Onboarding dell'applicazione SAP User Management Engine

Modifica online

Fornire agli utenti da Verify all'adattatore User Management SAP Engine® On-Premises.

Prima di iniziare

  1. Configurare l'agente di identità per l'autenticazione in Verify. Vedi Configurazione tramite l'interfaccia utente Verify.
  2. Distribuire e configurare il componente Identity Brokerage On-Premises 'IBM® Verify.

Procedura

  1. Accedere come amministratore a 'IBM Verify.
  2. Seleziona Applicazioni > Applicazioni e clicca su Aggiungi applicazione.
  3. Cercare il tipo di applicazione come nome impostato per il profilo dell'applicazione caricata dal menu e fare clic su Aggiungi applicazione.
    Ad esempio, se il profilo SAP User Management Engine è stato caricato con il nome SAP, l'applicazione viene trovata con SAP(custom).
  4. Nella pagina Aggiungi applicazioni, selezionare la scheda Generale e specificare i dettagli richiesti.
  5. Selezionare la scheda Ciclo di vita dell'account.
  6. Specificare i criteri di provisioning e deprovisioning.
    Parametri Descrizione
    Provisioning account

    I conti di fornitura sono disabilitati per impostazione predefinita, il che significa che la creazione del conto viene eseguita al di fuori di 'IBM Verify.

    Selezionare l'opzione Abilitato per eseguire il provisioning automatico di un account quando l'abilitazione viene assegnata a un utente. Le funzioni di generazione della password e di notifica via e-mail sono disponibili per l'account creato con il 'IBM Verify.
    Deprovisioning account

    La deprovisione dei conti è disabilitata per impostazione predefinita, il che significa che la rimozione dei conti viene eseguita al di fuori del 'IBM Verify.

    Selezionare l'opzione Abilitato per deprovvisare automaticamente un account quando i diritti vengono rimossi da un utente.
    Password account
    Sincronizza password Cloud Directory dell'utente
    Questa opzione è disponibile se la sincronizzazione della password è abilitata sulla Cloud Directory. Utilizza la password di Cloud Directory quando un utente regolare viene fornito all'applicazione. Gli utenti federati ricevono una password generata al momento del provisioning dell'applicazione.
    Genera password
    Questa opzione genera una password casuale per l'account fornito. La password si basa sul criterio di password di Cloud Directory.
    Nessuno
    Questa opzione prevede l'account senza password.
    Invia notifica email Questa opzione è disponibile quando si seleziona l'opzione Genera password. Quando si seleziona l'opzione Invia notifica via e-mail, una notifica via e-mail con la password generata automaticamente viene inviata all'indirizzo e-mail dell'utente dopo che il provisioning dell'account è andato a buon fine.
    Periodo di tolleranza (giorni) Impostare il periodo di tolleranza in giorni per il quale l'account deprovisionato viene mantenuto sospeso prima di essere eliminato definitivamente.
    Azione deprovisioning Elimina l'account. Questo campo è disponibile solo se il campo Account deprovision è abilitato.
  7. Nella sezione Generale, selezionare Profilo applicazione dal menu a tendina. Se il profilo non esiste, è necessario crearlo. Per ulteriori informazioni, consultare Gestione dei profili delle applicazioni dell'adattatore di identità.
  8. Specificare i dettagli dell'autenticazione API.
    Parametri Descrizione
    Posizione di Tivoli® Directory Integrator URL per l'istanza di IBM Verify Directory Integrator. Ad esempio, rmi://<ip-address>:<port>/ITDIDispatcher, dove ip-address è l'host del Directory Integrator 'IBM Verify e port è il numero di porta del RMI Dispatcher.
    URL provisioning SPML Il nome di dominio completo qualificato del collegamento dell'interfaccia di provisioning SAP SPML. Questo campo è obbligatorio.
    ID utente di provisioning SPML L'ID di accesso all'account utente SAP che l'adattatore utilizza per connettersi all'istanza SAP ed eseguire il provisioning SPML. Questo campo è obbligatorio.
    Password La password dell'utente SAP che l'adattatore utilizza per connettersi all'istanza SAP ed eseguire il provisioning SPML. Questo campo è obbligatorio.
    Agent di identità Selezionare un Identity Agent di tipo provisioning dal menu a tendina con il quale viene rilevato il profilo dell'applicazione.
    Descrizione Campo opzionale. Se necessario, aggiungere la descrizione.
    Percorso per il file delle proprietà mappa attributi Questo attributo è facoltativo. Specificare il percorso del file da cui l'adattatore carica il file delle proprietà di un servizio. Se l'adattatore è configurato per utilizzare più di un sistema SAP finale, ogni risorsa finale deve avere i suoi file di proprietà corrispondenti. I file delle proprietà devono avere nomi diversi. Tutti questi file devono risiedere nella directory ITDI_HOMe/timsol/umeprop/.

    Il nome predefinito del file delle proprietà è SAPUMEAttributeMap.properties

    Ad esempio: Se due server SAP, Server1 e Server2, sono configurati per utilizzare lo stesso servizio Security Directory Integrator, 'IBM Verify Identity Manager, il service1 è configurato per gli attributi utente del Server1 e il service2 è configurato per gli attributi utente del Server2. Se il numero di attributi per il service1 e il service2 sono configurati per fornire attributi diversi, è necessario creare due file di proprietà, 'propFile1.properties per il Server1 e 'propFile2.properties per il Server2. In questo caso, l'attributo deve avere un valore assegnato come " umeprop/propFile1.properties per il service1 e " umeprop/propFile2.properties per il Server2.
  9. Fare clic su Test Connection per verificare la connessione al SAP User Management Engine on premises. La connessione deve avere esito positivo per effettuare il provisioning o la riconciliazione degli account nell'applicazione SAP User Management Engine.
  10. Mappare gli attributi di SAP User Management Engine di destinazione negli attributi di Verify come richiesto. Selezionare la casella di controllo Mantieni aggiornato per gli attributi che devono essere aggiornati sulla destinazione.
  11. Selezionare la scheda Sincronizzazione account.
  12. Nella sezione Criteri di adozione, aggiungere una o più coppie di attributi che devono corrispondere affinché il processo di sincronizzazione degli account assegni gli account di SAP User Management Engine ai rispettivi proprietari degli account su Verifica
  13. Nella sezione Criteri di riparazione, scegliere un criterio di riparazione per correggere automaticamente gli account non conformi.
  14. Fare clic su Salva.
  15. Dopo aver salvato l'applicazione, specificare il criterio di autorizzazione nella scheda Titoli.