前和以前的访问权限提取报告。
降低在复杂环境中执行用户配置的运营成本。
易于管理多个身份来源。
提供审计跟踪和日志系统来跟踪身份更改。
满足公司对用户访问管理解决方案的特定要求。
防止在多企业环境中对公司资源（企业应用程序、数据库、Web 应用程序、活动目录等）进行未授权访问。

主要优点

以下是使用 SAP 身份管理的主要优点：

确保用户权限在正确的时间分配给所需的系统，并防止未授权访问。
在多个复杂的企业环境中，一致地管理用户角色和权限。
安全执行业务审批工作流程和流程。
易于管理审计跟踪和日志系统进行跟踪。

SAP IDM - 架构

SAP 身份管理系统用于维护跨不同 ECC 应用程序的身份数据。您可以根据可用的授权从不同的 SAP 应用程序导入数据到 IDM。从后端应用程序导入授权后，权限将添加到系统中，然后同步到后端应用程序。

用户界面用于在身份存储中执行不同的自我管理身份任务，并将更改复制回后端应用程序。

大多数 SAP 身份管理组件运行在 NetWeaver 应用程序和 Java 服务器上。SAP IdM 的一些重要组件包括：

SAP 身份存储
供用户和管理员使用的用户界面
IdM 数据库
IdM 开发者工作室
开发者工作室服务
运行时组件

身份存储提供来自多个来源的身份数据的统一视图，并有助于管理业务流程、日志记录和审核、密码管理以及访问管理的报告功能。身份中心从不同的应用程序存储库收集数据，将其转换为所需的格式，并将其复制回源存储库。

一些 IDM 组件运行在 SAP NetWeaver AS for Java 上，其中包括供用户和管理员使用的身份管理用户界面，但其他一些组件则单独安装，并且是独立组件。下面提到了 SAP IDM 架构的关键组件：

管理员可以使用软件配置管理器 1.0 安装工具安装 SAP 身份管理。配置管理器 1.0v 安装所有 SAP 身份管理组件，除了 IDM 开发者工作室客户端、登录帮助和 SAP IDM 密码管理实用程序。上述组件需要使用外部客户端工具手动安装。

SAP IDM 调度程序实用程序

用于在 IDM 系统中创建新的调度程序。使用用户界面组件，您还可以停止或启动调度程序。这可以通过用户界面组件或使用命令行选项来完成。

IDM 运行时引擎

IDM 的此组件用于同步和配置任务，并且需要 SAP Java 虚拟机才能执行。

SAP IDM - 安装

您可以在分布式环境中安装 SAP IdM 系统，其中每个进程都在单独的系统上运行。您可以使用任何操作系统来执行安装，并选择任何数据库，例如 MS SQL、Oracle、DB2 等。

您可以使用软件配置管理器 (SWPM) 工具来执行 IdM 的安装。按照以下步骤，您可以安装 SAP IdM：

安装 IdM 核心组件

要安装 IdM 核心组件，请使用 OD 管理员帐户登录并启动软件配置管理器工具 (sapinst.exe)，然后选择 SAP Identity Management 8.0 → 安装 → 分布式系统 → SAP Identity Management 核心组件，如下所示

以典型模式运行安装。启动核心组件安装后，您需要输入 SAP SID 和目标驱动器。

按照安装步骤操作，并输入 SAP 归档文件、SAP 主机代理等的路径。接下来，系统会提示您选择数据库系统：

提供运行数据库的主机名、端口号和 IdM 数据库的凭据：

在下一个窗口中，您必须提供要用于 IdM 包的数据库模式前缀和基本限定名称：

在后续步骤中输入其他参数，并按照说明步骤操作，然后单击“下一步”按钮运行安装。完成 IdM 核心组件的安装后，将显示以下消息：

安装 SAP IdM 运行时和其他开发者组件

登录到要安装 IdM 运行时和其他可部署组件的其他主机，打开软件配置管理器，然后选择 SAP Identity Management 8.0 → 安装 → 分布式系统 → SAP Identity Management 调度程序实例。

