Intégration de l'application NetWeaver d' SAP

Transférer les utilisateurs de Verify vers l'adaptateur NetWeaver d' SAP.

Avant de commencer

  1. Configurez l'agent d'identité pour l'authentification dans Verify. Voir Configuration via l'interface utilisateur de vérification.
  2. Déployez et configurez le IBM® Verify composant Identity Brokerage sur site.

Procédure

  1. Connectez-vous en tant qu'administrateur sur Verify.
  2. Sélectionnez Applications > Applications, puis cliquez sur Ajouter une application.
  3. Recherchez le type d'application correspondant au nom attribué au profil d'application téléchargé dans le menu, puis cliquez sur « Ajouter une application ».
    Par exemple, si le profil NetWeaver de l' SAP ation a été importé sous le nom SAPNW, l'application est alors répertoriée sous SAPNW(custom).
  4. Dans la page « Ajouter des applications », sélectionnez l'onglet « Général » et indiquez les informations requises.
  5. Sélectionnez l'onglet « Cycle de vie du compte ».
  6. Spécifiez les règles d'application des accès et d'annulation des accès.
    Paramètres Descriptif
    Mise à disposition des comptes

    La fonctionnalité « Comptes de provision » est désactivée par défaut, ce qui signifie que la création des comptes s'effectue en dehors de IBM Verify.

    Sélectionnez l'option Activé pour fournir automatiquement un compte lorsque l'autorisation est affectée à un utilisateur. Les fonctionnalités de génération de mot de passe et de notification par e-mail sont disponibles pour les comptes créés avec IBM Verify.

    Annuler les accès aux comptes

    La suppression des comptes est désactivée par défaut, ce qui signifie que la suppression des comptes s'effectue en dehors de IBM Verify.

    Sélectionnez l'option « Activé » pour désactiver automatiquement un compte lorsqu'un droit est retiré à un utilisateur.

    Mot de passe du compte
    Synchroniser le mot de passe utilisateur Cloud Directory
    Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
    Générer le mot de passe
    Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
    Aucune
    Cette option applique des accès au compte sans mot de passe.
    Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option Envoyer une notification par courrier électronique, une notification par courrier électronique avec le mot de passe généré automatiquement est envoyée à votre adresse électronique une fois que le compte est mis à disposition avec succès.
    Délai supplémentaire (jours) Définissez la durée, en jours, pendant laquelle un compte désactivé reste en attente avant d'être définitivement supprimé.
    Annuler l'accès à l'action Supprimer le compte. Ce champ n'est disponible que si le champ « Supprimer les comptes » est activé.
  7. Dans la section « Général », sélectionnez « Profil d'application » dans le menu. Si le profil n'existe pas, vous devez en créer un. Pour plus d'informations, consultez la section « Gestion des profils d'application de l'adaptateur d'identité ».
  8. Spécifiez les informations détaillées d'authentification d'API.
    Tableau 1. Paramètres d'authentification de l'API
    Paramètres Description
    Emplacement de Tivoli Directory Integrator Adresse URL de l'instance IBM Security Directory Integrator. rmi://<ip-address>:<port>/ITDIDispatcherPar exemple, où « ip-address » correspond à l'adresse IP de l'hôte IBMSecurity Directory Integrator et « port » au numéro de port du répartiteur RMI.
    Descriptif Facultatif : indiquez une description pour ce service.
    Client cible Numéro de client de l'instance SAP. Cette zone est obligatoire si aucune valeur n'est fournie pour les Paramètres de connexion RFC facultatifs.
    ID de connexion ID de connexion du compte utilisateur SAP que l'adaptateur utilise pour se connecter à l'instance SAP. Cette zone est obligatoire si aucune valeur n'est fournie pour les Paramètres de connexion RFC facultatifs.
    Mot de passe Mot de passe du compte utilisateur SAP. Cette zone est obligatoire si aucune valeur n'est fournie pour les Paramètres de connexion RFC facultatifs.
    Système SAP (nom d'hôte DNS ou protocole IP) Nom d'hôte de l'ordinateur hébergeant le serveur SAP, à condition que le DNS soit correctement configuré. Sinon, utilisez l'adresse IP. Cette zone est obligatoire si aucune valeur n'est fournie pour les Paramètres de connexion RFC facultatifs.
    Numéro de système SAP Il s'agit du numéro de système du serveur SAP. Cette zone est obligatoire si aucune valeur n'est fournie pour les Paramètres de connexion RFC facultatifs.
    Langue de connexion SAP Identificateur ISO de la langue utilisée par l'adaptateur. Ce paramètre est facultatif.
    Passerelle SAP (nom d'hôte DNS ou protocole IP) Nom d'hôte de l'ordinateur hôte de la passerelle SAP, uniquement si le DNS est correctement configuré. Sinon, utilisez l'adresse IP. Généralement, il s'agit du même hôte que celui sur lequel est installé le serveur SAP. Ce paramètre est facultatif.
    Paramètres de connexion RFC facultatifs

