8. UME
投稿するにはログインしてください


  • 0 Votes 181 閲覧数



    UMEは、すべての Java アプリケーションに集中的なユーザ及び権限管理機能を提供し、複数のデータソースからユーザ管理データに対して作業することができます。

    コンセプト

    UMEのユーザ及び権限管理以下の要素から構成されます。

    ユーザ管理権限制御会社機能ユーザ管理

    AsJavaシステムを利用する個人や他のアプリケーションプログラムは、匿名ユーザを除く、すべてUMEで一意なIDをもって管理されます。
    職位や部署など、同じ属性をもつユーザを纏めて権限などを管理できるような仕組みとして、ユーザの集まりを示すグループというコンセプトがサポートされています。

    権限管理

    UMEの権限管理の仕組みは、アクションとロールから構成されます。
    アクションはどんな処理ができるかという権限を示すものです。
    アクションはABAPシステムの権限オブジェクトに相当します、ABAP権限オブジェクトと同じ、アクションもプログラム実装やシステムコンフィグにより定義されるものです。そのため、ユーザからできる作業は割り当てだけです。

    アクションをロールに割り当てて、さらにロールをユーザやグループに割り当てることにより、ユーザ毎の権限制御が実現されます。
    下記の図でそのイメージを示します。


    (source : sap help portal)

    会社機能

    会社機能を利用すれば、一つのAsJAVAシステムに会社毎の仮想システムを構築して、複数の会社を互いに影響せずに共存させることができます。

    実現アーキテクチャ

    UMEのアーキテクチャは以下の階層図で示すことができます。

    (source : sap help portal)

    エンジン

    UMEのエンジンはライブラリとしてAsJavaのコアに組み込まれています。

    SC:SERVERCOREDC:com.sap.security.core.sda

    UMEを利用するアプリケーションに統一したAPIはまた別に提供されています。

    SC:ENGINEAPIDC:com.sap.security.api.sda

    ツール

    ユーザ管理など、標準で用意された管理ツールは主に以下のSCで配布されています。

    SC:UMEADMINDC:多数

    ユーザ管理機能

    標準で用意されたユーザ管理機能はWebUIから利用することができます。
    以下はポータルからアクセスした画面のイメージです。

    ポータル画面の利用を含めて、ユーザ管理機能のWebUIをアクセスするには、下記のような方法があります。

    ポータル画面利用から 
    ナビケーションパス:ユーザ管理(User Management)NWA画面から 
    ナビケーションパス:設定管理(Configuration Management)–セキュリティ(Security)–ID管理(Identity Management)スタートページから
    ナビケーションパス:User Management直接URL指定
    URL:http://host-ip:host-port/useradminUME設定

    UMEはさまざまなパラメータが用意されています。パラメータの値を変更するには、ローカルツールによるオフライン変更とWebUIによるオンライン変更の二つの方式があります。
    オンライン変更の場合、パラメータによって、変更後にAsJAVAを再起動する必要があるものとないものが存在します。

    オフライン方式

    オフライン方式はConfigtoolを使用します。以下の図でイメージを示します。

    オンライン方式

    オンライン方式はWebUIを使用します。ポータルからアクセスしたUME設定画面は以下のイメージです。

    「Open Expert Mode」ボタンを押下すれば、パラメータ名を指定することによって、全パラメータの値を設定可能になります。

    ポータル画面の利用を含めて、UME設定のWebUIをアクセスするには、下記のような方法があります。

    ポータル画面利用から 
    ナビケーションパス:システム管理(System Management)–システム設定(System Configuration)–UME設定(UME Configuration)NWA画面から 
    ナビケーションパス:設定管理(Configuration Management)–セキュリティ(Security)–ID管理(Identity Management) –設定(Configuration)ボタン


  • 0 Votes 91 閲覧数


    このトピックでは、UMEのグループ機能を取り上げて説明します。

     概要

    グループはユーザの集まりです。

    ユーザをグルーピングする基準は要件しだいですが、運用では職務や部署などが利用されることが多いと考えられます。

    コンセプトでは、UMEのグループはAsABAPシステムのユーザグループ(SUGRで管理)に相当するものです。

    利用目的

    グループを使用することにより、各ユーザを所属しているグループ単位で纏めて権限を制御することができます。

    階層化

    グループは親子関係を持たせることにより、グループの階層を作成することができます。
    このようにグループをネスト化することで、たとえば企業の階層を表すことができます。