SAP Identity Management Dispatcher Instance

以典型模式启动安装过程，并提供 SAP IdM 系统的配置文件 ddir 路径，如下所示：

按照安装步骤操作，并输入分配给 SAP IdM 调度程序的实例编号，也可以使用默认值。

在下一步中，提供驱动程序路径和 JDBC 驱动程序类名。查看参数，然后继续完成安装步骤。

安装 SAP IdM 可部署组件

打开软件配置管理器。选择 SAP Identity Management 8.0 → 安装 → 分布式系统 → SAP NetWeaver AS Java 上的 SAP Identity Management 组件。

这将安装以下组件：

必备组件

SAP IdM 开发者工作室服务
SAP IdM 用户界面

附加组件

SAP IdM REST 接口
SAP IdM 门户内容
身份联合

按照之前的安装步骤操作，并提供要使用这些组件的 NetWeaver Java 系统的 SAP SID：

在下一步中，您需要选择要部署的其他 IdM 可部署组件：

选择附加组件后，单击“下一步”按钮，SAP IdM 可部署组件的安装将完成。

虚拟安装活动目录服务器

打开软件配置管理器，然后选择 SAP Identity Management 8.0 → 安装 → 附加组件 → SAP Identity Management 虚拟目录服务器。这将在选定的主机上安装虚拟目录服务器实例 8.0。

Installing Active Directory Server Virtually

按照安装步骤操作，并提供要分配给虚拟目录服务器的实例编号，也可以使用提供的默认值。

下一步是查看参数并完成安装过程。

SAP IDM - 开发者工作室

SAP IDM 开发者工作室是一个基于 Eclipse 的插件，用于配置身份管理解决方案。这是一个基于客户端的工具，必须安装在每个开发人员或管理员系统上。要启用身份管理开发者工作室，从 Eclipse 用户界面导航到“帮助”->“安装新软件”。

接下来是提供插件可用的存储库站点。单击“添加……”，如下面的屏幕截图所示：

这将打开“添加存储库”对话框，输入名称，例如“SAP Identity Management Developer Studio”，并在“位置”字段中输入 Identity Management Developer Studio 插件的 URL。为 Eclipse Oxygen (4.7) 提供此 URL https://tools.hana.ondemand.com/oxygen ->“确定”。

展开 SAP Identity Management Tools 后，选择 SAP Identity Management Developer Studio 复选框，然后单击“下一步”。

配置 SAP IdM 开发者工作室

在 SAP IDM 开发者工作室中，您可以添加与 IDM 数据库的连接。您需要输入以下详细信息：

应用程序服务器名称
端口
数据源

在“首选项”->“连接”->“单击 + 号”。

提供所需的信息，然后单击“确定”添加数据库。添加数据库后，您可以展开并查看树视图。

SAP IDM - 设置框架

在 SAP Identity Management 中，您可以使用一组模板连接到 SAP 系统，并为不同的任务设置作业和流程。SAP IDM 中的包是最小的代码单元，可以是连接器类型或其他包使用的实用程序集。管理员可以向用户授予单独传输每个包的权限，然后处理配置以对其进行自定义。IDM 提供配置包作为默认组件，以提供自定义的起点。

每个包都使用全局唯一名称标识，这意味着您不能在任何身份存储中使用相同的包名称。

您通常可以找到以下包类型：

引擎包

此包提供核心流程，这些流程负责触发必要的流程和其他在其他包中使用的公共脚本。

连接器包

此包提供连接器，用于配置特定系统，例如 SAP ABAP 等。

表单包

此包存储所有不同事务类型的用户界面任务的定义

此包包含通知任务和模板，用于发送配置、审批任务和业务工作流程的通知。

自定义包

此软件包用于自定义配置框架，而无需更改其他已存储的软件包。此软件包包含来自其他客户的自定义脚本以及一些可用于自定义其他软件包的默认自定义脚本。

用户访问软件包的授权

要访问软件包的内容，用户必须对该软件包拥有必要的授权。软件包存在以下授权：

查看
开发者
布局开发者
导入
所有者

SAP IDM - 存储库类型

要将您的 SAP 和非 SAP 系统连接到 SAP Identity Management，必须基于不同的类型创建存储库。存储库类型说明所有可用存储库类型的公共常量，并协助存储库配置过程。

