Integração do aplicativo NetWeaver da SAP

Editar online

Configurar usuários do Verify para o adaptador NetWeaver do SAP e local.

Antes de começar

  1. Configure o agente de identidade para autenticação em Verify. Consulte, Configurando por meio da interface com o usuário do Verify.
  2. Implemente e configure o IBM® Verify componente Identity Brokerage On-Premises.

Procedimento

  1. Faça login como administrador em Verify.
  2. Selecione Aplicativos > Aplicativos e clique em Adicionar aplicativo.
  3. Pesquise o tipo de aplicativo pelo nome definido para o perfil do aplicativo enviado no menu e clique em “Adicionar aplicativo ”.
    Por exemplo, se o perfil NetWeaver do SAP foi carregado com o nome SAPNW, a aplicação será encontrada como SAPNW(custom).
  4. Na página “Adicionar aplicativos”, selecione a guia “Geral” e preencha os dados necessários.
  5. Selecione a guia "Ciclo de vida da conta".
  6. Especifique as políticas de fornecimento e de desprovisionamento.
    Parâmetros Descrição
    Provisionar contas

    A criação de contas provisórias está desativada por padrão, o que significa que a criação de contas é realizada fora do IBM Verify.

    Selecione a opção Ativada para provisionar automaticamente uma conta quando a autorização for atribuída a um usuário. Os recursos de geração de senha e notificação por e-mail estão disponíveis para contas criadas com IBM Verify.
    Desprover contas

    A desativação de contas está desativada por padrão, o que significa que a remoção de contas é realizada fora do IBM Verify.

    Selecione a opção "Ativado" para cancelar automaticamente o acesso a uma conta quando o direito de acesso for removido de um usuário.
    Senha da conta
    Senha do Cloud Directory do usuário de sincronização
    Esta opção estará disponível se a Sincronização de senha estiver ativada no Cloud Directory. Ela usará a senha do Cloud Directory quando um usuário regular for provisionado para o aplicativo. Os usuários federados recebem uma senha gerada quando provisionados para o aplicativo.
    Gerar senha
    Esta opção gera uma senha aleatória para a conta provisionada. A senha é baseada na política de senha do Cloud Directory.
    Nenhum
    Esta opção provisiona a conta sem uma senha.
    Enviar notificação por e-mail Esta opção está disponível quando você seleciona a opção Gerar senha. Ao selecionar a opção Enviar notificação por e-mail, uma notificação por e-mail com a senha gerada automaticamente é enviada para o seu endereço de e-mail depois que a conta é provisionada com sucesso.
    Período de carência (dias) Defina o período de carência, em dias, durante o qual uma conta desativada permanecerá suspensa antes de ser excluída definitivamente.
    Ação de remoção de provisão Excluir a conta Este campo só estará disponível se a opção "Desativar contas" estiver ativada.
  7. Na seção Geral, selecione Perfil do aplicativo no menu. Se o perfil não existir, você deverá criar um. Para obter mais informações, consulte Gerenciamento de perfis de aplicativos do adaptador de identidade.
  8. Especifique os detalhes de autenticação da API.
    Tabela 1. Parâmetros de autenticação da API
    Parâmetros Descrição
    Local do Tivoli Directory Integrator URL para a instância do IBM Security Directory Integrator. rmi://<ip-address>:<port>/ITDIDispatcherPor exemplo, onde ip-address é o endereço do host IBMSecurity Directory Integrator e port é o número da porta do RMI Dispatcher.
    Descrição Opcional: Especifique uma descrição para esse serviço.
    Cliente de Destino O número do cliente da instância do SAP. Esse campo é obrigatório se nenhum valor for fornecido para Parâmetros da Conexão do RFC Opcionais.
    ID de Login O ID de login da conta do Usuário do SAP que o adaptador usa para conectar-se à instância do SAP. Esse campo é obrigatório se nenhum valor for fornecido para Parâmetros da Conexão do RFC Opcionais.
    Senha Senha para a conta do Usuário do SAP. Esse campo é obrigatório se nenhum valor for fornecido para Parâmetros da Conexão do RFC Opcionais.
    Sistema SAP (IP ou nome do host DNS) Nome do host do computador que hospeda o servidor SAP, desde que o DNS esteja configurado corretamente. Caso contrário, use o endereço IP. Esse campo é obrigatório se nenhum valor for fornecido para Parâmetros da Conexão do RFC Opcionais.
    Número de Sistemas SAP O número do sistema do servidor SAP. Esse campo é obrigatório se nenhum valor for fornecido para Parâmetros da Conexão do RFC Opcionais.
    Idioma de Logon do SAP O identificador ISO do idioma a ser usado pelo adaptador. Este parâmetro é opcional.
    Gateway do SAP (IP ou nome do host DNS) Nome do host do computador que hospeda o gateway SAP, somente se o DNS estiver configurado corretamente. Caso contrário, use o endereço IP. Este host é tipicamente o mesmo host que contém o servidor SAP. Este parâmetro é opcional.
    Parâmetros da Conexão do RFC Opcionais

