部署 SAP NetWeaver应用程序

在线编辑

将用户从 Verify 迁移到本地部署的 SAP NetWeaver适配器。

准备工作

  1. Verify在.中配置身份代理以进行身份验证。 请参阅通过验证用户界面进行配置
  2. 部署并配置 Identity Brokerage 本地组件 IBM® Verify

过程

  1. Verify请以管理员身份登录。
  2. 选择 “应用程序 ”> “应用程序 ”,然后单击 “添加应用程序 ”。
  3. 从菜单中搜索作为上传的应用程序配置文件名称设置的应用程序类型,然后单击 “添加应用程序 ”。
    例如,如果 SAP 的NetWeaver配置文件是以名称SAPNW上传的,那么该应用程序将显示为SAPNW(custom)。
  4. “添加应用程序 ”页面中,选择 “常规 ”选项卡并填写所需信息。
  5. 选择 “账户生命周期 ”选项卡。
  6. 指定供应和取消供应策略。
    参数 描述
    供应帐户

    IBM Verify默认情况下,“预留账户”功能处于禁用状态 ,这意味着账户的创建是在. 之外进行的。

    选择已启用选项,以在将权利分配给用户时自动配置帐户。 使用 IBM Verify. 创建的账户可使用密码生成和电子邮件通知功能。
    取消供应帐户

    IBM Verify默认情况下,账户注销功能处于禁用状态,这意味着账户删除操作是在系统外部进行的。

    选择 “已启用 ”选项,当用户的授权被撤销时,系统将自动注销该账户。
    帐户密码
    同步用户的 Cloud Directory 密码
    此选项在 Cloud Directory 上启用了“密码同步”时可用。 它在向应用程序供应常规用户时使用 Cloud Directory 密码。 联合用户在供应到应用程序时收到生成的密码。
    生成密码
    此选项为供应的帐户生成随机密码。 密码基于 Cloud Directory 密码策略。
    此选项供应不带密码的帐户。
    发送电子邮件通知 选择生成密码选项之后,此选项可供使用。 如果选择发送电子邮件通知选项,那么在成功配置帐户后,系统会向您的电子邮件地址发送包含自动生成的密码的电子邮件通知。
    宽限期(天) 设置已注销账户在被永久删除前作为“暂停”状态保留的天数。
    取消供应操作 删除帐户。 只有在启用了“注销账户”字段的情况下,此字段才可用。
  7. 在“常规”选项卡中,从菜单中选择 “应用程序配置文件 ”。 如果该个人资料不存在,您必须创建一个。 如需了解更多信息,请参阅《 管理身份适配器应用程序配置文件》。
  8. 指定 API 认证详细信息。
    表 1. API 身份验证参数
    参数 描述
    Tivoli Directory Integrator 位置 IBM Security Directory Integrator 实例的 URL。 rmi://<ip-address>:<port>/ITDIDispatcher例如,其中 ip-address 是 IBM Security Directory Integrator 的主机名,port 是 RMI 调度程序的端口号。
    描述 可选:为此服务指定描述。
    目标客户机 SAP 实例客户机编号。 如果未提供可选 RFC 连接参数的值,那么此字段为必填字段。
    登录标识 适配器用于连接到 SAP 实例的 SAP 用户帐户登录标识。 如果未提供可选 RFC 连接参数的值,那么此字段为必填字段。
    密码 SAP 用户帐户的密码。 如果未提供可选 RFC 连接参数的值,那么此字段为必填字段。
    SAP 系统(DNS 主机名或 IP) 仅当 DNS 配置正确时,才显示 SAP 服务器主机的主机名。 否则,请使用 IP 地址。 如果未提供可选 RFC 连接参数的值,那么此字段为必填字段。
    SAP 系统编号 SAP 服务器系统编号。 如果未提供可选 RFC 连接参数的值,那么此字段为必填字段。
    SAP 登录语言 将由适配器使用的语言 ISO 标识。 此参数是可选项。
    SAP 网关(DNS 主机名或 IP) 仅当 DNS 配置正确时,才显示 SAP 网关主机的主机名。 否则,请使用 IP 地址。 此主机通常是包含 SAP 服务器的同一主机。 此参数是可选项。
    可选 RFC 连接参数

    此属性允许指定备用 SAP 连接参数。 此属性的值是名称/值对形式的格式字符串。 每对数据之间必须用一个竖线 (|) 字符分隔。 名称部分必须使用小写字符。 此属性值的常规格式如下例所示:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    例如,以下字符串值将把 SAP 消息服务器设置为 messageserver.com 系统ID为 PR0 且属于Group SPACE的配置:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    启用 TDI 调试 启用 IBM Security Directory Integrator 调试跟踪输出的标志。
    身份代理程序 从菜单中选择类型为“配置”的身份代理。 使用已发现的应用程序配置文件。
    XSL 属性样式表 这些样式表是可选的服务属性。
  9. 单击 “测试连接 ”以测试与本地 SAP NetWeaver适配器的连接。 必须成功建立连接,才能在 SAP NetWeaver应用程序上进行账户配置或对账。
  10. 根据需要,将目标 SAP NetWeaver属性映射到相应 Verify 属性。 对于需要在目标上更新的属性,请选择保持更新复选框。
  11. 选择 “账户同步 ”选项卡。
  12. “采用策略 ”部分,添加一个或多个属性对,这些属性对必须匹配,系统才能在账户同步过程中将 SAP NetWeaver账户分配给Verify上的相应账户所有者。
  13. “整改策略 ”部分,选择一项整改策略,以自动对不符合要求的账户进行整改。
  14. 点击 “保存”
  15. 保存应用程序后,请在 “授权 ”选项卡中指定授权策略。
    注意:

    缺省情况下,协调失败阈值设置为 15%。 这样可确保如果在连续帐户同步之间发现删除了超过 15% 的帐户,那么将废弃帐户同步结果,并停止操作。

    如果被删除记录的比例较高(通常出现在数据量较小的情况下——数据变动量越小,比例偏差越大),请调整该数值。 将失败阈值设置为 100% 后,系统将忽略百分比偏差,并完成账户同步操作。

    通过在 docker-compose yml 文件中的 identity-brokerage 环境部分下添加环境变量 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100”(值可以在 0 到 100 的范围之内),可以更改失败阈值。 完成后,如果容器正在运行,请重新启动它。

    例如,
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"