以下是使用存储库类型的优势：

对于所有存储库类型，您可以更改存储库常量，这将应用于现有和新的存储库。
您还可以为任何类型的现有和新存储库添加新的常量。

通常在以下情况下需要更改给定存储库的存储库类型：

将 SAP Identity Management 从 v7.2 升级到 8.0 并要在 SAP IDM 8.0 中使用配置框架。这将允许您配置 v7.2 存储库以更改新框架中提供的存储库类型。
存在具有自定义功能的自定义存储库类型，并且您想将任何现有存储库类型更改为自定义类型。

要更改存储库类型，您必须登录到 SAP Identity Management 管理 UI - “http://<主机>:<端口>/idm/admin”。

接下来选择“系统配置”选项卡 -> 从左侧菜单点击“存储库”。

您可以选择一个已禁用的存储库，然后点击“更改存储库类型”。

接下来是选择存储库类型 -> 提供描述（可选字段）-> 确定。接下来验证存储库常量，并在需要时修复值，如下所示。

Configuration History Repository Operations

您还可以通过导航到“配置历史记录存储库操作”来查看存储库更改历史记录。

您还可以查看由于存储库类型更改而导致的存储库常量更改，导航到配置历史记录 $\rightarrow$ 存储库常量

SAP IDM - 使用身份存储

在 SAP IDM 中，存储在身份存储中的信息用于配置框架，这为管理与身份相关的身份信息（如部门、员工姓名、组、业务单元等）提供了一个集中式存储库。身份存储还提供广泛的审计跟踪和跟踪功能来监控可以更改的属性。

通常，身份存储连接到 SAP NetWeaver AS for Java 中的身份管理用户界面，并且每个 Java 安装只能连接到一个身份存储。创建身份存储时会在系统中添加许多系统属性。有一个标识符 MSKEYVALUE，它在所有条目类型中存储身份存储中的唯一标识符。

在身份管理中，您使用条目类型来定义条目属性，例如允许的和必需的属性。

注意 - MSKEY 编号在身份中心的所有身份存储中都是唯一的。

管理身份存储中的条目类型

通常不建议删除身份存储中的条目类型，因为它们对于审计跟踪和跟踪目的而言是必需的。您可以将其标记为非活动状态或使用状态字段来标记该条目类型的状态。

例如 - 员工以后可以重新加入公司，在这种情况下，如果可以对该员工使用相同的条目类型，则可以简化流程。

SAP IDM - 身份中心属性

身份中心是 SAP IDM 的主要组件，它为身份管理系统提供关键功能。身份中心使用身份存储来管理所有关键功能。SAP 身份中心通常与管理控制台和其他运行时组件一起安装。为了通过 Active Directory 服务器使用登录服务进行自助服务密码管理，SAP IDM 应该与身份中心配置。

以下是使用身份中心执行的关键功能：

密码重置
业务和工作流
日志记录
审计跟踪
报告
配置

SAP 身份中心包含以下组件：

管理控制台

管理控制台是 MMC 中的一个插件，用于设置配置框架中不同任务和作业的起始配置。

数据库管理

SAP 身份中心使用数据库来维护有关配置任务和业务工作流、日志信息和审计跟踪以及身份存储等的所有信息。

您可以在身份中心中使用以下数据库：

Oracle 版本 10/11
DB2
MS SQL Server 2005/2008

复制身份中心配置

要将 SAP 身份中心配置和数据从一个数据库复制到另一个数据库，您可以使用系统复制。对于此任务，您可以在 SAP 社区网络中找到作业。从 SCN 下载 Zip 文件，解压缩文件，然后执行以下步骤：

