Onboarding der SAP User Management Engine-Anwendung

Online bearbeiten

Bereitstellung von Benutzern aus Verify für den On-Premises SAP User Management Engine®-Adapter.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe Konfiguration über die Benutzeroberfläche „Verify “.
  2. Implementieren und konfigurieren Sie die Identity Brokerage On-Premises-Komponente " IBM® Verify.

Vorgehensweise

  1. Melden Sie sich als Administrator bei " IBM Verify an.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie im Menü nach dem Anwendungstyp, der als Name für das hochgeladene Anwendungsprofil festgelegt wurde, und klicken Sie auf Anwendung hinzufügen.
    Wenn zum Beispiel das SAP User Management Engine-Profil mit dem Namen SAP hochgeladen wurde, wird die Anwendung mit SAP(custom) gefunden.
  4. Wählen Sie auf der Seite Anwendungen hinzufügen die Registerkarte Allgemein, und geben Sie die erforderlichen Details an.
  5. Wählen Sie die Registerkarte Kontolebenszyklus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Bereitstellungskonten sind standardmäßig deaktiviert, was bedeutet, dass die Kontoerstellung außerhalb von " IBM Verify erfolgt.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Die Funktionen zur Generierung von Passwörtern und zur Benachrichtigung per E-Mail sind für das Konto verfügbar, das mit " IBM Verify erstellt wurde.
    Bereitstellung von Accounts zurücknehmen

    Die Deprovisionierung von Konten ist standardmäßig deaktiviert, was bedeutet, dass die Entfernung von Konten außerhalb von " IBM Verify erfolgt.

    Wählen Sie die Option Aktiviert, um ein Konto automatisch zu deprovisionieren, wenn einem Benutzer die Berechtigung entzogen wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option E-Mail-Benachrichtigung senden wählen, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Passwort an Ihre E-Mail-Adresse gesendet, nachdem das Konto erfolgreich eingerichtet wurde.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein entzogenes Konto als ausgesetzt gilt, bevor es endgültig gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld "Deprovision Account" aktiviert ist.
  7. Wählen Sie im Abschnitt Allgemein das Anwendungsprofil aus der Dropdown-Liste. Wenn das Profil nicht vorhanden ist, muss es erstellt werden. Weitere Informationen finden Sie unter Verwalten von Identitätsadapter-Anwendungsprofilen.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Parameter Beschreibung
    Tivoli® Directory Integrator-Position URL für die IBM Verify -Verzeichnisintegratorinstanz. Beispiel: rmi://<ip-address>:<port>/ITDIDispatcher, wobei ip-address der ' IBM Verify und port die Portnummer für den RMI-Dispatcher ist.
    SPML-Einrichtungs-URL Der vollständig qualifizierte Domänenname des Links der Schnittstelle für die SAP SPML-Bereitstellung. Dieses Feld ist obligatorisch.
    Benutzer-ID für SPML-Einrichtung Die Anmelde-ID für den SAP-Benutzeraccount, den der Adapter für die Verbindung zur SAP-Instanz verwendet und mit dem er die SPML-Bereitstellung durchführt. Dieses Feld ist obligatorisch.
    Kennwort Das SAP-Benutzerkennwort, das der Adapter für die Verbindung zur SAP-Instanz verwendet und mit der er die SPML-Bereitstellung durchführt. Dieses Feld ist obligatorisch.
    Identitätsagent Wählen Sie aus der Dropdown-Liste einen Identitätsagenten des Typs Provisioning aus, über den das Anwendungsprofil ermittelt wird.
    Beschreibung Optionales Feld. Fügen Sie bei Bedarf die Beschreibung hinzu.
    Pfad für Eigenschaftendatei für Attributzuordnung Dieses Attribut ist optional. Geben Sie den Dateipfad an, aus dem der Adapter die Eigenschaftendatei für einen Service lädt. Wenn der Adapter so konfiguriert ist, dass er mehr als ein SAP-Endsystem verwendet, muss jede Endressource ihre entsprechende Eigenschaftendateien aufweisen. Die Namen der Eigenschaftendateien dürfen nicht gleich sein. Alle diese Dateien müssen sich im Verzeichnis ITDI_HOMe/timsol/umeprop/directory befinden.

    Der Standardname der Eigenschaftsdatei ist SAPUMEAttributeMap.properties

    Ein Beispiel: Wenn zwei SAP, Server1 und Server2 , so konfiguriert sind, dass sie denselben Security Directory Integrator, ' IBM Verify Identity Manager-Dienst verwenden, wird service1 für Benutzerattribute von Server1 und service2 für Benutzerattribute von Server2 konfiguriert. Wenn die Attribute für service1 und service2 für die Bereitstellung unterschiedlicher Attribute konfiguriert sind, müssen zwei Eigenschaftendateien erstellt werden: propFile1.properties für Server1 und propFile2.properties für Server2. In diesem Fall muss dem Attribut der Wert " umeprop/propFile1.properties für service1 und " umeprop/propFile2.properties " für Server2 zugewiesen werden.
  9. Klicken Sie auf Verbindung testen, um die Verbindung zur SAP User Management Engine vor Ort zu testen. Die Verbindung muss erfolgreich sein, um Konten in der Anwendung SAP User Management Engine bereitzustellen oder abzugleichen.
  10. Ordnen Sie die Zielattribute SAP User Management Engine nach Bedarf den Verify-Attributen zu. Aktivieren Sie das Kontrollkästchen Aktualisiert halten für die Attribute, die auf dem Ziel aktualisiert werden müssen.
  11. Wählen Sie die Registerkarte Kontosynchronisierung.
  12. Fügen Sie im Abschnitt Adoptionsrichtlinie ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess die SAP User Management Engine-Konten den jeweiligen Kontoeigentümern bei der Überprüfung zuordnet
  13. Wählen Sie im Abschnitt Sanierungsrichtlinien eine Sanierungsrichtlinie, um nicht konforme Konten automatisch zu sanieren.
  14. Klicken Sie auf Speichern.
  15. Nachdem die Anwendung gespeichert wurde, geben Sie auf der Registerkarte Berechtigungen die Berechtigungsrichtlinie an.