SAP IDM - 快速指南

SAP IDM - 简介

在大型企业中，主要挑战是安全地组织和维护身份数据和权限。企业数据存储在不同的应用程序中并从多个来源收集，因此管理数据机密性存在重大风险。为了分配数据安全性，需要管理和维护最新的身份数据和权限。市场上有各种身份和访问管理模块，可以帮助数据所有者准确和最新地管理身份信息。

主要 ERP 软件提供商提供内置功能来管理其他模块的身份。这些身份管理工具嵌入在 ERP/CRM 软件中，无需显式安装或配置。

SAP Identity Management 是 SAP 提供的类似工具，可帮助公司在 SAP 和非 SAP 系统的复杂环境中管理其用户帐户。通过使用 SAP Identity 管理工具，公司可以管理和提供对不同异构应用程序的访问，而无需太多手动操作，而且非常安全。

需要身份和访问管理解决方案的原因有多种 -

由于业务流程在本地和云上运行，因此需要无缝地管理用户访问管理。
需要根据用户角色分配应用程序和信息访问权限，而不考虑目录中的技术层次结构。
提供自助用户和密码管理系统，避免关键应用程序的手动密码重置。
根据当前和以前的访问情况提取报告。
降低在复杂环境中执行用户配置的运营成本。
轻松管理多个身份来源。
可用审计跟踪和日志系统来跟踪身份更改。
满足公司对用户访问管理解决方案的特定要求。
防止对多企业环境中的公司资源（企业应用程序、数据库、Web 应用程序、Active Directory 等）进行未经授权的访问。

主要优点

以下是使用 SAP Identity Management 的主要优势 -

确保用户权限在正确的时间分配给所需的系统，并防止未经授权的访问。
在多个复杂的企业环境中管理用户角色和权限的一致性。
安全执行业务审批工作流程和流程。
易于管理审计跟踪和日志系统以进行跟踪。

SAP IDM - 架构

SAP 身份管理系统用于维护不同 ECC 应用程序之间的身份数据。您可以根据可用授权将数据从不同 SAP 应用程序导入到 IDM。从后端应用程序导入授权后，权限将添加到系统中，然后同步到后端应用程序。

用户界面用于在身份存储中执行不同的自我管理身份任务，并将更改复制回后端应用程序。

大多数 SAP Identity 管理组件都在 NetWeaver 应用程序和 Java 服务器上运行。SAP IdM 的重要组成部分很少包括 -

SAP 身份存储
用户和管理员的用户界面
身份管理数据库
IdM 开发工作室
开发者工作室服务
运行时组件

身份存储提供来自多个来源的身份数据的一致视图，并有助于管理业务流程、日志记录和审计、密码管理以及访问管理的报告功能。身份中心从不同的应用程序存储库收集数据，转换为所需的格式并将其复制回源存储库。

IDM 的组件很少在 SAP NetWeaver AS for Java 上运行，其中包括用户和管理员的身份管理用户界面，但其他组件很少是单独安装的和独立的组件。下面提到的 SAP IDM 架构的关键组件 -

管理员可以使用 Software Provisioning Manager 1.0 安装工具安装 SAP Identity Management。Provisioning Manager 1.0v 安装除 IDM Developer Studio 客户端、登录帮助和 SAP IDM 密码管理实用程序之外的所有 SAP Identity Management 组件。提到要使用外部客户端工具手动安装的组件。

SAP IDM 调度程序实用程序

这用于在 IDM 系统中创建新的调度程序。通过使用用户界面组件 - 您还可以停止或启动调度程序。这可以通过用户界面组件或使用命令行选项来完成。

IDM 运行时引擎

IDM 的该组件用于同步和配置任务，需要 SAP Java 虚拟机来执行。

SAP IDM - 安装

您可以在分布式环境中安装 SAP IdM 系统，其中每个进程在单独的系统上运行。您可以使用任何操作系统来执行安装并选择任何数据库，如 MS SQL、Oracle、DB2 等。

