Incorporación de la aplicación SAP Netweaver

Editar en línea

Aprovisionamiento de usuarios desde Verify al adaptador Netweaver local SAP.

Antes de empezar

  1. Configure el agente de identidad para la autenticación en Verify. Consulte Configuración mediante la interfaz de usuario Verify.
  2. Despliegue y configure el componente IBM® Verify Identity Brokerage On-Premises.

Procedimiento

  1. Inicie sesión como administrador en Verify.
  2. Seleccione Aplicaciones > Aplicaciones y haga clic en Añadir aplicación.
  3. Busque el tipo de aplicación como el nombre establecido para el perfil de aplicación cargado en el menú y pulse Añadir aplicación.
    Por ejemplo, si el perfil de SAP Netweaver se ha cargado con el nombre SAPNW, la aplicación se encuentra con SAPNW (personalizado).
  4. En la página Añadir aplicaciones , seleccione la pestaña General para especificar los detalles necesarios.
  5. Seleccione la pestaña Ciclo de vida de cuenta .
  6. Especifique las políticas de suministro y de cancelación de suministro.
    Parámetros Descripción
    Suministrar cuentas

    El suministro de cuentas está Inhabilitado de forma predeterminada, lo que significa que la creación de la cuenta se realiza fuera de IBM Verify.

    Seleccione la opción Habilitado para suministrar automáticamente una cuenta cuando la titularidad se asigne a un usuario. Las generaciones de contraseñas y las características de notificación por correo electrónico están disponibles para las cuentas que se crean con IBM Verify.
    Dejar de suministrar cuentas

    Dejar de suministrar cuentas está inhabilitado de forma predeterminada, lo que significa que la eliminación de cuentas se realiza fuera de IBM Verify.

    Seleccione la opción Habilitado para dejar de suministrar automáticamente una cuenta cuando se elimina la titularidad de un usuario.
    Contraseña de cuenta
    Sincronizar contraseña de Cloud Directory del usuario
    Esta opción está disponible si la sincronización de contraseña está habilitada en Cloud Directory. Utiliza la contraseña de Cloud Directory cuando se suministra un usuario normal a la aplicación. Los usuarios federados reciben una contraseña generada cuando se suministran a la aplicación.
    Generar contraseña
    Esta opción genera una contraseña aleatoria para la cuenta suministrada. La contraseña se basa en la política de contraseñas de Cloud Directory.
    Ninguna
    Esta opción suministra la cuenta sin contraseña.
    Enviar notificación de correo electrónico Esta opción está disponible cuando se selecciona la opción Generar contraseña. Cuando selecciona la opción Enviar notificación por correo electrónico, se envía una notificación de correo electrónico con la contraseña generada automáticamente a la dirección de correo electrónico después de que la cuenta se haya suministrado correctamente.
    Periodo de gracia (días) Establezca el periodo de gracia en días durante el cual una cuenta que ha dejado de suministrarse se mantiene como suspendida antes de que se suprima de forma permanente.
    Acción de dejar de suministrar Suprimir la cuenta. Este campo sólo está disponible si el campo de eliminación de suministro de cuentas está habilitado.
  7. En la sección General, seleccione Perfil de aplicación en el menú. Si el perfil no existe, debe crear uno. Para obtener más información, consulte Gestión de perfiles de aplicación del adaptador de identidad.
  8. Especifique los detalles de autenticación de API.
    Tabla 1. Parámetros de autenticación de la API
    Parámetros Descripción
    Ubicación de Tivoli Directory Integrator URL de la instancia de IBM Security Directory Integrator. Por ejemplo, rmi://<ip-address>:<port>/ITDIDispatcher, donde ip-address es el host de IBM Security Directory Integrator y port es el número de puerto para el RMI Dispatcher.
    Descripción Opcional: especifica una descripción de este servicio.
    Cliente de destino El número de cliente de instancia de SAP . Este campo es obligatorio si no se proporciona ningún valor para Parámetros de conexión RFC opcionales.
    ID de inicio de sesión El ID de inicio de sesión de cuenta de usuario de SAP que el adaptador utiliza para conectarse a la instancia de SAP . Este campo es obligatorio si no se proporciona ningún valor para Parámetros de conexión RFC opcionales.
    Contraseña Contraseña para la cuenta de usuario de SAP . Este campo es obligatorio si no se proporciona ningún valor para Parámetros de conexión RFC opcionales.
    Sistema SAP (nombre de host DNS o IP) Nombre de host del sistema host del servidor SAP sólo si DNS está configurado correctamente. De lo contrario, utilice la dirección IP. Este campo es obligatorio si no se proporciona ningún valor para Parámetros de conexión RFC opcionales.
    Número de sistemas SAP El número de sistema del servidor SAP . Este campo es obligatorio si no se proporciona ningún valor para Parámetros de conexión RFC opcionales.
    Idioma de inicio de sesión de SAP El identificador ISO de idioma que utilizará el adaptador. Este parámetro es opcional.
    SAP Gateway (nombre de host DNS o IP) Nombre de host del sistema host de pasarela SAP sólo si DNS se ha configurado correctamente. De lo contrario, utilice la dirección IP. Este host suele ser el mismo host que contiene el servidor SAP . Este parámetro es opcional.
    Parámetros de conexión de RFC opcionales