    Esse atributo permite que parâmetros de conectividade do SAP alternativos sejam especificados. O valor desse atributo é uma sequência formatada de pares nome-valor. Cada par deve ser separado por um único caractere de barra vertical (|). As partes do nome devem estar em caracteres minúsculos. O formato geral do valor desse atributo é mostrado neste exemplo:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Por exemplo, o valor de string a seguir configuraria o Servidor de Mensagens do SAP com messageserver.com o ID do Sistema PR0 e o Espaço de Grupo:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    Ativar Depuração de TDI Sinalizador para ativar a saída de rastreamento de depuração do ` IBM ` e do ` Security Directory Integrator `.
    Agente de identidade Selecione um Agente de Identidade do tipo provisionamento no menu. Use o perfil de aplicativo que foi identificado.
    Folhas de estilo de atributos XSL Essas folhas de estilo são atributos opcionais do serviço.
  9. Clique em “Testar conexão” para testar a conexão com o adaptador NetWeaver do SAP no ambiente local. A conexão precisa ser bem-sucedida para provisionar ou reconciliar contas na aplicação NetWeaver do SAP.
  10. Mapeie os atributos do NetWeaver do SAP de destino para os Verify atributos necessários. Selecione a caixa de seleção Manter atualizado para os atributos que precisam ser atualizados no destino.
  11. Selecione a guia "Sincronização de contas".
  12. Na seção “Política de adoção ”, adicione um ou mais pares de atributos que precisam corresponder para que o processo de sincronização de contas atribua as contas do NetWeaver d SAP e aos respectivos proprietários de conta no Verify.
  13. Na seção “Políticas de correção ”, selecione uma política de correção para corrigir automaticamente as contas que não estão em conformidade.
  14. Clique em Salvar.
  15. Depois que o aplicativo for salvo, especifique a política de autorização na guia "Direitos ".
    Nota:

    O limite de falha de reconhecimento é configurado como 15% por padrão. Ele assegura que, se mais de 15% da conta tiver sido excluído entre as sucessivas sincronizações de conta, o resultado da sincronização será descartado e a operação será parada.

    Se houver uma porcentagem maior de registros excluídos (normalmente com um volume de dados menor — a menor variação nos dados contribui para um desvio percentual maior), ajuste o valor. Ao definir o valor limite de falha para 100%, o desvio percentual é ignorado e a operação de sincronização da conta é concluída.

    É possível mudar o valor do limite de falha incluindo a variável ambiental RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (o valor pode variar de 0 a 100) na seção de ambientes de identity-brokerage no arquivo yml de composição do docker. Quando terminar, reinicie o contêiner, caso ele já esteja em execução.

    Por exemplo,
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"