您可以使用软件配置管理器 (SWPM) 工具来执行 IdM 的安装。通过执行以下步骤，您可以安装 SAP IdM -

安装 IdM 核心组件

要安装 IdM 核心组件，请使用 OD 管理员帐户和 stat Software Provisioning 管理器工具 (sapinst.exe) 登录，然后选择 SAP Identity Management 8.0 $\rightarrow$ Installation $\rightarrow$ Distributed System $\rightarrow$ SAP Identity Management Core Component 作为如下所示

在典型模式下运行安装。开始核心组件安装后，您需要传递 SAP SID 和目标驱动器。

按照安装步骤操作并传递 SAP 存档、SAP 主机代理等的路径。接下来，系统将提示您选择数据库系统 -

提供数据库运行所在的主机名、端口号和 IdM 数据库的凭据 -

在下一个窗口中，您必须提供用于 IdM 包的数据库架构前缀和基本限定名称 -

在后续步骤中传递其他参数并按照说明步骤操作，然后单击“下一步”按钮运行安装。当 IdM 核心组件安装完成时，将出现以下消息 -

安装 SAP IdM 运行时和其他开发人员组件

登录到要安装 IdM 运行时和其他可部署组件的其他主机，打开 Software Provisioning Manager 并选择 SAP Identity Management 8.0 $\rightarrow$ 安装 $\rightarrow$ 分布式系统 $\rightarrow$ SAP Identity Management 调度程序实例。

以典型模式启动安装过程并提供 SAP IdM 系统的配置文件 ddir 补丁，如下所示 -

按照安装步骤进行操作，并将分配给 SAP IdM 调度程序的实例编号传递给 SAP IdM 调度程序，或者您也可以使用默认值。

在下一步中，提供驱动程序路径和 JDBC 驱动程序类名。检查参数并继续完成安装步骤。

安装 SAP IdM 可部署组件

打开软件配置管理器。选择 SAP Identity Management 8.0 $\rightarrow$ 安装 $\rightarrow$ 分布式系统 $\rightarrow$ SAP NetWeaver AS Java 上的 SAP Identity Management 组件。

这将安装以下组件 -

强制组件

SAP IdM Developer Studio 服务
SAP IdM 用户界面

附加组件

SAP IdM REST 接口
SAP IdM 门户内容
身份联合

按照之前安装中的步骤进行操作，并提供要使用这些组件的 NetWeaver Java 系统的 SAP SID -

在下一步中，您需要选择要部署的其他 IdM 可部署组件 -

选择其他组件后，单击“下一步”按钮，SAP IdM 可部署组件的安装将完成。

虚拟安装 Active Directory 服务器

打开 Software Provisioning Manager 并选择 SAP Identity Management 8.0 $\rightarrow$ 安装 $\rightarrow$ 其他组件 $\rightarrow$ SAP Identity Management 虚拟目录服务器。这将在选定的主机上安装虚拟目录服务器实例 8.0。

按照安装步骤操作并提供实例编号以分配给虚拟目录服务器，或者您可以使用提供的默认值。

下一步是检查参数并完成安装过程。

SAP IDM - 开发人员工作室

SAP IDM Developer Studio 是一个基于 Eclipsed 的插件，用于配置身份管理解决方案。这是一个基于客户端的工具，必须安装在每个开发人员或管理员系统上。要启用身份管理开发人员工作室，请从 Eclipse 用户界面导航到“帮助”->“安装新软件”。

接下来是提供可从中获取插件的存储库站点。单击“添加...”，如下面的屏幕截图所示 -

这将打开“添加存储库”对话框，传递名称，例如“SAP Identity Management Developer Studio：”，并在位置字段下传递 Identity Management Developer Studio 插件的 URL。为 Eclipse Oxygen (4.7)提供此 URL https://tools.hana.ondemand.com/oxygen -> 确定。

展开 SAP Identity Management Tools 时，选择 SAP Identity Management Developer Studio 复选框，然后单击下一步。