    種類デフォルトグループ

    デフォルトグループ(英:Built-in Group)は、システム実行時にUMEより自動的に生成されます。
    3つのデフォルトグループがあります。

    すべてのユーザ匿名ユーザ認証済ユーザ

    デフォルトグループは、UMEデータベースにも保存されることがなく、ユーザにより作成や削除、名前変更することができません。

    ABAPロールグループ

    AsABAPシステムがUMEのデータソースとして使用される場合、ABAPロールは自動的にUMEの同名のABAPロールグループとして読み込まれます。

    ABAPロール割当はUMEでユーザからグループへの割当として処理されます。

    会社グループ

    会社グループ(英:Built-in Company Group)は、会社の設定時にUMEによって生成されます。

    会社グループ、UMEデータベースにも保存されることがなく、ユーザにより作成や削除、名前変更することができません。

    会社グループ機能を有効化するには、以下のUMEパラメータの値をTrueにする必要があります。
    ume.company_groups.enabled = true

    なお、どの会社にも所属しないユーザをゲスト会社グループに割り当てることができます。
    ゲスト会社グループ機能を有効化するには、以下のUMEパラメータの値をTrueにする必要があります。
    ume.guestcompany_groups.enabled = true

    UMEグループ

    UMEグループは、UME管理機能からユーザにより明示的に作成されるグループです。
    UMEグループはUMEのローカルデータベースに保存されます。

     


  • 0 Votes 75 閲覧数


    このトピックでは、UMEの会社機能を取り上げて説明します。

     目的

    会社機能を利用することによって、一つのAsJAVAシステムの上に会社別の仮想システムを作成することができます。

    記号なしリスト会社別に管理ユーザを設定することができます。設定

    会社機能は主に下記二つのパラメータの設定により制御されます。

    ume.tpd.imp.class 
    実装クラス名
    標準では以下の二つがデフォルトで用意されていますが、アドオン開発も可能です。com.sap.security.core.tpd.abap.R3GroupTPDcom.sap.security.core. tpd.SimpleTPDume.tpd.companies 
    指定可能な会社を指定します。このパラメータはume.tpd.imp.class=com.sap.security.core. tpd.SimpleTPDの場合のみ有効です。
    以下のように値を指定することができます。指定された会社のどちらにも所属していないユーザはゲスト会社を設けて纏めることができます。0:会社機能を利用しない1:1会社のみが設定されます。2:internal、externalの2会社が設定されます。会社リスト:カンマ区切りの会社名リストで複数会社を設定できます。外部リンクConfiguring Delegated User Administration Using Companies
    7.027.27.37.47.5


  • 0 Votes 122 閲覧数


    このトピックでは、UMEのユーザを取り上げて説明します。

     ユーザとは

    ユーザとは、AsJAVAシステムを使用する個人又はアプリケーションで、それぞれ一意なIDを持ちます。
    ユーザにグループやロールを割当することができます。

    ABAPユーザとの統合UMEユーザプロファイルマッピングされるABAPユーザデータ属性値内容属性値内容company会社無country国無currency-無dateformat-無department追加情報:部門SU01/DEPARTMENT部署description---displayname一般情報:姓+名SU01/NAME_LAST + NAME_FIRST姓+名displayname_role---email電子メールアドレスSU01/SMTP_ADDRメールアドレスfaxコンタクト情報:FAXSU01/FAX_NUMBERファックスfirstname一般情報:姓SU01/NAME_LAST姓jobtitle追加情報:ポジションSU01/FUNCTION職務lastname一般情報:名SU01/NAME_FIRST名mobileコンタクト情報:携帯電話SU01/MOB_NUMBER携帯電話name一般情報:姓SU01/NAME_LAST姓pobox---position---room_desc---room_id---room_name---room_role_name---salutation一般情報:敬称SU01/TITLE_MEDIタイトル(敬称)sip---stateコンタクト情報:都道府県--streetaddressコンタクト情報:地名--telephoneコンタクト情報:電話番号SU01/TEL_NUMBER電話timezoneコンタクト情報:タイムゾーン--title-SU01/TITLE_ACA1学位称号uniquename一般情報:姓SU01/NAME_LAST姓zipコンタクト情報:郵便番号--ABAPデータソースの設定UME-ABAP通信ユーザ作成

    UMEからAsABAPシステムをアクセスするためのABAPユーザを作成します。

    ユーザタイプ
    システムと指定する必要がありますロール
    以下の何れかを割り当てる必要があります。SAP_BC_JSF_COMMUNICATION
    UMEからABAPユーザを修正、削除できます。SAP_BC_JSF_COMMUNICATION_RO 
    UMEからABAPユーザデータを参照するのみです。

    UME-ABAP 間の通信のためのシステムユーザ要件-SAP Help Portal

    宛先作成

    通信ユーザのアカウントとパスワードを登録します。

    ABAPデータソース指定外部リンク

    UME データソース-SAP Help Portal(Netweaver 7.02)

人気