1. SAP User Management Engineアプリケーションの構成
  2. SAP User Management Engineコネクタのよくある質問

9 SAP User Management Engineコネクタのよくある質問

この章では、SAP UMコネクタに関するよくある質問の回答を提供します。

  1. Oracle Identity Governance (OIG)環境にSAP UMEコネクタのみをインストールしています。これをSAP GRCで使用する予定です。GRCで使用するにはSIL登録ステップに従う必要がありますか。

    回答: 他のコネクタでsodgrcトポロジ名を使用しない場合は必要ありません。sodgrcトポロジ名はデフォルトですでに登録され、GRC-ITRes ITリソースにマップされています。したがって、インスタンス名GRC-ITRes、タイプGRC-UMEのITリソースがまだ存在していない場合は、作成する必要があります。このインスタンスのGRC詳細を指定し、このITリソースをGRCに使用します。GRC-ITResインスタンスを使用するには、SAPUME ITリソースにトポロジ名としてsodgrcと記載してください。

  2. SAP ERコネクタとSAP UMEコネクタを同じOIG環境で同時に使用できますか。

    回答: はい。

  3. SODのシステム・プロパティを、XL.SoDCheckRequired = TRUEに変更しました。2つのSAPコネクタを、1つのコネクタはSOD分析用に構成し、もう1つのコネクタはSOD分析なしに構成して、同じOIG環境で使用することは可能ですか。

    回答: いいえ、OIGにおいてシステム・プロパティは共通です。したがって、そのOIGにインストールされたすべてのコネクタにプロパティが適用されます。

  4. SAP UMEコネクタをSOD分析用に構成しました。複数のGRCシステムがありますが、このコネクタは1つのシステムにのみ構成しています。違反ロールのセットを追加しましたが、SOD分析結果では違反なしの「成功」と表示されました。正しい分析を行うための構成がなにか足りないのでしょうか。

    回答: 構成エラーの可能性があります。Lookup.SAPUME.ACxx.Configurationで、Sodシステム・キーのデコード値を検証してください。xxは、SAP GRC 10リリースの場合は10となります。正しいシステム値を指定してください。

  5. SAP UMEコネクタをAccess Request Management用に構成してあり、監査証跡詳細を表示する必要があります。詳細はどこで取得できますか。

    回答: 監査証跡詳細を取得するには、コネクタのACに固有のログを有効化する必要があります。監査証跡詳細は、コネクタ・ログとともにログ・ファイルで表示できます。

    監査証跡のフォーマット済サンプルをいくつか示します。

    • ユーザーの作成

      Audit Trial: {Result=[Createdate:20130409,

      Priority: HIGH,

      Requestedby:, johndoe (JOHNDOE),

      Requestnumber: 9000001341,

      Status: Decision pending,

      Submittedby:, johndoe (JOHNDOE),

      auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,

      Description:,

      Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],

      Status=0_Data Populated successfully}

    • リクエスト・ステータス

      Audit Trial: {Result=[Createdate:20130409,

      Priority:HIGH,

      Requestedby:,johndoe (JOHNDOE),

      Requestnumber: 9000001341,

      Status: Approved,

      Submittedby:, johndoe (JOHNDOE),

      auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,

      Description:,

      Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH,

      ID: 000C290FC2851ED2A899DAF9961C91E2,Description:,Display String:Request is pending for approval at path GRAC_DEFAULT_PATH stage GRAC_MANAGER,

      ID: 000C290FC2851ED2A89A1400B60631E2,

      Description:,

      Display String: Approved by JOHNDOE at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,

      ID: 000C290FC2851ED2A89A150972D091E2,

      Description:,

      Display String: Auto provisioning activity at end of request at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,

      ID: 000C290FC2851ED2A89A150972D111E2,

      Description:,

      Display String: Approval path processing is finished, end of path reached,

      ID: 000C290FC2851ED2A89A150972D151E2,

      Description:,

      Display String: Request is closed}],

      Status=0_Data Populated successfully}

    • リクエストの変更(名)

      Audit Trial: {Result=[Createdate:20130409,

      Priority: HIGH,

      Requestedby:, johndoe (JOHNDOE),

      Requestnumber: 9000001342,

      Status: Decision pending,

      Submittedby:,johndoe (JOHNDOE),

      auditlogData:{,

      ID: 000C290FC2851ED2A89A3ED3B1D7B1E2,

      Description:,

      Display String: Request 9000001342 of type Change Account Submitted by johndoe ( JOHNDOE ) for JK1FirstName JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],

      Status=0_Data Populated successfully}

  6. SAP UMEコネクタをAccess Request Management用に構成し、GRCを介してユーザーのプロビジョニングを実行しました。現在、コネクタをAccess Request Management機能のないデフォルトのタイプに戻しています。既存のユーザーを更新しようとすると、タスクが失敗します。Access Request Managementを介してプロビジョニングした既存のユーザーを操作する前に、スケジュール・ジョブを実行する必要はありますか。

    回答: はい、プロビジョニング操作を実行する前に、SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブを使用して、完全リコンシリエーションを1回実行してください。

  7. Oracle Identity Governance環境にSAP UMEコネクタをインストールしています。ユーザーのプロビジョニング中に次の例外が表示されます。この問題を回避するにはどうしたらよいですか。

    例外 : org.identityconnectors.framework.common.exceptions.ConnectorException: HTTPリクエストが有効でありません。

    回答: この問題の回避策として、次の手順を実行してください。

    1. SAP NW7.4 UMEの「操作」システム・レベルにログインして、次のパスに移動します。

      D:\usr\sap\<SID>\SYS\PROFILE\

    2. DEFAULT.PFLを次のように編集します。

      #icm/HTTP/mod_0 = PREFIX=/,FILE=$(DIR_GLOBAL)/security/data/icm_filter_rules.txt

    3. 次のパスに示されたプロファイル・ディレクトリ内にあるディレクトリからconfigtool.shを実行します。

      cd /usr/sap/<SID>/j2ee/configtool

      ./configtool.sh

    4. Configtool GUIで、use.spml.http_header_check_activeパラメータの値がfalseに変更されます(trueに設定されていた場合)。

  8. ユーザーの作成プロビジョニング操作の際に、SAP UME ACコネクタは、GRCなしでSAP ECCシステムに直接マップされた属性をプロビジョニングしますか。

    回答: いいえ。GRCでのアカウント作成リクエストの場合、リクエストはGRC属性のみを使用して作成されます。SAP ECCシステムに直接マップされた属性は、作成操作には含まれません。リクエストが承認され、アカウントがSAP ECCシステム(バックエンドABAPシステム)にプロビジョニングされた後で、それらの属性(SAPに直接マップされた属性)を更新操作の中でプロビジョニングできます。