配置 SAP IdM Developer Studio

在 SAP IDM Developer studio 中，您可以添加与 IDM 数据库的连接。您需要传递以下详细信息 -

应用服务器名称
港口
数据源

在“首选项”->“连接”->“单击+号”下。

提供所需的信息并单击“确定”以添加数据库。添加数据库后，您可以展开并查看树视图。

SAP IDM - 设置框架

在 SAP Identity Management 中，您可以使用一组模板连接到 SAP 系统并设置不同任务的作业和流程。SAP IDM 中的包是最小的代码单元，可以是其他包使用的连接器类型或实用程序集。管理员可以授予用户单独传输每个包的权限，然后进行配置以自定义它们。IDM 提供配置包作为默认组件，以提供起点定制。

每个包都使用全局唯一名称进行标识，这意味着您不能在任何身份存储中具有相同的包名称。

您通常可以找到以下封装类型 -

发动机包

该包提供了负责触发其他包中使用的必要流程和其他常见脚本的核心流程。

连接器封装

该包提供了连接器，用于配置 SAP ABAP 等特定系统。

表格包

该包存储不同交易类型的所有用户界面任务的定义

该包包含通知任务和模板，用于发送配置、批准任务和业务工作流的通知。

定制套餐

该包用于自定义配置框架，而无需更改其他存储的包。该软件包包含来自其他客户的自定义脚本以及一些可用于自定义其他软件包的默认自定义脚本。

用户访问包的权限

要访问包的内容，用户必须拥有该包所需的授权。软件包存在以下授权 -

看法
开发商
布局开发人员
进口
所有者

SAP IDM - 存储库类型

要将 SAP 和非 SAP 系统连接到 SAP Identity Management，必须根据不同类型创建存储库。存储库类型告诉所有可用存储库类型的通用常量，并协助存储库配置过程。

以下是使用存储库类型的优点 -

对于所有存储库类型，您可以更改存储库常量，这将应用于现有的和新的存储库。
您还可以为任何类型的所有存储库添加新常量，这包括现有的和新的存储库。

在以下情况下，您通常需要更改给定存储库的存储库类型 -

同时将 SAP Identity Management 从 v7.2 升级到 8.0 并使用 SAP IDM 8.0 中的配置框架。这将允许您配置 v7.2 存储库以更改新框架中提供的存储库类型。
有具有自定义功能的自定义存储库类型，并且您希望将任何现有存储库类型更改为自定义。

要更改存储库类型，您必须登录 SAP Identity Management 管理 UI -“http://<host>:<port>/idm/admin”。

接下来是选择“系统配置”选项卡 -> 单击左侧菜单中的“存储库”。

您可以选择禁用的存储库，然后单击“更改存储库类型”。

接下来是选择存储库类型 -> 提供描述（可选字段） -> 确定。接下来是验证存储库常量并根据需要修复这些值，如下所示。

您还可以通过导航到“配置历史记录存储库操作”来查看存储库更改历史记录。

您还可以查看由于存储库类型更改而导致的存储库常量更改，导航到配置历史记录 $\rightarrow$ 存储库常量

SAP IDM - 使用身份存储

在 SAP IDM 中，存储在身份存储中的信息用于配置框架，这提供了一个集中存储库来管理与身份相关的信息，如部门、员工姓名、组、业务部门等。身份存储还提供广泛的审计跟踪和跟踪功能来监控属性这是可以改变的。

通常，身份存储连接到 SAP NetWeaver AS for Java 中的身份管理用户界面，并且每个 Java 安装只能连接到一个身份存储。创建身份存储时，系统中添加了许多系统属性。有一个标识符 - MSKEYVALUE，它在所有条目类型的身份存储中存储唯一标识符。

在身份管理中，您可以使用条目类型来定义条目属性，例如允许的属性和强制的属性。

注意- MSKEY 号码在所有身份存储的身份中心中是唯一的。

管理身份存储中的条目类型

通常不建议删除身份存储中的条目类型，因为审计跟踪和跟踪目的需要它们。您可以将其标记为非活动或使用状态字段来标记该条目类型的状态。

例如 - 员工可以稍后加入公司，如果可以为该员工使用相同的条目类型，则可以简化流程。

SAP IDM - 身份中心属性

Identity Center是SAP IDM的主要组件，为身份管理系统提供关键功能。身份中心使用身份存储来管理所有关键功能。SAP Identity center 通常安装有管理控制台和其他运行时组件。要通过 Active Directory 服务器使用登录服务进行自助密码管理，SAP IDM 应配置身份中心。

