9 SAP User Management Engineコネクタのよくある質問
-
Oracle Identity Governance (OIG)環境にSAP UMEコネクタのみをインストールしています。これをSAP GRCで使用する予定です。GRCで使用するにはSIL登録ステップに従う必要がありますか。
回答: 他のコネクタでsodgrcトポロジ名を使用しない場合は必要ありません。sodgrcトポロジ名はデフォルトですでに登録され、GRC-ITRes ITリソースにマップされています。したがって、インスタンス名GRC-ITRes、タイプGRC-UMEのITリソースがまだ存在していない場合は、作成する必要があります。このインスタンスのGRC詳細を指定し、このITリソースをGRCに使用します。GRC-ITResインスタンスを使用するには、SAPUME ITリソースにトポロジ名としてsodgrcと記載してください。
-
SAP ERコネクタとSAP UMEコネクタを同じOIG環境で同時に使用できますか。
回答: はい。
-
SODのシステム・プロパティを、XL.SoDCheckRequired = TRUEに変更しました。2つのSAPコネクタを、1つのコネクタはSOD分析用に構成し、もう1つのコネクタはSOD分析なしに構成して、同じOIG環境で使用することは可能ですか。
回答: いいえ、OIGにおいてシステム・プロパティは共通です。したがって、そのOIGにインストールされたすべてのコネクタにプロパティが適用されます。
-
SAP UMEコネクタをSOD分析用に構成しました。複数のGRCシステムがありますが、このコネクタは1つのシステムにのみ構成しています。違反ロールのセットを追加しましたが、SOD分析結果では違反なしの「成功」と表示されました。正しい分析を行うための構成がなにか足りないのでしょうか。
回答: 構成エラーの可能性があります。Lookup.SAPUME.ACxx.Configurationで、Sodシステム・キーのデコード値を検証してください。xxは、SAP GRC 10リリースの場合は10となります。正しいシステム値を指定してください。
-
SAP UMEコネクタをAccess Request Management用に構成してあり、監査証跡詳細を表示する必要があります。詳細はどこで取得できますか。
回答: 監査証跡詳細を取得するには、コネクタのACに固有のログを有効化する必要があります。監査証跡詳細は、コネクタ・ログとともにログ・ファイルで表示できます。
監査証跡のフォーマット済サンプルをいくつか示します。
-
ユーザーの作成
Audit Trial: {Result=[Createdate:20130409,
Priority: HIGH,
Requestedby:, johndoe (JOHNDOE),
Requestnumber: 9000001341,
Status: Decision pending,
Submittedby:, johndoe (JOHNDOE),
auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,
Description:,
Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],
Status=0_Data Populated successfully}
-
リクエスト・ステータス
Audit Trial: {Result=[Createdate:20130409,
Priority:HIGH,
Requestedby:,johndoe (JOHNDOE),
Requestnumber: 9000001341,
Status: Approved,
Submittedby:, johndoe (JOHNDOE),
auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,
Description:,
Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH,
ID: 000C290FC2851ED2A899DAF9961C91E2,Description:,Display String:Request is pending for approval at path GRAC_DEFAULT_PATH stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A1400B60631E2,
Description:,
Display String: Approved by JOHNDOE at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A150972D091E2,
Description:,
Display String: Auto provisioning activity at end of request at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A150972D111E2,
Description:,
Display String: Approval path processing is finished, end of path reached,
ID: 000C290FC2851ED2A89A150972D151E2,
Description:,
Display String: Request is closed}],
Status=0_Data Populated successfully}
-
リクエストの変更(名)
Audit Trial: {Result=[Createdate:20130409,
Priority: HIGH,
Requestedby:, johndoe (JOHNDOE),
Requestnumber: 9000001342,
Status: Decision pending,
Submittedby:,johndoe (JOHNDOE),
auditlogData:{,
ID: 000C290FC2851ED2A89A3ED3B1D7B1E2,
Description:,
Display String: Request 9000001342 of type Change Account Submitted by johndoe ( JOHNDOE ) for JK1FirstName JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],
Status=0_Data Populated successfully}
-
-
SAP UMEコネクタをAccess Request Management用に構成し、GRCを介してユーザーのプロビジョニングを実行しました。現在、コネクタをAccess Request Management機能のないデフォルトのタイプに戻しています。既存のユーザーを更新しようとすると、タスクが失敗します。Access Request Managementを介してプロビジョニングした既存のユーザーを操作する前に、スケジュール・ジョブを実行する必要はありますか。
回答: はい、プロビジョニング操作を実行する前に、SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブを使用して、完全リコンシリエーションを1回実行してください。
-
Oracle Identity Governance環境にSAP UMEコネクタをインストールしています。ユーザーのプロビジョニング中に次の例外が表示されます。この問題を回避するにはどうしたらよいですか。
例外 : org.identityconnectors.framework.common.exceptions.ConnectorException: HTTPリクエストが有効でありません。
回答: この問題の回避策として、次の手順を実行してください。
-
SAP NW7.4 UMEの「操作」システム・レベルにログインして、次のパスに移動します。
D:\usr\sap\<SID>\SYS\PROFILE\
-
DEFAULT.PFLを次のように編集します。
#icm/HTTP/mod_0 = PREFIX=/,FILE=$(DIR_GLOBAL)/security/data/icm_filter_rules.txt
-
次のパスに示されたプロファイル・ディレクトリ内にあるディレクトリからconfigtool.shを実行します。
cd /usr/sap/<SID>/j2ee/configtool
./configtool.sh
-
Configtool GUIで、
use.spml.http_header_check_active
パラメータの値がfalse
に変更されます(true
に設定されていた場合)。
-
-
ユーザーの作成プロビジョニング操作の際に、SAP UME ACコネクタは、GRCなしでSAP ECCシステムに直接マップされた属性をプロビジョニングしますか。
回答: いいえ。GRCでのアカウント作成リクエストの場合、リクエストはGRC属性のみを使用して作成されます。SAP ECCシステムに直接マップされた属性は、作成操作には含まれません。リクエストが承認され、アカウントがSAP ECCシステム(バックエンドABAPシステム)にプロビジョニングされた後で、それらの属性(SAPに直接マップされた属性)を更新操作の中でプロビジョニングできます。