Onboarding der SAP Netweaver-Anwendung

Online bearbeiten

Bereitstellung von Benutzern von Verify zu On-Premises SAP Netweaver-Adapter.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe Konfiguration mithilfe der Verify-Benutzerschnittstelle.
  2. Implementieren und konfigurieren Sie die lokale IBM® Verify Identity Brokerage-Komponente.

Vorgehensweise

  1. Melden Sie sich als Administrator bei Verifyan.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie den Anwendungstyp als Namen für das hochgeladene Anwendungsprofil aus dem Menü und klicken Sie auf Anwendung hinzufügen.
    Beispiel: Wenn das SAP -Netweaver-Profil mit dem Namen SAPNW hochgeladen wurde, wird die Anwendung mit SAPNW (angepasst) gefunden.
  4. Wählen Sie auf der Seite Anwendungen hinzufügen die Registerkarte Allgemein aus, um die erforderlichen Details anzugeben.
  5. Wählen Sie die Registerkarte Accountlebenszyklus aus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Die Einrichtung von Accounts ist standardmäßig Inaktiviert , d. h., die Kontoerstellung erfolgt außerhalb von IBM Verify.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Kennwortgenerierungen und E-Mail-Benachrichtigungsfunktionen sind für Konten verfügbar, die mit IBM Verifyerstellt werden.
    Bereitstellung von Accounts zurücknehmen

    Die Zurücknahme der Einrichtung von Accounts ist standardmäßig inaktiviert, d. h., die Entfernung von Accounts erfolgt außerhalb von IBM Verify.

    Wählen Sie die Option Aktiviert aus, damit die Einrichtung eines Accounts automatisch zurückgenommen wird, wenn die Berechtigung für einen Benutzer entfernt wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option E-Mail-Benachrichtigung senden auswählen, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Kennwort an Ihre E-Mail-Adresse gesendet, nachdem das Konto erfolgreich eingerichtet wurde.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein Account, dessen Bereitstellung zurückgenommen wurde, gesperrt bleibt, bevor er dauerhaft gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld 'Bereitstellung von Accounts zurücknehmen' aktiviert ist.
  7. Wählen Sie im Abschnitt "Allgemein" im Menü Anwendungsprofil aus. Wenn das Profil nicht vorhanden ist, müssen Sie eines erstellen. Weitere Informationen finden Sie unter Verwalten von Identitätsadapter-Anwendungsprofilen.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Tabelle 1. API-Authentifizierungsparameter
    Parameter Beschreibung
    Tivoli Directory Integrator-Position URL für die IBM Security Directory Integrator-Instanz. Zum Beispiel rmi://<ip-address>:<port>/ITDIDispatcher, wobei "ip-address" Security Directory Integrator und "port" die Portnummer für den RMI-Dispatcher ist.
    Beschreibung Optional: Geben Sie eine Beschreibung für diesen Service an.
    Zielclient Die Clientnummer der SAP-Instanz. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Anmelde-ID Die Anmelde-ID für den SAP-Benutzeraccount, der vom Adapter verwendet wird, um die Verbindung zur SAP-Instanz herzustellen. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Kennwort Das Kennwort für den SAP-Benutzeraccount. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    SAP-System (DNS-Hostname oder IP) Hostname des SAP -Server-Host-Computers nur, wenn DNS ordnungsgemäß eingerichtet ist. Verwenden Sie andernfalls die IP-Adresse. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    SAP-Systemnummer Die Systemnummer des SAP-Servers. Dieses Feld ist obligatorisch, wenn für Optionale RFC-Verbindungsparameter kein Wert angegeben wurde.
    Sprache für SAP-Anmeldung Die ISO-Sprachkennung für die Sprache, die vom Adapter verwendet werden soll. Dieser Parameter ist optional.
    SAP-Gateway (DNS-Hostname oder IP) Hostname des SAP -Gateway-Host-Computers nur, wenn DNS ordnungsgemäß eingerichtet ist. Verwenden Sie andernfalls die IP-Adresse. Dies ist in der Regel der Host, der den SAP-Server enthält. Dieser Parameter ist optional.
    Optionale RFC-Verbindungsparameter

    Dieses Attribut ermöglicht das Angeben alternativer SAP-Konnektivitätsparameter. Der Wert dieses Attributs ist eine formatierte Zeichenfolge mit Name/Wert-Paaren. Jedes Paar muss durch ein einzelnes Pipezeichen (|) getrennt werden. Die Namensteile müssen in Kleinschreibung angegeben werden. Das allgemeine Format des Werts für dieses Attributs wird im folgenden Beispiel gezeigt:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Der folgende Zeichenfolgewert würde beispielsweise den SAP -Nachrichtenserver mit der System-ID PR0 und dem Gruppenbereich auf messageserver.com setzen:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    TDI-Debugging aktivieren Flag zum Aktivieren der IBM Security Directory Integrator -Debugging-Traceausgabe.
    Identitätsagent Wählen Sie im Menü einen Identitätsagenten des Typs 'Bereitstellung' aus. Verwenden Sie das erkannte Anwendungsprofil.
    Formatvorlagen für XSL-Attribute Diese Style-Sheets sind optionale Serviceattribute.
  9. Klicken Sie auf Verbindung testen , um die Verbindung zum lokalen SAP Netweaver-Adapter zu testen. Die Verbindung muss erfolgreich sein, damit Accounts in der SAP Netweaver-Anwendung bereitgestellt oder abgeglichen werden können.
  10. Ordnen Sie die SAP -NetWeaver-Zielattribute den Verify -Attributen nach Bedarf zu. Wählen Sie das Kontrollkästchen Immer aktualisieren für die Attribute aus, die für das Ziel aktualisiert werden sollen.
  11. Wählen Sie die Registerkarte Accountsynchronisation aus.
  12. Fügen Sie im Abschnitt Übernahmerichtlinie mindestens ein Attributpaar hinzu, das für den Accountsynchronisationsprozess abgeglichen werden muss, um SAP Netweaver-Accounts ihren jeweiligen Accounteignern in Verify zuzuordnen.
  13. Wählen Sie im Abschnitt Korrekturrichtlinien eine Korrekturrichtlinie aus, um nicht konforme Accounts automatisch zu korrigieren.
  14. Klicken Sie auf Speichern.
  15. Nach dem Speichern der Anwendung geben Sie die Berechtigungsrichtlinie auf der Registerkarte Nutzungsrechte an.
    Hinweis:

    Der Fehlerschwellenwert für den Abgleich wird standardmäßig auf 15 % gesetzt. Damit wird sichergestellt, dass das Accountsynchronisationsergebnis gelöscht und die Operation angehalten wird, wenn zwischen aufeinanderfolgenden Accountsynchronisationen mehr als 15 % gelöschter Accounts gefunden werden.

    Wenn ein höherer Prozentsatz der gelöschten Datensätze vorhanden ist (normalerweise mit geringerem Datenvolumen-die kleinere Datenänderung trägt zu einer höheren Abweichung von% bei), passen Sie den Wert an. Wird der Fehlerschwellenwert auf 100% gesetzt, wird die Abweichung in% ignoriert und die Accountsynchronisationsoperation abgeschlossen.

    Sie können den Fehlerschwellenwert ändern, indem Sie die Umgebungsvariable RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (der Wert kann zwischen 0 und 100 liegen) im Abschnitt "identity-brokerage environments" in der yml-Datei "docker-compose" hinzufügen. Nachdem es fertig ist, respin den Container, wenn es bereits aktiv ist.

    Beispiel:
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"