SAP NetWeaverアプリケーションの導入

オンラインで編集

ユーザーを から Verify オンプレミスの SAP NetWeaverアダプターにプロビジョニングします。

始める前に

  1. Verify. での認証用にアイデンティティエージェントを設定します。 Verify ユーザー・インターフェースを使用した構成を参照してください。
  2. Identity Brokerage On-Premises コンポーネント IBM® Verify を展開し、設定します。

手順

  1. Verifyで管理者としてログインしてください。
  2. 「アプリケーション 」>「 アプリケーション 」を選択し「アプリケーションを追加」 をクリックします。
  3. メニューから、アップロードしたアプリケーションプロファイルに設定された名前として「アプリケーションタイプ」を検索し、 「アプリケーションを追加」 をクリックします。
    たとえば、 SAP のNetWeaverプロファイルが「SAPNW」という名前でアップロードされた場合、そのアプリケーションは「SAPNW(custom)」として検索されます。
  4. [ アプリケーションの追加] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
  5. [アカウントのライフサイクル] タブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    IBM Verify「プロビジョニングアカウント」はデフォルトで無効化されています。つまり、アカウントの作成は.の外で行われます。

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード自動生成機能およびメール通知機能をご利用いただけます。
    アカウントのプロビジョン解除

    IBM Verifyアカウントの削除は無効化されているのがデフォルト設定です。つまり、アカウントの削除は.の外で行われます。

    ユーザーから利用権限が削除された際に、アカウントを自動的に無効化するには、「 有効 」オプションを選択してください。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 E メール通知の送信オプションを選択すると、アカウントが正常にプロビジョンされた後、自動生成されたパスワードを含む E メール通知が E メール・アドレスに送信されます。
    猶予期間 (日) プロビジョニングが解除されたアカウントが、完全に削除されるまで一時停止状態として保持される猶予期間(日数)を設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、「アカウントのプロビジョニング解除」フィールドが有効になっている場合にのみ利用可能です。
  7. [全般] セクションで、メニューから [アプリケーションプロファイル] を選択します。 そのプロフィールが存在しない場合は、作成する必要があります。 詳細については、 「IDアダプタのアプリケーションプロファイルの管理」 を参照してください。
  8. API 認証の詳細を指定します。
    表 1. API認証パラメータ
    パラメーター 説明
    Tivoli Directory Integrator のロケーション IBM Security Directory Integrator インスタンスの URL。 rmi://<ip-address>:<port>/ITDIDispatcherたとえば、ip-address は IBM Security Directory Integrator のホスト名、port は RMI ディスパッチャのポート番号です。
    説明 オプション: このサービスの説明を指定します。
    ターゲット・クライアント SAP インスタンス・クライアント番号。 「RFC 接続パラメーター (オプション)」に値を入力していない場合、このフィールドは必須です。
    ログイン ID アダプターが SAP インスタンスへの接続に使用する、SAP ユーザー・アカウントのログイン ID。 「RFC 接続パラメーター (オプション)」に値を入力していない場合、このフィールドは必須です。
    パスワード SAP ユーザー・アカウントのパスワード。 「RFC 接続パラメーター (オプション)」に値を入力していない場合、このフィールドは必須です。
    SAP システム (DNS ホスト名または IP) DNSが正しく設定されている場合のみ、 SAP サーバーのホストコンピュータのホスト名。 あるいは、IP アドレスを使用します。 「RFC 接続パラメーター (オプション)」に値を入力していない場合、このフィールドは必須です。
    SAP システム番号 SAP サーバー・システム番号。 「RFC 接続パラメーター (オプション)」に値を入力していない場合、このフィールドは必須です。
    SAP ログオン言語 アダプターが使用する言語 ISO ID。 このパラメーターはオプションです。
    SAP ゲートウェイ (DNS ホスト名または IP) DNSが正しく設定されている場合のみ、 SAP ゲートウェイホストコンピュータのホスト名。 あるいは、IP アドレスを使用します。 このホストは通常、SAP サーバーを格納しているのと同じホストです。 このパラメーターはオプションです。
    RFC 接続パラメーター (オプション)

    この属性では、代替の SAP 接続パラメーターを指定できます。 この属性の値は、名前値ペアの定様式ストリングです。 各ペアは、パイプ(|)文字1つで区切らなければなりません。 名前の部分は小文字にする必要があります。 この属性の値の一般的な形式を以下の例に示します。

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    たとえば、次の文字列値を設定すると、 SAP メッセージサーバーが、システムID「 PR0 」およびグループ「SPACE」を持つように messageserver.com 設定されます

    mshost=messageserver.com|r3name=PR0|group=SPACE
    TDI デバッグを使用可能にする IBM および Security Directory Integrator のデバッグトレース出力を有効にするフラグ。
    ID エージェント メニューから「プロビジョニング」タイプのIdentity Agentを選択してください。 検出されたアプリケーションプロファイルを使用してください。
    XSL属性スタイルシート これらのスタイルシートは、オプションのサービス属性です。
  9. [接続テスト] をクリックして、オンプレミスの SAP NetWeaverアダプターへの接続をテストします。 SAP NetWeaverアプリケーションでアカウントのプロビジョニングまたは照合を行うには、接続が正常に確立されている必要があります。
  10. 必要に応じて、対象の SAP NetWeaverの属性を各属性 Verify にマッピングしてください。 ターゲットで更新する必要がある属性の更新を保持チェック・ボックスを選択します。
  11. [アカウントの同期] タブを選択します。
  12. 採用ポリシー 」セクションで、アカウント同期プロセスにおいて SAP のNetWeaverアカウントをVerify上の各アカウント所有者に割り当てるために、一致させる必要がある属性ペアを1つ以上追加してください。
  13. 是正ポリシー 」セクションで、ポリシーを選択して、ポリシーに準拠していないアカウントを自動的に是正します。
  14. 「保存」 をクリックします。
  15. アプリケーションを保存した後、 「Entitlements 」タブで認証ポリシーを指定してください。
    注:

    調整失敗しきい値は、デフォルトで 15% に設定されています。 これにより、連続するアカウント同期の間で 15 % を超えるアカウントが削除されたことが検出された場合、アカウント同期結果は破棄され、操作は停止します。

    削除されたレコードの割合が高い場合(通常、データ量が少ないほど、データの変更量が少ないため、割合の乖離が大きくなります)、その値を調整してください。 失敗の閾値を100%に設定すると、偏差率は無視され、アカウントの同期処理が完了します。

    失敗しきい値を変更するには、docker-compose yml ファイルの identity-brokerage 環境セクションに環境変数 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (値の範囲は 0 から 100) を追加します。 処理が完了したら、コンテナがすでに実行中の場合は再起動してください。

    例えば、以下のとおりです。
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"