SAP ユーザー管理エンジン・アプリケーションの導入

オンラインで編集

Verifyからオンプレミスの SAP User Management Engine®アダプターへユーザーを移行する。

始める前に

  1. Verify で認証用の ID エージェントを構成します。 詳しくは、 「Verify ユーザーインターフェースを使用した設定」 を参照してください。
  2. Identity Brokerage On-Premises コンポーネント IBM® Verify を展開し、設定します。

手順

  1. IBM Verifyで管理者としてログインしてください。
  2. 「アプリケーション 」>「 アプリケーション」 を選択し、 「アプリケーションを追加」 をクリックします。
  3. メニューから、アップロードしたアプリケーションプロファイルに設定された名前として「アプリケーションタイプ」を検索し、 「アプリケーションを追加」 をクリックします。
    たとえば、「 SAP User Management Engine」プロファイルが「 SAP -UME」という名前でアップロードされた場合、アプリケーションは「 SAP -UME(custom)」として検索されます。
  4. [ アプリケーションの追加 ] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
  5. [アカウントのライフサイクル] タブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    IBM Verify引当金勘定はデフォルトで無効化されています。つまり、勘定科目の作成は.の外で行われます。

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード生成機能およびメール通知機能をご利用いただけます。
    アカウントのプロビジョン解除

    IBM Verifyアカウントの削除は無効がデフォルト設定となっています。つまり、アカウントの削除は.の外で行われます。

    ユーザーから利用権限が削除された際に、アカウントを自動的に無効化するには、「 有効 」オプションを選択してください。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「 メール通知を送信 」オプションを選択すると、アカウントのプロビジョニングが正常に完了した後、自動生成されたパスワードが記載されたメール通知がお客様のメールアドレスに送信されます。
    猶予期間 (日) アカウントの権限を解除した後、完全に削除されるまでの間、そのアカウントを一時停止状態として保持する猶予期間(日数)を設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、「アカウントのプロビジョニング解除」フィールドが有効になっている場合にのみ利用可能です。
  7. [全般] セクションで、ドロップダウンから [アプリケーションプロファイル] を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「IDアダプターのアプリケーションプロファイルの管理 」を参照してください。
  8. API 認証の詳細を指定します。
    パラメーター 説明
    Tivoli® Directory Integrator のロケーション IBM VerifyURL Directory Integrator インスタンスに対して。 たとえば、rmi://<IPアドレス>:<ポート番号>/ITDIDispatcher のように指定します。ここで、IPアドレスはDirectory Integratorのホスト名 IBM Verify 、ポート番号はRMIディスパッチャーのポート番号です。
    SPML プロビジョニング URL SAP SPML プロビジョニング・インターフェース・リンクの完全修飾ドメイン名。 このフィールドは必須です。
    SPML プロビジョニング・ユーザー ID アダプターが SAP インスタンスへの接続および SPML プロビジョニングの実行に使用する、SAP ユーザー・アカウントのログイン ID。 このフィールドは必須です。
    パスワード アダプターが SAP インスタンスへの接続および SPML プロビジョニングの実行に使用する、SAP ユーザー・パスワード。 このフィールドは必須です。
    ID エージェント アプリケーションプロファイルの検出に使用する「プロビジョニング」タイプのIdentity Agentをドロップダウンから選択してください。
    説明 オプション・フィールド。 必要に応じて説明を追加します。
    属性マップ・プロパティー・ファイルのパス この属性はオプションです。 アダプターがサービスのプロパティー・ファイルをロードする元のファイルのファイル・パスを指定します。 複数の SAP 終端システムを使用するようにアダプターが構成されている場合、各終端リソースには、それぞれ対応するプロパティー・ファイルが必要になります。 このプロパティー・ファイルは、それぞれ異なるファイル名でなければなりません。 これらのファイルはすべて、ITDI_HOMe /timsol/umeprop/ディレクトリ下に配置する必要があります。

    プロパティファイルのデフォルトのファイル名は ` SAPUMEAttributeMap.properties` です

    例:2台の SAP サーバー( Server1 および Server2 )が、同じ Security Directory Integrator を使用するように設定されている場合、 IBM Verify Identity Managerサービス( service1 )は Server1 のユーザー属性用に設定され、もう一方のサーバー( service2 )は Server2 のユーザー属性用に設定されます。 service1 および service2 の属性数が異なる属性のプロビジョニング用に設定されている場合、 Server1 用と Server2propFile2.properties 用の 2 つのプロパティファイルを作成する必要があります。 propFile1.properties この場合、属性には、 service1 に対しては、 umeprop/propFile1.propertiesServer2umeprop/propFile2.properties に対しては という値が割り当てられている必要があります。
  9. [接続のテスト] をクリックして、オンプレミスの SAP ユーザー管理エンジンへの接続をテストします。 SAP User Management Engine アプリケーションでアカウントのプロビジョニングまたは照合を行うには、接続が正常に確立されている必要があります。
  10. 必要に応じて、対象の SAP ユーザー管理エンジンの属性をVerifyの属性にマッピングしてください。 ターゲットで更新が必要な属性について、 「最新の状態に保つ」 チェックボックスを選択してください。

  11. [アカウントの同期] タブを選択します。
  12. 採用ポリシー 」セクションで、アカウント同期プロセスにおいて、 SAP User Management EngineのアカウントをVerify上の各アカウント所有者に割り当てるために一致させる必要がある属性ペアを1つ以上追加してください。
  13. 是正ポリシー 」セクションで、ポリシーを選択して、コンプライアンス違反のアカウントを自動的に是正します。
  14. 「保存」 をクリックします。
  15. アプリケーションを保存した後、 「Entitlements 」タブで認証ポリシーを指定してください。