以下是使用身份中心执行的关键功能 -

重设密码
业务和工作流程
记录
审计追踪
报告
配置

SAP Identity Center 包含以下组件 -

管理控制台

管理控制台是 MMC 中的插件，用于为配置流程中的不同任务和作业设置启动配置。

数据库管理

SAP Identity center 使用数据库来维护有关配置任务和业务工作流程、日志信息和审计跟踪以及身份存储等的所有信息。

您可以在身份中心使用以下数据库 -

Oracle 版本 10/11
数据库2
MS SQL Server 2005/2008

复制身份中心配置

要将 SAP Identity Center 配置和数据从一个数据库复制到另一个数据库，您可以使用系统复制。对于此任务，您可以在 SAP 社区网络中找到工作。从 SCN 下载 Zip 文件并解压该文件以及要执行的以下步骤 -

创建调度程序
导入作业文件夹
配置导入的存储库

要传递调度程序脚本，您必须导航到选项选项卡 -> 创建调度程序脚本

创建脚本后，您需要传递运行作业和运行时引擎的详细信息。要对此进行定义，请导航至“策略”选项卡 -> 选择“运行作业”复选框。

您可以在“选项”选项卡下检查调度程序状态 -> 要更新状态，请单击“刷新”按钮。状态显示在服务状态字段下。

您还可以选择调度程序服务自动启动。为此，请选中复选框“自动开始”字段以启用相同的功能。

您还可以管理调度程序作业以手动停止/启动。为此，您可以使用服务状态下方的启动和停止选项 -

SAP IDM - 维护包

正如本教程前面提到的，包是最小的配置单元，它可以是存储库中其他包使用的连接器或实用程序的集合。很少有默认包作为身份管理核心组件的一部分提供并导入到数据库中以提供解决方案的起点。

包具有一组功能，用于在身份管理存储库中维护它们。以下是主要特点 -

包限定名称
用户编辑
授权
版本控制
对象
运输包裹

包限定名称

SAP Identity 系统中的每个包都有限定名称，其中包含安装期间提供的基本名称和包创建期间传递的包名称。安装期间传递的基本名称通常包含字母数字、数字、下划线和点。例如 - XYZ.com。创建包期间传递的包名称是全局唯一的，即 SAP IDM 中的不同身份存储中不能有相同的包名称。

用户编辑

要对包进行更改，您必须签出，更改完成后，您应该签入以使更新的配置可用于其他包。签出包后，其他用户无法对该包进行配置修改。

授权

要访问包内容，用户应该拥有该包的权限。用户可以对身份存储中的包拥有不同级别的授权。以下是软件包上存在的常见授权 -

所有者
看法
开发商
进口
布局开发人员

版本控制

使用包的版本控制，您可以恢复包的先前版本。包通常有两个版本号，主要版本和次要版本。

主要版本- 每当您对包进行更改并将其公开时，主要版本都会增加。

次要版本- 当您每次签入包时，次要版本都会增加。

对象

您可以将包中使用的对象定义为公共或私有。公共对象可以被其他包调用。

运输包裹

身份存储中的每个包都是单独传输的。

注意- 要在 SAP IDM Developer Studio 中执行配置框架，您必须导入引擎包、自定义包和连接器包。

SAP IDM - 使用流程

在 SAP Identity Management 中，您可以创建新流程并使用 Developer Studio 在工作流中拖动流程。您可以通过导航到包属性来禁用/启用包。

