Einführung der NetWeaver-Anwendung „ SAP “

Online bearbeiten

Benutzer von Verify in den On-Premises- SAP -NetWeaver-Adapter übertragen.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe Konfiguration mithilfe der Verify-Benutzerschnittstelle.
  2. Stellen Sie die IBM® Verify Komponente „Identity Brokerage On-Premises“ bereit und konfigurieren Sie sie.

Vorgehensweise

  1. VerifyMelden Sie sich als Administrator bei an.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie im Menü nach dem Anwendungstyp, der als Name für das hochgeladene Anwendungsprofil festgelegt wurde, und klicken Sie auf „Anwendung hinzufügen “.
    Wenn beispielsweise das NetWeaver-Profil „ SAP “ unter dem Namen „SAPNW“ hochgeladen wurde, wird die Anwendung unter „SAPNW(custom)“ gefunden.
  4. Wählen Sie auf der Seite „Anwendungen hinzufügen “ die Registerkarte „Allgemein“ aus und geben Sie die erforderlichen Angaben ein.
  5. Wählen Sie die Registerkarte „Kundenlebenszyklus“ aus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Die Funktion „Konten anlegen“ ist standardmäßig deaktiviert, was bedeutet, dass die Kontoerstellung außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Für Konten, die mit IBM Verify. erstellt werden, stehen Funktionen zur Passwortgenerierung und E-Mail-Benachrichtigung zur Verfügung.
    Bereitstellung von Accounts zurücknehmen

    Die Deaktivierung von Konten ist standardmäßig deaktiviert, was bedeutet, dass das Löschen von Konten außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option „Aktiviert“, um ein Konto automatisch zu deaktivieren, wenn einem Benutzer die Berechtigung entzogen wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option E-Mail-Benachrichtigung senden auswählen, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Kennwort an Ihre E-Mail-Adresse gesendet, nachdem das Konto erfolgreich eingerichtet wurde.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein deaktiviertes Konto als gesperrt verbleibt, bevor es endgültig gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld „Konten deaktivieren“ aktiviert ist.
  7. Wählen Sie im Abschnitt „Allgemein“ im Menü den Eintrag „Anwendungsprofil“ aus. Falls das Profil nicht vorhanden ist, müssen Sie eines anlegen. Weitere Informationen finden Sie unter „Verwalten von Anwendungsprofilen für Identitätsadapter“.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Tabelle 1. API-Authentifizierungsparameter
    Parameter Beschreibung
    Tivoli Directory Integrator-Position URL für die IBM Security Directory Integrator-Instanz. Beispielsweise, rmi://<ip-address>:<port>/ITDIDispatcher wobei „ip-address“ für den Host IBM Security Directory Integrator steht und „port“ die Portnummer für den RMI-Dispatcher angibt.
    Beschreibung Optional: Geben Sie eine Beschreibung für diesen Service an.
    Zielclient Die Clientnummer der SAP-Instanz. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Anmelde-ID Die Anmelde-ID für den SAP-Benutzeraccount, der vom Adapter verwendet wird, um die Verbindung zur SAP-Instanz herzustellen. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Kennwort Das Kennwort für den SAP-Benutzeraccount. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    SAP-System (DNS-Hostname oder IP) Hostname des Hostcomputers des „ SAP “-Servers, sofern DNS korrekt eingerichtet ist. Verwenden Sie andernfalls die IP-Adresse. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    SAP-Systemnummer Die Systemnummer des SAP-Servers. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Sprache für SAP-Anmeldung Die ISO-Sprachkennung für die Sprache, die vom Adapter verwendet werden soll. Dieser Parameter ist optional.
    SAP-Gateway (DNS-Hostname oder IP) Hostname des Gateway-Hosts „ SAP “, sofern DNS korrekt eingerichtet ist. Verwenden Sie andernfalls die IP-Adresse. Dies ist in der Regel der Host, der den SAP-Server enthält. Dieser Parameter ist optional.
    Optionale RFC-Verbindungsparameter

    Dieses Attribut ermöglicht das Angeben alternativer SAP-Konnektivitätsparameter. Der Wert dieses Attributs ist eine formatierte Zeichenfolge mit Name/Wert-Paaren. Jedes Paar muss durch ein einzelnes Pipe-Zeichen (|) getrennt sein. Die Namensteile müssen in Kleinschreibung angegeben werden. Das allgemeine Format des Werts für dieses Attributs wird im folgenden Beispiel gezeigt:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Beispielsweise würde der folgende Zeichenfolgenwert den „ SAP “-Nachrichtenserver mit der System-ID „ PR0 “ und dem Gruppen-SPACE auf messageserver.com einstellen:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    TDI-Debugging aktivieren Flag zum Aktivieren der Debugging-Protokollausgabe von „ IBM “ Security Directory Integrator.
    Identitätsagent Wählen Sie im Menü einen Identity Agent vom Typ „Provisioning“ aus. Verwenden Sie das ermittelte Anwendungsprofil.
    XSL-Attribut-Stylesheets Diese Stylesheets sind optionale Dienstattribute.
  9. Klicken Sie auf „Verbindung testen“, um die Verbindung zum NetWeaver-Adapter von „ SAP “ vor Ort zu testen. Die Verbindung muss erfolgreich hergestellt werden, um Konten in der NetWeaver-Anwendung „ SAP “ einzurichten oder abzugleichen.
  10. Ordnen Sie die NetWeaver-Attribute der Ziel SAP nach Bedarf den Verify entsprechenden Attributen zu. Wählen Sie das Kontrollkästchen Immer aktualisieren für die Attribute aus, die für das Ziel aktualisiert werden sollen.
  11. Wählen Sie die Registerkarte „Kontosynchronisierung“ aus.
  12. Fügen Sie im Abschnitt „Adoptionsrichtlinie“ ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess die NetWeaver-Konten von SAP den jeweiligen Kontoinhabern auf Verify zuweisen kann.
  13. Wählen Sie im Abschnitt „Korrekturmaßnahmen“ eine Richtlinie aus, um nicht konforme Konten automatisch zu korrigieren.
  14. Klicken Sie auf „Speichern “.
  15. Nachdem die Anwendung gespeichert wurde, legen Sie die Berechtigungsrichtlinie auf der Registerkarte „Berechtigungen“ fest.
    Hinweis:

    Der Fehlerschwellenwert für den Abgleich wird standardmäßig auf 15 % gesetzt. Damit wird sichergestellt, dass das Accountsynchronisationsergebnis gelöscht und die Operation angehalten wird, wenn zwischen aufeinanderfolgenden Accountsynchronisationen mehr als 15 % gelöschter Accounts gefunden werden.

    Falls der Anteil der gelöschten Datensätze höher ist (typischerweise bei geringerem Datenvolumen – da geringere Datenänderungen zu einer höheren prozentualen Abweichung führen), passen Sie den Wert an. Wenn der Schwellenwert für Fehler auf 100 % gesetzt wird, wird die prozentuale Abweichung ignoriert und die Kontosynchronisierung abgeschlossen.

    Sie können den Fehlerschwellenwert ändern, indem Sie die Umgebungsvariable RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (der Wert kann zwischen 0 und 100 liegen) im Abschnitt "identity-brokerage environments" in der yml-Datei "docker-compose" hinzufügen. Wenn der Vorgang abgeschlossen ist, starte den Container neu, falls er bereits läuft.

    Beispiel:
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"