Integración de la aplicación NetWeaver « SAP »

Editar en línea

Configurar usuarios desde Verify al adaptador NetWeaver de SAP para entornos locales.

Antes de empezar

  1. Configure el agente de identidad para la autenticación en Verify. Consulte Configuración mediante la interfaz de usuario Verify.
  2. Implemente y configure el IBM® Verify componente Identity Brokerage On-Premises.

Procedimiento

  1. Inicia sesión como administrador en Verify.
  2. Selecciona Aplicaciones > Aplicaciones y haz clic en Añadir aplicación.
  3. Busca el tipo de aplicación utilizando el nombre asignado al perfil de la aplicación cargada en el menú y haz clic en «Añadir aplicación ».
    Por ejemplo, si el perfil de NetWeaver « SAP » se ha cargado con el nombre «SAPNW», la aplicación aparecerá como «SAPNW(custom)».
  4. En la página «Añadir aplicaciones », selecciona la pestaña «General» y especifica los datos necesarios.
  5. Selecciona la pestaña «Ciclo de vida de la cuenta ».
  6. Especifique las políticas de suministro y de cancelación de suministro.
    Parámetros Descripción
    Suministrar cuentas

    La función de cuentas provisionales está desactivada de forma predeterminada, lo que significa que la creación de cuentas se realiza fuera de IBM Verify.

    Seleccione la opción Habilitado para suministrar automáticamente una cuenta cuando la titularidad se asigne a un usuario. Las funciones de generación de contraseñas y notificación por correo electrónico están disponibles para las cuentas creadas con IBM Verify.
    Dejar de suministrar cuentas

    La eliminación de cuentas está desactivada de forma predeterminada, lo que significa que la eliminación de cuentas se lleva a cabo fuera de IBM Verify.

    Selecciona la opción «Habilitado» para desactivar automáticamente una cuenta cuando se retire el derecho de acceso a un usuario.
    Contraseña de cuenta
    Sincronizar contraseña de Cloud Directory del usuario
    Esta opción está disponible si la sincronización de contraseña está habilitada en Cloud Directory. Utiliza la contraseña de Cloud Directory cuando se suministra un usuario normal a la aplicación. Los usuarios federados reciben una contraseña generada cuando se suministran a la aplicación.
    Generar contraseña
    Esta opción genera una contraseña aleatoria para la cuenta suministrada. La contraseña se basa en la política de contraseñas de Cloud Directory.
    Ninguna
    Esta opción suministra la cuenta sin contraseña.
    Enviar notificación de correo electrónico Esta opción está disponible cuando se selecciona la opción Generar contraseña. Cuando selecciona la opción Enviar notificación por correo electrónico, se envía una notificación de correo electrónico con la contraseña generada automáticamente a la dirección de correo electrónico después de que la cuenta se haya suministrado correctamente.
    Periodo de gracia (días) Establece el periodo de gracia, en días, durante el cual una cuenta desactivada permanece suspendida antes de ser eliminada definitivamente.
    Acción de dejar de suministrar Suprimir la cuenta. Este campo solo está disponible si se ha activado el campo «Desactivar cuentas».
  7. En la sección «General», selecciona «Perfil de la aplicación» en el menú. Si el perfil no existe, debes crear uno. Para obtener más información, consulte «Gestión de perfiles de aplicación del adaptador de identidad ».
  8. Especifique los detalles de autenticación de API.
    Tabla 1. Parámetros de autenticación de la API
    Parámetros Descripción
    Ubicación de Tivoli Directory Integrator URL de la instancia de IBM Security Directory Integrator. Por ejemplo, rmi://<ip-address>:<port>/ITDIDispatcher donde «ip-address» es el host IBM Security Directory Integrator y «port» es el número de puerto del RMI Dispatcher.
    Descripción Opcional: especifica una descripción de este servicio.
    Cliente de destino El número de cliente de la instancia de « SAP ». Este campo es obligatorio si no se introduce ningún valor en «Parámetros de conexión RFC opcionales ».
    ID de inicio de sesión El ID de inicio de sesión de la cuenta de usuario de SAP que utiliza el adaptador para conectarse a la instancia de SAP. Este campo es obligatorio si no se introduce ningún valor en «Parámetros de conexión RFC opcionales ».
    Contraseña Contraseña de la cuenta de usuario SAP. Este campo es obligatorio si no se introduce ningún valor en «Parámetros de conexión RFC opcionales ».
    Sistema SAP (nombre de host DNS o IP) El nombre de host del ordenador que aloja el servidor SAP solo si el DNS está configurado correctamente. De lo contrario, utilice la dirección IP. Este campo es obligatorio si no se introduce ningún valor en «Parámetros de conexión RFC opcionales ».
    SAP Número de sistemas El número de sistema del servidor « SAP ». Este campo es obligatorio si no se introduce ningún valor en «Parámetros de conexión RFC opcionales ».
    SAP Idioma de inicio de sesión El identificador ISO del idioma que debe utilizar el adaptador. Este parámetro es opcional.
    SAP Puerta de enlace (nombre de host DNS o dirección IP) El nombre de host del ordenador que aloja la puerta de enlace SAP, siempre y cuando el DNS esté configurado correctamente. De lo contrario, utilice la dirección IP. Este servidor suele ser el mismo que aloja el servidor SAP. Este parámetro es opcional.
    Parámetros de conexión de RFC opcionales