导航到进程属性的常规选项卡以启用/禁用进程。在“常规”选项卡下，您有以下选项 -

场地
描述
启用
进程ID/名称

进程 ID 显示用于在 IdM 数据库中识别进程的编号。

使用过程属性

身份存储中的进程定义了按特定顺序执行的一组操作。您会看到以下 Process 属性选项 -

一般的

使用常规选项卡，您可以启用/禁用进程或定义进程类型。您还可以为流程定义存储库。

结果处理

此选项卡可用于执行流程的结果处理。

文档

在此字段中，您可以提供流程的文档。

SAP IDM - 身份存储表单

身份存储表单用于维护身份存储中的条目，例如权限、用户、角色等。一组表单默认作为配置框架中的包提供。身份表格通常包含以下字段 -

属性定义
访问控制
用户界面配置详细信息

通常，表单被定义为包内的公共对象，但是您可以将它们从公共对象中删除并读取它们。除了默认形式之外，还有其他指导活动，如下所示 -

查看作业申请表

这些表单可用于检查分配请求的状态，并可用于授权用户重新启动任何失败的活动。

作业申请表

这用于向用户提供一项或多项分配，通常用于提供基于上下文的角色。

重设密码

这用于为用户提供重置密码的指导活动。

要创建表单，请使用 Identity Management Developer studio $\rightarrow$ New 导航到包中的 Forms 文件夹。

接下来是按照下面的表单选项采取行动 -

如果要创建表单文件夹，请选择文件夹选项。

或者创建表单 $\rightarrow$ 选择“表单”。

或者创建指导任务表单 $\rightarrow$ 选择作业请求/查看作业请求/密码重置表单。

您还可以配置表单属性，以下选项卡可用，进行更改后，导航到“文件”->“保存”。

一般的
结果处理
属性
访问控制
推介会
文档

一般的

此选项卡用于执行表单的常规属性。以下是“常规”选项卡下的选项 -

场地	描述
启用	启用/禁用表单

表格ID/名称

这显示了标识身份管理数据库中的表单的编号。

表格类型

这用于定义表单类型。以下值可用 -

常规的
访问控制表
显示形式
搜索表格

存储库

此选项可用于将存储库链接到表单。运行表单时，将使用选定的存储库。

结果处理

这用于配置表单的结果处理部分。

属性

这用于定义表单属性。

参数

参数用于配置引导活动-分配请求/视图分配请求/密码重置。

访问控制

使用此选项卡，您可以定义表单的访问部分。

推介会

这用于配置表单呈现。

文档

您可以在此选项卡中提供表单描述。

SAP IDM - 维护工作

在 SAP IDM 中，作业存储在包下的作业文件夹内，并在身份存储内执行。可以执行以下操作 -

创建新工作
启用/禁用现有作业
执行工作

要创建新作业，请选择包的作业文件夹，然后选择新建 $\rightarrow$ 作业。您可以传递作业名称、连接到调度程序并定义作业属性。

您还可以定义作业属性。要定义作业属性 -> 在树视图中选择作业，然后从上下文菜单中单击“属性”选项。

以下选项可用 -

一般的
记录
状态
文档

要保存对作业的更改，请转至文件 $\rightarrow$ 保存。

以下选项可用于定义常规选项卡下的作业属性 -

已启用- 此复选框可用于启用/禁用作业。

作业 ID/名称- 这显示唯一的 ID 和作业名称。

计划规则- 计划规则用于定义作业执行频率。

计划时间- 计划时间显示作业计划运行的时间。

您还可以选择“运行以安排作业”立即运行。预定时间设置为当前时间。

要停止正在运行的作业，可以单击“停止”按钮。

由调度程序运行- 您可以选择允许运行此作业的调度程序。

SAP IDM - 自助服务密码重置

在 SAP IdM 8.0 或更高版本中，您可以为最终用户配置登录帮助服务或自助密码重置。通过登录帮助服务，最终用户可以更改密码。要配置自助密码重置，应满足以下预检查 -

您应该至少有一个调度程序在横向运行。
除了管理员之外，还应该存在一个用户帐户。
应该配置身份管理用户界面。
UME 中应该有具有操作“idm_anonymous”分配的匿名用户组的 UME 角色。

下一步是为最终用户创建密码重置表单并添加到身份存储配置中。

按照以下步骤创建密码重置表单 -

转到 SAP IdM 开发人员工作室 $\rightarrow$ 导航到要在其中创建自助密码重置表单的包 -> 表单。

转到上下文菜单 $\rightarrow$ 新建 $\rightarrow$ 密码重置。您可以将该表单重命名为PasswordReset 表单。

接下来是分配匿名用户组以允许访问。为此，请转到新创建的表单的“访问控制”选项卡 $\rightarrow$ 在允许访问下拉列表中选择匿名 $\rightarrow$ 确定。