创建调度程序
导入作业文件夹
配置导入的存储库

要传递调度程序脚本，您必须导航到“选项”选项卡 -> “创建调度程序脚本”。

创建脚本后，您需要传递运行作业和运行时引擎的详细信息。要定义此内容，请导航到“策略”选项卡 -> 选择“运行作业”复选框。

您可以在“选项”选项卡下检查调度程序状态 -> 要更新状态，请单击“刷新”按钮。状态显示在“服务状态”字段下。

您还可以选择调度程序服务自动启动。为此，请选择“自动启动”字段的复选框以启用它。

您还可以手动管理调度程序作业以停止/启动。为此，您可以使用“服务状态”下的“启动”和“停止”选项：

SAP IDM - 管理包

如本教程前面所述，软件包是配置的最小单元，它可以是连接器或存储库中其他软件包使用的实用程序的集合。一些默认软件包作为身份管理核心组件的一部分交付并导入数据库，为解决方案提供起点。

软件包具有一组用于在身份管理存储库中维护它们的特性。以下是关键特性：

软件包限定名称
用户编辑
授权
版本控制
对象
传输软件包

软件包限定名称

SAP Identity 系统中的每个软件包都有一个限定名称，其中包含安装期间提供的基名称和软件包创建期间传递的软件包名称。安装期间传递的基名称通常包含字母数字、数字、下划线和点。例如 - XYZ.com。软件包创建期间传递的软件包名称是全局唯一的，即您不能在 SAP IDM 中的不同身份存储中拥有相同的软件包名称。

