点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嘿! 目前,我们的IdM 7....
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嘿! 目前,我们的IdM 7....
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嘿!
目前,我们的IdM 7.2 SP9存在问题,这会在取消预配置SAP角色时导致循环错误。
原因是自动取消布建与重试任务功能相结合。
例如:
1。)用户A具有SAP角色,该角色对" 2017-08-30"有效。
2。)在" 2017-08-31"之后的一天,IdM希望取消提供该角色,因为该角色不再有效。
到目前为止非常好..但是,如果这种SAP系统目前处于关闭状态(IdM希望撤消该角色),您将得到一个永无休止的错误循环(每30秒重试任务时间),因为IdM会尝试 它直到成功删除为止。
我们在IdM 7.2中也有一个"维护模式",但是它不会做任何更改,因为每次审核(因此每次执行预配置任务)都将保存在临时表中。 如果我们要删除该SAP系统的"维护模式"(在它再次可以访问之后),我们的系统将爆炸,因为此deprov任务将运行一千次。
以其他方式...
如果您尝试在该SAP系统关闭时手动撤消用户的SAP角色,则只会显示两个错误任务(取决于我们的重试任务)。 之后,角色将代码从" 1537"(待删除)更改为" 4"(失败)。 在这种状态下,可以重试或更改有效性。 在状态" 1537"(例如它在错误循环中是永久的)下,您什么也做不了。 任何具有删除操作符{e},{E},{d},{D}的作业都不能删除该特权。 另外,删除direct_reference也无效。
目前,我有两个工作选项:
1。)删除存储库,并在可访问SAP系统时再次连接它。
->我们有50多个SAP系统连接到我们的生产IDM。 每次系统关闭时,都要花很多时间才能删除并连接它们。
2。)直接在我们的IdM SQL数据库中删除特权的链接,然后稍后在SAP系统上重新联机时手动撤消特权。
->这样也可以停止循环错误,但是对IdM表执行sql delete语句绝不是一个好主意。 同样,它实际上也不是最佳实践解决方案。
两个解决方案都不好。
接下来是...
我们开始越来越多地与IdM业务角色合作-将来可能会出现问题。 在我们的IdM业务角色中,将有不同SAP系统的许多不同角色。 因此,如果仅一个SAP系统出现故障,同时由于其他原因自动到达有效期或IdM业务角色被吊销...那么整个IdM业务角色将无法删除。
我希望您了解我的问题,也许您对我有一些提示,说明如何处理此问题。 无论如何,谢谢您的关注!
最诚挚的问候,
托马斯
其他更新#1:
忘记提及由循环错误任务引起的另一个问题。 每次取消配置任务启动时,都会生成一个挂起的MSKEY。 这意味着我们的MSKEY计数器越来越高。.由于这种问题,我们的计数器已经很高。
其他更新#2:
有人知道IdM 8.0中标准实施的维护模式是否可以自动解决问题? 那么...在存储库中处于离线状态的IdM 8.0中设置维护模式可以防止这种错误吗?
loop-error-deprov.jpg (234.0 kB)
托马斯你好,
我想到两件事:
如果SAP系统已关闭(出于维护或您的需要),并且将关闭更长时间,那么我将停用该系统的配置(删除存储库中的所有事件任务),这样我的日志不会 每次IDM尝试向该系统发送消息(无论是修改还是角色分配等)或从中读取信息时,都不会充满错误消息。
当然,缺点是IDM中的每个操作都将处于" OK"状态,并且IDM与后端之间存在不匹配的情况。 通常,当发生很多事情时(由于自动化),我只运行两个作业,将当前数据从IDM发送到该系统。 通过修改特定的属性,可以更新帐户数据,并且我们具有一个虚拟角色,可以将其分配给特定系统的所有用户,这将同步所有角色分配。
所以一切恢复正常。
与每次删除整个存储库相比,维护起来应该更容易。 ;)
。
我也有一个循环问题(但对于LDAP),但这是因为"修改"的重试计数器设置为" 1000"。 我将其更改为" 2",这是我们几乎所有任务的重试计数。
。
此致
Steffi。
一周热门 更多>