    Este atributo permite especificar parámetros alternativos de conectividad de SAP. El valor de este atributo es una cadena formateada compuesta por pares nombre-valor. Cada par debe estar separado por un solo carácter de barra vertical (|). Los nombres deben estar escritos en minúsculas. En este ejemplo se muestra el formato general del valor de este atributo:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Por ejemplo, el siguiente valor de cadena configuraría el servidor de mensajes de « SAP » messageserver.com con el ID de sistema « PR0 » y el espacio de grupo:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    Habilitar la depuración de TDI Opción para habilitar la salida de trazas de depuración de « IBM » y « Security Directory Integrator ».
    Agente de identidad Selecciona en el menú un agente de identidad del tipo «aprovisionamiento». Utiliza el perfil de aplicación que se ha detectado.
    Hojas de estilo de atributos XSL Estas hojas de estilo son atributos de servicio opcionales.
  9. Haga clic en «Probar conexión» para comprobar la conexión con el adaptador NetWeaver de SAP en el entorno local. La conexión debe establecerse correctamente para poder gestionar o conciliar cuentas en la aplicación NetWeaver de SAP.
  10. Asigne los atributos de NetWeaver de SAP a los Verify atributos correspondientes según sea necesario. Seleccione el recuadro de selección Mantener actualizado para los atributos que deben actualizarse en el destino.
  11. Selecciona la pestaña «Sincronización de cuentas ».
  12. En la sección «Política de adopción», añade uno o varios pares de atributos que deben coincidir para que el proceso de sincronización de cuentas asigne las cuentas de NetWeav SAP es a sus respectivos propietarios en Verify.
  13. En la sección «Políticas de corrección », seleccione una política de corrección para corregir automáticamente las cuentas que no cumplan los requisitos.
  14. Haz clic en «Guardar ».
  15. Una vez guardada la solicitud, especifique la política de autorización en la pestaña «Derechos ».
    Nota:

    De forma predeterminada, el umbral de errores de reconocimiento se establece en 15%. Garantiza que si se encuentra más del 15% de la cuenta suprimida entre sincronizaciones sucesivas de la cuenta, el resultado de sincronización de cuenta se descarta y se detiene la operación.

    Si el porcentaje de registros eliminados es elevado (lo cual suele ocurrir con volúmenes de datos más reducidos, ya que los cambios menores en los datos contribuyen a una mayor desviación porcentual), ajuste el valor. Al establecer el umbral de error en el 100 %, se ignora el porcentaje de desviación y se completa la operación de sincronización de la cuenta.

    Puede cambiar el valor del umbral de anomalía añadiendo la variable de entorno RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (el valor puede situarse entre 0 y 100) bajo la sección de entornos de Identity Brokerage, en el archivo yml de docker-compose. Una vez hecho esto, reinicia el contenedor si ya se está ejecutando.

    Por ejemplo:
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"