통합은 두 개의 프로파일을 사용합니다. 첫 번째 프로파일은 SAP NetWeaver 어댑터 계정 및 서비스 속성만 포함합니다. 이 프로파일은 SAP GRC Access Control에 대한 연결이 허용되지 않습니다. 두 번째 프로파일은 확장된 계정 세트와 SAP GRC Access Control(버전 5.3 또는 10.0)과 SAP NetWeaver 간의 서비스 속성을 포함합니다.
이 상호작용을 통해 IBM® Security Identity Manager는 SAP NetWeaver 계정 프로비저닝 프로세스를 사용하여 SAP GRC Access Control에서 계정 준수 검사 프로세스를 조정할 수 있습니다. 이 프로파일은 다음 두 가지 태스크를 수행하는 데 단일 계정 프로비저닝 요청을 효과적으로 사용할 수 있습니다.
- IBM Security Identity Manager에서 SAP GRC Access Control로 액세스 요청 제출.
- IBM Security Identity Manager 요청에 대한 승인 또는 거부 권한이 부여되었는지 여부에 따라 IBM Security Identity Manager에서 SAP NetWeaver로 계정 프로비저닝 요청 제출.
어댑터의 구성요소 간의 관계가 그림 1에 표시되어 있습니다.
그림 1. IBM
Security Identity Manager SAP NetWeaver 어댑터(SAP GRC Access Control 통합 구성요소 및 관계 포함)
상위 레벨의 제어는
SAP GRC Access Control에 대한 IBM Security
Identity Manager 워크플로우 확장을 구성하는 프로비저닝 프로세스를 통해 이루어집니다.
IBM Security
Identity Manager 워크플로우 확장은 추가, 수정, 일시중단, 복원 및 삭제 요청을 SAP GRC Access Control에 전송할 수 있습니다.
SoD 준수 검사는 SAP NetWeaver에서 계정을 프로비저닝하기 전에 SAP GRC Access Control에서 수행됩니다.
SAP GRC Access Control Compliant Provisioning의 리스크 분석과 교정 기능을 사용하여 다음을 수행할 수 있습니다.
- 요청 수정
- 승인 제출
- 거부 제출
- 요청 취소
비차단 모드에서 SAP GRC Access Control은 대상 시스템의 계정 프로비저닝을 제어합니다. SAP GRC Access Control로의 액세스 요청 제출 후 IBM Security Identity Manager 워크플로우는 계속해서 실행되며 SAP GRC Access Control의 요청 결과를 기다리지 않습니다. 이 모드는 SAP NetWeaver의 계정 프로비저닝에 대한 책임을 SAP GRC Access Control로 넘깁니다.
차단 모드에서는
SAP GRC Access Control로의 액세스 요청 제출 후에 IBM Security
Identity Manager 워크플로우가 차단(또는 대기/일시 중단)됩니다. 워크플로우가
SAP GRC Access Control에서 요청 결과를 수신할 때까지 계속해서 차단됩니다. WebSphere®에 배치된 전용 알림 서비스는 다음을 수행합니다.
- 주기적으로 SAP GRC Access Control 조회
- 완료된 요청 결과를 IBM Security Identity Manager로 릴레이
- 관련 IBM Security Identity Manager 워크플로우 차단 해제.