    Este atributo permite especificar parámetros de conectividad SAP alternativos. El valor de este atributo es una serie formateada de pares nombre-valor. Cada par debe estar separado por un único carácter de barra vertical (|). Las partes del nombre deben estar en minúsculas. El formato general del valor de este atributo se muestra en este ejemplo:

    <name1>=<value1> <name2=value2> ... <nameN>=<valueN>

    Por ejemplo, el siguiente valor de serie establecería SAP Message Server en messageserver.com con el ID de sistema PR0 y Group SPACE:

    mshost=messageserver.com|r3name=PR0|group=SPACE
    Habilitar depuración de TDI Distintivo para habilitar la salida de rastreo de depuración de IBM Security Directory Integrator .
    Agente de identidad Seleccione un agente de identidad de tipo de suministro en el menú. Utilice el perfil de aplicación que se ha descubierto.
    Hojas de estilo de atributo XSL Estas hojas de estilo son atributos de servicio opcionales.
  9. Pulse Probar conexión para probar la conexión con el adaptador Netweaver de SAP local. La conexión debe ser satisfactoria para suministrar o reconciliar cuentas en la aplicación SAP Netweaver.
  10. Correlacionar los atributos de SAP Netweaver de destino con los atributos Verify según sea necesario. Seleccione el recuadro de selección Mantener actualizado para los atributos que deben actualizarse en el destino.
  11. Seleccione la pestaña Sincronización de cuenta .
  12. En la sección Política de adopción , añada uno o varios pares de atributos que deban coincidir para que el proceso de sincronización de cuenta asigne cuentas de SAP Netweaver a sus respectivos propietarios de cuenta en Verify.
  13. En la sección Políticas de remediación , elija una política de remediación para remediar automáticamente las cuentas no conformes.
  14. Pulse Guardar.
  15. Una vez guardada la aplicación, especifique la política de autorización en la pestaña Titularidades .
    Nota:

    De forma predeterminada, el umbral de errores de reconocimiento se establece en 15%. Garantiza que si se encuentra más del 15% de la cuenta suprimida entre sincronizaciones sucesivas de la cuenta, el resultado de sincronización de cuenta se descarta y se detiene la operación.

    Si existe un% más alto de registros suprimidos (normalmente con un volumen de datos más pequeño-el cambio de datos más pequeño contribuye a una desviación de% más alta), ajuste el valor. Al establecer el valor de umbral de anomalía en 100%, se ignora el% de desviación y se completa la operación de sincronización de cuenta.

    Puede cambiar el valor del umbral de anomalía añadiendo la variable de entorno RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (el valor puede situarse entre 0 y 100) bajo la sección de entornos de Identity Brokerage, en el archivo yml de docker-compose. Después de que se haya realizado, reincorpore el contenedor si ya se está ejecutando.

    Por ejemplo:
    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"