要保存更改，请转至文件 $\rightarrow$ 保存。

定义密码重置参数

要使用自助密码重置，您需要定义密码重置参数，例如应提示的问题数、验证的最小正确答案数等。

要定义参数，请转至密码重置表单 $\rightarrow$ Properties 的上下文菜单。导航到参数选项卡并根据需要配置参数。

SAP IDM - 设置电子邮件通知

您可以使用 SAP 配置框架中提供的通知包在 SAP Identity Management 8.0 中设置电子邮件通知。Developer Studio 中提供了一个包“com.sap.idm.util.notification”，其中包含通知包和启用通知的模板。

要配置电子邮件通知，您需要传递“NOTIFYEVENT”包常量的值并将其指向通知模板。您有以下可用的通知事件类型 -

NOTIFYEVENT_ASSIGNMENT_COMPLETED - 发送与分配权限相关的通知

NOTIFYEVENT_ASSIGNMENT_FAILED - 发送与失败分配相关的通知

NOTIFYEVENT_ASSIGNMENT_REVOKED - 发送与访问删除相关的通知

NOTIFYEVENT_PASSWORD_CHANGED - 发送与密码更改相关的通知

NOTIFYEVENT_USER_MODIFIED - 发送与修改用户帐户相关的通知

NOTIFYEVENT_USERACCOUNT_CREATED - 发送与用户帐户相关的通知

NOTIFYEVENT_USERACCOUNT_DELETED - 发送有关用户删除的通知

NOTIFYEVENT_USERACCOUNT_DISABLED - 发送与用户帐户禁用相关的通知

NOTIFYEVENT_USERACCOUNT_ENABLED - 启用用户通知

要使用此通知事件，您需要在 IdM Developer Studio 中签出包并创建流程。

配置通知事件类型后，您需要在通知包常量中添加邮件模板名称。

SAP IDM - 连接 SAP ABAP 系统

您可以配置 SAP Identity 管理系统以连接到 SAP ABAP 系统并配置 ABAP 用户。在 SAP IdM 8.0 或更高版本的配置框架中，您将连接器作为单独的包提供，名称为“com.sap.idm.connector.abap”。此连接器可用于将 SAP Identity 管理系统与 SAP ABAP 系统进行通信以进行用户配置。

创建更新作业

在 IdM 开发人员工作室树视图中，您必须选择要为其创建作业的连接器包。例如：对于 ABAP 连接器包“com.sap.idm.connector.abap”。

接下来是转到作业文件夹，复制初始作业负载并将所需更新中的 ABAP 更新作业重命名为“ABAP-Update”。

保持以下通道处于活动状态并禁用其他通道 -

阅读ABAP角色
读取ABAP配置文件
读取ABAP公司地址
读取Java角色
WriteABAPRolePrivileges - 仅当相应的读取通道处于活动状态时
WriteABAPProfilePrivileges - 仅当相应的读取通道处于活动状态时
WriteABAPCompanyAddress - 仅当 ReadJavaRoles 传递处于活动状态时
WriteJavaRolePrivileges - 仅当相应的 ReadJavaRoles 传递处于活动状态时

SAP IdM Developer Studio 中还有其他软件包可用于连接到其他 SAP 系统。您必须搜索 SAP Provisioning Framework 包，选择 IdM 文件并选择正确的文件。

例如，要连接到SAP HANA系统，您可以选择HANA连接器包文件“com.sap.idm.connector.hana.idmpck”。

选择所需的包，该包将导入到Identity Management Developer Studio中。

SAP IDM - 连接非 SAP 系统

要将非 SAP 系统连接到 SAP Identity Management，如果默认连接器包不可用，那么您可以为这些常用系统（JDBC、Web 服务、平面文件、数据库、LDAP 等）构建自己的连接器。