用户编辑

要更改软件包，您必须签出，完成后，您应该签入以使更新的配置可用于其他软件包。签出软件包后，其他用户无法对该软件包进行配置修改。

授权

要访问软件包内容，用户应该对该软件包具有权限。用户可以在身份存储中的软件包上拥有不同级别的授权。以下是软件包上存在的常见授权：

所有者
查看
开发者
导入
布局开发者

版本控制

使用软件包的版本控制，您可以恢复软件包的先前版本。软件包通常有两个版本号，主版本和次版本。

主版本 - 每当您更改软件包并将其公开时，主版本都会递增。

次版本 - 每当您签入软件包时，次版本都会递增。

对象

您可以将软件包中使用的对象定义为公共的或私有的。其他软件包可以调用公共对象。

传输软件包

身份存储中的每个软件包都是单独传输的。

注意 - 要在 SAP IDM Developer Studio 中执行配置框架，您必须导入引擎软件包、自定义软件包和连接器软件包。

SAP IDM - 使用流程

在 SAP Identity Management 中，您可以创建新流程并使用开发人员工作室将流程拖放到工作流中。您可以通过导航到软件包属性来禁用/启用软件包。

导航到流程属性的“常规”选项卡以启用/禁用流程。在“常规”选项卡下，您有以下选项：

字段
描述
已启用
流程 ID/名称

流程 ID 显示用于在 IdM 数据库中识别流程的编号。

使用流程属性

身份存储中的流程定义了一组按特定顺序执行的操作。您会看到流程属性的以下选项：

常规

使用“常规”选项卡，您可以启用/禁用流程或定义流程类型。您还可以为流程定义存储库。

结果处理

此选项卡可用于执行流程的结果处理。

文档

在此字段中，您可以提供流程的文档。

SAP IDM - 身份存储表单

身份存储表单用于维护身份存储中的条目，例如权限、用户、角色等。一组表单作为配置框架中的软件包默认提供。身份表单通常包含以下字段：

属性定义
访问控制
UI 配置详细信息

通常将表单定义为软件包内的公共对象，但是您可以将其从公共对象中移除并读取它们。除了默认表单外，还有其他引导活动，如下所示：

查看分配请求表单

这些表单可用于检查分配请求的状态，并可用于授权用户重新启动任何失败的活动。

分配请求表单

此表单用于向用户提供一个或多个分配，通常用于提供基于上下文的角色。

密码重置

此表单用于为用户提供重置密码的引导活动。

要创建表单，请使用 Identity Management 开发人员工作室在软件包中导航到“表单”文件夹 $\rightarrow$ “新建”。

接下来根据以下表单选项采取操作：

如果要创建表单文件夹，请选择“文件夹”选项。

或者要创建表单 $\rightarrow$ 选择“表单”。

或者要创建引导任务表单 $\rightarrow$ 选择“分配请求/查看分配请求/密码重置”表单。

您还可以配置表单属性，以下选项卡可用，并在进行更改后，导航到“文件”->“保存”。

常规
结果处理
属性
访问控制
演示
文档

常规

此选项卡用于执行表单的一般属性。以下是“常规”选项卡下的选项：

字段	描述
已启用	启用/禁用表单

表单 ID/名称

这显示一个在 Identity Management 数据库中标识表单的编号。

表单类型

此选项用于定义表单类型。以下值可用：

常规
访问控制表单
显示表单
搜索表单

存储库

此选项可用于将存储库链接到表单。运行表单时，将使用选定的存储库。

结果处理

此选项用于配置表单的结果处理部分。

属性

此选项用于定义表单属性。

参数

参数用于配置引导活动 - 分配请求/查看分配请求/密码重置。

访问控制

使用此选项卡，您可以定义表单的访问部分。

演示

此部分用于配置表单显示。

文档

您可以在此选项卡中提供表单描述。

SAP IDM - 管理作业

在 SAP IDM 中，作业存储在包下的作业文件夹中，并在身份存储区内执行。可以执行以下操作：

创建新作业
启用/禁用现有作业
执行作业

要创建新作业，请选择包的“作业文件夹”，然后选择“新建”→“作业”。您可以输入作业名称，连接到调度程序并定义作业属性。

您还可以定义作业属性。要定义作业属性，请在树状视图中选择作业，然后从上下文菜单中单击“属性”选项。

以下是可用选项：

常规
日志记录
状态
文档

要保存对作业的更改，请转到“文件”→“保存”。

在“常规”选项卡下，可以使用以下选项定义作业属性：

启用 - 此复选框可用于启用/禁用作业。

作业 ID/名称 - 此处显示唯一的 ID 和作业名称。

调度规则 - 调度规则用于定义作业执行频率。

调度时间 - 调度时间显示作业计划运行的时间。

您还可以选择“运行”立即运行作业。调度时间将设置为当前时间。

要停止正在运行的作业，您可以单击“停止”按钮。

由调度程序运行 - 您可以选择允许运行此作业的调度程序。

SAP IDM - 自助服务密码重置

在 SAP IdM 8.0 或更高版本中，您可以为最终用户配置登录帮助服务或自助服务密码重置。使用登录帮助服务，最终用户可以更改其密码。要配置自助服务密码重置，应满足以下前提条件：

您应该在系统环境中至少运行一个调度程序。
除了管理员之外，还应该存在一个用户帐户。
应该配置一个身份管理用户界面。
应该有一个 UME 角色，其中包含分配给 UME 中“匿名用户”组的“idm_anonymous”操作。

