Architecture de l'intégration

L'intégration utilise deux profils. Le premier profil contient uniquement les attributs de service et le compte de l'adaptateur SAP NetWeaver. Ce profil n'active pas de connexion avec SAP GRC Access Control. Le second profil contient un ensemble étendu d'attributs de service et de compte pour l'interaction entre SAP GRC Access Control (versions 5.3, 10.0 et 10.1) et SAP NetWeaver.

Cette interaction permet à IBM® Security Identity Manager de coordonner le processus de vérification de la conformité du compte dans SAP GRC Access Control avec le processus d'application des accès du compte SAP NetWeaver. Ce profil permet en fait à une seule demande d'application des accès du compte d'effectuer deux tâches :

Soumission d'une demande d'accès à SAP GRC Access Control à partir d'IBM Security Identity Manager.
Soumission d'une demande d'application des accès de compte à SAP NetWeaver à partir d'IBM Security Identity Manager, selon qu'une approbation ou un rejet est accordé à la demande IBM Security Identity Manager.

Les relations entre les composants de l'adaptateur sont illustrées à la Figure 1.

Figure 1. Adaptateur SAP NetWeaver d'IBM Security Identity Manager avec les composants et les relations d'intégration de SAP GRC Access Control

Un niveau élevé de contrôle du processus d'application des accès est obtenu en configurant des extensions de flux de travaux d'IBM Security Identity Manager pour SAP GRC Access Control. Les extensions de flux de travaux IBM Security Identity Manager permettent d'envoyer des demandes Ajouter, Modifier, Suspendre, Restaurer et Supprimer à SAP GRC Access Control. Des vérifications de conformité de la répartition des tâches sont ensuite effectuées dans SAP GRC Access Control avant application des accès au compte dans SAP NetWeaver. Les fonctions d'analyse des risques et de résolution de l'application des accès en conformité avec SAP GRC Access Control peuvent être utilisées pour :

Modifier la demande
Soumettre une approbation
Soumettre un rejet
Annuler la demande

Dans le flux de travaux IBM Security Identity Manager, deux modes permettent de configurer chaque type de demande. Il s'agit des modes non bloquant bloquant.

En mode non bloquant, SAP GRC Access Control prend le contrôle de l'application des accès du compte sur le système cible. Suite de la soumission d'une demande d'accès à SAP GRC Access Control, le flux de travaux IBM Security Identity Manager poursuit l'exécution sans attendre le résultat de la demande dans SAP GRC Access Control. Ce mode passe la responsabilité de l'application des accès du compte dans SAP NetWeaver à SAP GRC Access Control.

En mode bloquant, le flux de travaux IBM Security Identity Manager bloque (ou attend/fait une pause) après soumission d'une demande d'accès à SAP GRC Access Control. Le flux de travaux maintient le blocage jusqu'à réception du résultat de la demande en provenance de SAP GRC Access Control. Un service de notification dédié déployé dans WebSphere est chargé de

régulièrement interroger SAP GRC Access Control ;
transmettre les résultats des demandes terminées à IBM Security Identity Manager ;
débloquer les flux de travaux IBM Security Identity Manager pertinents.

Le flux de travaux IBM Security Identity Managerdevient le point central de coordination et d'audit de l'application des accès du compte. IBM Security Identity Manager détermine si le contrôle des accès d'un compte s'effectue dans SAP NetWeaver, en fonction de conditions préalables telles que l'approbation ou le rejet de la demande dans SAP GRC Access Control.

Commentaires en retour