第一步是设置存储库和初始加载。要设置存储库，您可以使用存储库向导。

下表确认 SAP Identity Management 中提供的连接器列表 -

SAP IDM - 使用 SAP BW 的身份报告

您还可以使用 SAP Business Warehouse 系统进行报告。要使用 BW 进行报告，您应该设置 SAP IDM 和 BW 之间的连接。发布您需要将身份存储数据传输到 BW。要连接 SAP BW，您可以使用 IdM Developer Studio 中提供的 SAP 包。

使用 SAP BW 进行报告时需要以下软件组件 -

身份中心
虚拟目录服务器 (VDS)
SAP NetWeaver BW
BW系统上的Web服务

要开始数据传输，您需要在身份中心创建一个作业，以触发从虚拟目录服务到 BW 系统上的持久暂存区域的 Web 服务调用。

您可以根据要传输的数据量配置多个呼叫。这既用于数据的初始加载，又用于执行后续的增量加载。

SAP IDM - 使用 GRC 10.0 集成

您可以通过在身份中心启用一组流程来将 SAP 身份管理系统与访问控制 GRC 集成。通过使用 SAP IdM 系统，您可以根据访问控制中定义的合规性规则在多个连接的系统中执行配置。根据身份管理和访问控制之间定义的通信，您可以触发以下调用来实现角色同步。

RFC通讯
网络服务通信

要将 GRC 配置框架导入 Identity Center，您可以使用SAP Identity Management 8.0 版本中的单独包“ com.sap.idm.grc.grc10 ”。该包提供存储库类型、初始配置流程、作业和执行初始加载的脚本。

此包com.sap.idm.grc.grc10提供了一组内部和公共流程。下面显示了公共进程的列表 -

以下屏幕截图显示了将 GRC 访问控制集成到身份管理的包结构 -

SAP IDM - 迁移到新版本

您还可以将 SAP Identity Management 7.1/7.2 升级到版本 8.0。如果您运行的是 SAP IdM v7.1，然后要升级到版本 8.0，则需要首先升级到 SAP IdM v7.2。要迁移到 SAP Identity Management 8.0，您当前的系统应在 v7.2 SP09 或 v7.2 SP10 上运行。

SAP Identity Management v8.0 较旧版本有一些关键改进 -

使用 IDM Developer Studio 作为 Eclipse 插件的选项
易于与其他 SAP 系统集成
更好的安全性和访问控制

在开始升级之前应执行以下检查 -

所有调度员都应该停止。
应停止 REST API 和用户界面。
应备份数据库和身份数据。
要升级 SAP IdM 数据库，您应该使用 mxmc_update 脚本。

您可以单独执行 SAP Idm 8.0 版本的安装并在安装后，您需要将 key.ini 文件从 7.2 系统复制到上述路径 -

在数据库节点上使用此位置 - /usr/sap/<SID>/SYS/global/security/data/Key/Keys.ini
在运行时环境中使用此位置 - /usr/sap/<SAPSID>/IDM<Instance_Number>/Identity_Center/Key/Keys.ini
您应该将 Keys.ini 文件设置为引用此路径 - \\<host>\sapmnt\<SAPSID>\SYS\global\security\data\Key\Keys.ini，其中 <SAPSID> 是 SAP Identity 的 SAP 系统 ID管理系统
接下来是从 SAP IdM v7.2 执行身份存储导入
接下来是从 SAP IdM v7.2 执行存储库导入
接下来是从 SAP IdM v7.2 执行导入作业文件夹
接下来是从 SAP IdM v7.2 执行导入数据

SAP IDM - 工作职责

SAP IdM 管理员的主要职责如下：

拥有至少 3-6 年 SAP IdM 经验
将 IdM 连接到 SAP 和非 SAP 系统、AD 系统和数据库的经验
能够处理基于角色的业务任务
设置和监控 IdM 作业
对 SAP 安全和授权有良好的理解和经验
具有执行 SAP IdM 任务的经验 - 用户管理、业务和流程工作流程、管理身份存储
为不同的 SAP 和非 SAP 应用程序设置存储库
了解 SAP GRC v10 访问控制和基于角色的职责分离（包括 GRC 规则）
对信息安全控制有良好的理解和 ISO27001 控制知识