下一步是为最终用户创建密码重置表单并将其添加到身份存储配置。

请按照以下步骤创建密码重置表单：

转到 SAP IdM 开发者工作室→导航到您要为自助服务密码重置创建表单的包→表单。

转到上下文菜单→新建→密码重置。您可以将表单重命名为 PasswordReset 表单。

接下来是分配匿名用户组以允许访问。为此，请转到新创建表单的“访问控制”选项卡→在“允许访问”下拉列表中选择“匿名”→“确定”。

要保存更改，请转到“文件”→“保存”。

定义密码重置参数

要使用自助服务密码重置，您需要定义密码重置参数，例如应提示的问题数量、验证所需的最小正确答案数量等。

要定义参数，请转到密码重置表单的上下文菜单→属性。导航到“参数”选项卡并根据需要配置参数。

SAP IDM - 设置电子邮件通知

您可以使用 SAP 配置框架中提供的通知包在 SAP Identity Management 8.0 中设置电子邮件通知。开发者工作室中有一个包“com.sap.idm.util.notification”，其中包含启用通知所需的通知包和模板。

要配置电子邮件通知，您需要传递“NOTIFYEVENT”包常量的值，并使其指向通知模板。您可以使用以下通知事件类型：

NOTIFYEVENT_ASSIGNMENT_COMPLETED - 发送与分配权限相关的通知

NOTIFYEVENT_ASSIGNMENT_FAILED - 发送与分配失败相关的通知

NOTIFYEVENT_ASSIGNMENT_REVOKED - 发送与访问权限删除相关的通知

NOTIFYEVENT_PASSWORD_CHANGED - 发送与密码更改相关的通知

NOTIFYEVENT_USER_MODIFIED - 发送与修改用户帐户相关的通知

NOTIFYEVENT_USERACCOUNT_CREATED - 发送与用户帐户创建相关的通知

NOTIFYEVENT_USERACCOUNT_DELETED - 发送有关用户删除的通知

NOTIFYEVENT_USERACCOUNT_DISABLED - 发送与用户帐户禁用相关的通知

NOTIFYEVENT_USERACCOUNT_ENABLED - 启用用户通知

要使用这些通知事件，您需要在 IdM 开发者工作室中签出包并创建一个流程。

配置通知事件类型后，您需要在通知包常量中添加邮件模板名称。

SAP IDM - 连接 SAP ABAP 系统

您可以配置 SAP Identity Management 系统以连接到 SAP ABAP 系统并配置 ABAP 用户。在 SAP IdM 8.0 或更高版本的配置框架中，提供了一个名为“com.sap.idm.connector.abap”的独立包中的连接器。此连接器可用于使 SAP Identity Management 系统与 SAP ABAP 系统通信以进行用户配置。

创建更新作业

在 IdM 开发者工作室树状视图中，您必须选择要为其创建作业的连接器包。例如：对于 ABAP 连接器包“com.sap.idm.connector.abap”。

接下来，转到“作业”文件夹，复制初始作业加载并重命名 ABAP 更新所需的作业为“ABAP- 更新”。

保持以下通过激活并禁用其他通过：

ReadABAPRoles
ReadABAPProfiles
ReadABAPCompanyAddress
ReadJavaRoles
WriteABAPRolePrivileges - 只有在相应的 Read 通过处于活动状态时
WriteABAPProfilePrivileges - 只有在相应的 Read 通过处于活动状态时
WriteABAPCompanyAddress - 只有在 ReadJavaRoles 通过处于活动状态时
WriteJavaRolePrivileges - 只有在相应的 ReadJavaRoles 通过处于活动状态时

SAP IdM 开发者工作室中还有其他包可用于连接到其他 SAP 系统。您必须搜索 SAP 配置框架包，选择 IdM 文件并选择正确的文件。

例如，要连接到 SAP HANA 系统，您可以选择 HANA 连接器包文件“com.sap.idm.connector.hana.idmpck”。

选择所需的包，该包将导入到 Identity Management Developer Studio。

SAP IDM - 连接非 SAP 系统

要将非 SAP 系统连接到 SAP Identity Management，如果默认连接器包不可用，则您可以为这些常用系统（JDBC、Web 服务、平面文件、数据库、LDAP 等）构建您自己的连接器。