    Cet attribut permet de spécifier des paramètres de connexion SAP alternatifs. La valeur de cet attribut est une chaîne formatée de paires nom-valeur. Chaque paire doit être séparée par un seul caractère « | ». Les noms doivent être en minuscules. L'exemple suivant illustre le format général de la valeur de cet attribut :

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Par exemple, la valeur de chaîne suivante permettrait de configurer le serveur de messages d' SAP avec messageserver.com l'ID système PR0 et l'espace de groupe :

    mshost=messageserver.com|r3name=PR0|group=SPACE

    Activer le débogage TDI Indicateur permettant d'activer l'affichage de la trace de débogage de la fonction ` IBM ` et de la fonction ` Security Directory Integrator `.
    Agent d'identité Sélectionnez un agent d'identité de type « provisioning » dans le menu. Utilisez le profil d'application qui a été détecté.
    Feuilles de style d'attributs XSL Ces feuilles de style constituent des attributs de service facultatifs.
  9. Cliquez sur « Tester la connexion » pour vérifier la connexion à l'adaptateur NetWeaver d' SAP sur site. La connexion doit aboutir pour pouvoir configurer ou rapprocher les comptes dans l'application NetWeaver « SAP ».
  10. Mettez en correspondance les attributs NetWeaver de l' SAP cible avec les Verify attributs requis. Cochez la case Conserver mis à jour pour les attributs à mettre à jour sur la cible.
  11. Sélectionnez l'onglet « Synchronisation des comptes ».
  12. Dans la section « Politique d'adoption », ajoutez une ou plusieurs paires d'attributs qui doivent correspondre pour que le processus de synchronisation des comptes puisse attribuer les comptes NetWeaver d' SAP à leurs propriétaires respectifs sur Verify.
  13. Dans la section « Politiques de correction », sélectionnez une politique de correction afin de corriger automatiquement les comptes non conformes.
  14. Cliquez sur Enregistrer.
  15. Une fois l'application enregistrée, définissez la politique d'autorisation dans l'onglet « Droits ».
    Remarque :

    Le seuil d'échec de synchronisation est défini sur 15 % par défaut. Il garantit que si plus de 15 % du compte a été supprimé entre les synchronisations successives du compte, le résultat de la synchronisation de compte est supprimé et l'opération est interrompue.

    Si le pourcentage d'enregistrements supprimés est plus élevé (ce qui est généralement le cas lorsque le volume de données est faible, car les modifications moins importantes entraînent un écart en pourcentage plus important), ajustez cette valeur. En fixant la valeur seuil d'échec à 100 %, l'écart en pourcentage est ignoré et la synchronisation du compte est menée à bien.

    Vous pouvez modifier la valeur du seuil d'échec en ajoutant la variable d'environnement RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (la valeur peut aller de 0 à 100) à la section des environnements de courtage d'identité du fichier docker-compose yml. Une fois l'opération terminée, redémarrez le conteneur s'il est déjà en cours d'exécution.

    Par exemple :
    
    identity-brokerage:
    image: ibmcom/identity-brokerage
    container_name: identity-brokerage
    depends_on:
    - ib-init
    - ibdb
    environment:
    LICENSE_ACCEPT: "yes"
    HOSTNAME: "identity-brokerage"
    DB_SERVICE_NAME: "ibdb"
    TRACE: "enabled"
    SCIM_USER: "<>"
    SCIM_USER_PASSWORD: "<>"
    RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"