第一步是设置存储库和初始加载。要设置存储库，您可以使用存储库向导。

下表确认 SAP Identity Management 中提供的连接器列表：

SAP IDM - 使用 SAP BW 进行身份报告

您还可以将 SAP Business Warehouse 系统用于报告目的。要将 BW 用于报告，您应该设置 SAP IDM 和 BW 之间的连接。之后，您需要将身份存储数据传输到 BW。要连接 SAP BW，您可以使用 IdM 开发者工作室中提供的 SAP 包。

使用 SAP BW 进行报告时，需要以下软件组件：

身份中心
虚拟目录服务器 (VDS)
SAP NetWeaver BW
BW 系统上的 Web 服务

要开始数据传输，您需要在身份中心创建一个作业，该作业会触发来自虚拟目录服务到 BW 系统持久暂存区的 Web 服务调用。

您可以根据要传输的数据量配置多个调用。这用于初始数据加载和执行后续增量加载。

SAP IDM - 使用 GRC 10.0 集成

您可以通过在身份中心启用一组流程来将 SAP Identity Management 系统与访问控制 GRC 集成。使用 SAP IdM 系统，您可以根据访问控制中定义的合规性规则，在多个连接的系统中执行配置。根据身份管理和访问控制之间定义的通信，您可以触发以下调用以实现角色同步。

RFC 通信
Web 服务通信

要将 GRC 配置框架导入到身份中心，您可以在 SAP Identity Management 8.0 版本中使用单独的包“com.sap.idm.grc.grc10”。此包提供存储库类型、初始配置流程、作业和脚本以执行初始加载。

此包com.sap.idm.grc.grc10提供了一组内部和公共流程。以下是公共流程列表：

以下屏幕截图显示了将 GRC 访问控制集成到 Identity Management 的包结构：

SAP IDM - 迁移到新版本

您还可以将 SAP Identity Management 7.1/7.2 升级到 8.0 版本。如果您使用的是 SAP IdM v7.1，则要升级到 8.0 版本，您需要先升级到 SAP IdM v7.2。要迁移到 SAP Identity Management 8.0，您的当前系统应该运行在 v7.2 SP09 或 v7.2 SP10 上。

SAP Identity Management v8.0 比旧版本有一些重要的改进：

可以选择将 IDM Developer Studio 作为 Eclipse 插件使用
易于与其他 SAP 系统集成
更好的安全性和访问控制

在开始升级之前，应执行以下检查：

所有调度程序都应停止。
REST API 和用户界面应停止。
应备份数据库和身份数据。
要升级 SAP IdM 数据库，您应该使用 mxmc_update 脚本。

您可以单独执行 SAP Idm 8.0 版本的安装，安装后，您需要将 key.ini 文件从 7.2 系统复制到指定的路径：

在数据库节点上使用此位置 - /usr/sap//SYS/global/security/data/Key/Keys.ini
在运行时环境中使用此位置 - /usr/sap//IDM/Identity_Center/Key/Keys.ini
您应该将 Keys.ini 文件设置为引用此路径 - \\\sapmnt\\SYS\global\security\data\Key\Keys.ini，其中是 SAP Identity Management 系统的 SAP 系统 ID
接下来，执行从 SAP IdM v7.2 导入身份存储
接下来，执行从 SAP IdM v7.2 导入存储库
接下来，执行从 SAP IdM v7.2 导入作业文件夹
接下来，执行从 SAP IdM v7.2 导入数据

SAP IDM - 工作职责

SAP IdM 管理员的主要职责如下：

具有至少 3-6 年的 SAP IdM 经验
将 IdM 连接到 SAP 和非 SAP 系统、AD 系统和数据库的经验
处理基于业务角色的分配的能力
设置和监控IdM作业
良好理解和经验，熟悉SAP安全和授权
执行SAP IdM任务的经验——用户管理、业务和流程工作流、身份存储管理
为不同的SAP和非SAP应用程序设置存储库
了解SAP GRC v10访问控制和基于角色的职责分离，包括GRC规则
良好理解信息安全控制和ISO27001控制知识

打印页面