Documentación de Oracle Cloud Infrastructure

Configuración de la integración con SAP User Management (UM)

Requisitos

Antes de instalar y configurar un sistema orquestado de gestión de usuarios (UM) de SAP, debe tener en cuenta los siguientes requisitos y tareas.

Crear una cuenta de usuario de servicio

Oracle Access Governance requiere que una cuenta de usuario acceda al sistema SAP User Management (UM) durante las operaciones de servicio. Según el sistema que utilice, puede crear el usuario en el sistema gestionado y asignar grupos, roles, parámetros y perfiles específicos al usuario.

Creación de una cuenta de usuario de servicio para operaciones de sistema orquestadas en SAP User Management (UM)

Para crear la cuenta de usuario de SAP User Management (UM) para las operaciones:

  1. Cree un usuario CPIC con el perfil S_IDOC_ALL.
  2. Agregue las siguientes autorizaciones junto con los valores de parámetros por defecto correspondientes:
    • S_RFC
    • S_TABU_DIS
    • S_TABU_NAM
    • S_USUARIO_AGR
    • S_USER_AUT
    • S_USUARIO_GRP
    • S_USER_PRO
    • S_USUARIO_SAS
    • S_USUARIO_SYS
  3. Modifique los valores de parámetros de la siguiente manera:

    Para S_RFC

    • ACTVT: 16
    • RFC_NAME: *
    • RFC_TYPE: FUGR

    Para S_TABU_DIS

    • ACTVT: 03,02
    • DICBERCLS: SUSR,*

    Para S_TABU_NAM

    • ACTVT: 03,02
    • TABLA: USH*,USR*,USZ*,AGR_TEXTS

    Para S_USER_AGR

    • ACTVT: 03,22,02
    • ACT_GROUP: *

    Para S_USER_AUT

    • ACTVT: 03
    • AUTENTICACIÓN: *
    • OBJETO: *

    Para S_USER_GRP

    • ACTVT: 01,02,03,05,06,08,22,78,PP
    • CLASE: *

    Para S_USER_PRO

    • ACTVT: 03,22
    • PERFIL: *

    Para S_USER_SAS

    • ACTVT: 01,06,22
    • ACT_GROUP: *
    • CLASE: *
    • PERFIL: *
    • SUBSISTEMA: *

    Para S_USER_SYS

    • ACTVT: 78
    • SUBSISTEMA: *

Configurar

Puede establecer una conexión entre SAP User Management (UM) y Oracle Access Governance introduciendo los detalles de la conexión. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.

Navegar a la página Orchestrated Systems

En la página Orchestrated Systems de la consola de Oracle Access Governance se inicia la configuración del sistema orquestado.

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, puede especificar qué tipo de sistema desea integrar con Oracle Access Governance.

Puede buscar el sistema necesario por nombre mediante el campo Buscar.

  1. Seleccione Gestión de usuarios de SAP (UM).
  2. Haga clic en Siguiente.

Agregar detalles

Agregue detalles como el nombre, la descripción y el modo de configuración.

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
  1. Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
  2. Introduzca una descripción para el sistema en el campo Descripción.
  3. Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
    • Este es el origen autorizado de mis identidades

      Seleccione uno de estos procedimientos:

      • Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
      • Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
    • Quiero gestionar los permisos de este sistema
    El valor predeterminado en cada caso es No seleccionado.
  4. Seleccione Next (Siguiente).
Nota

El sistema orquestado de SAP User Management (UM) permite gestionar grupos en SAP User Management (UM) mediante la opción Deseo gestionar recopilaciones de identidades para este sistema orquestado. Si se selecciona, esta casilla de control permite gestionar grupos de gestión de usuarios de SAP (UM) desde Oracle Access Governance. Cualquier cambio realizado en los grupos de SAP User Management (UM) se conciliará entre Oracle Access Governance y el sistema orquestado. Del mismo modo, cualquier cambio realizado en SAP User Management (UM), se reflejará en Oracle Access Governance

Agregar Propietarios

Agregue propietarios principales y adicionales al sistema orquestado para permitirles gestionar recursos.

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

Describe los detalles de cómo gestionar la configuración de la cuenta al configurar el sistema orquestado, incluida la configuración de notificaciones, y las acciones por defecto cuando una identidad se traslada o abandona la organización.

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
  1. Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
  2. Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
    • Usuario
    • Gestor de usuarios
  3. Configuración de cuentas existentes
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
    1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
      • Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
    2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
        Nota

        Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
      • Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
  4. Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.

    Seleccione una de las siguientes acciones para la cuenta:

    • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    • Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
      • Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
    • Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
    Nota

    Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
  5. Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
    • Suprimir
    • Desactivar
    • No hay acciones
  6. Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Configuración de integración

Introduzca los detalles de la conexión al sistema de gestión de usuarios (UM) de SAP.

  1. En el paso Configuración de integración del flujo de trabajo, introduzca los detalles necesarios para permitir que Oracle Access Governance se conecte a su sistema SAP User Management (UM).

    Configuración de integración
    Nombre de parámetro ¿Obligatorio? Descripción
    ¿Cuál es el host de SAP? Nombre de host o dirección IP del directorio que desea integrar con Oracle Access Governance, por ejemplo example.com, 172.20.55.120.
    ¿Cuál es el cliente de SAP? Valor de la configuración del cliente de SAP User Management (UM). Por ejemplo, 800.
    ¿Qué es el sistema maestro SAP? Introduzca el valor de destino RFC que se utiliza para la identificación del sistema de gestión de usuarios de SAP (UM). Este valor debe ser el mismo que el del nombre del sistema lógico.

    Valor de ejemplo: OH2CLNT800

    El valor del sistema maestro es una combinación de <SYSTEM_ID>CLNT<CLIENT_NUM>.

    En el valor de ejemplo anterior, OH2 es el ID de sistema del sistema gestionado y 800 es el número de cliente.
    ¿Cuál es el número de instancia de SAP? Es un identificador de dos dígitos asignado a una instancia de SAP User Management (UM) durante la instalación.

    Por ejemplo, 00.
    ¿Cuál es el destino usado para interactuar con el sistema de SAP? Introduzca un valor único para establecer una conexión con el sistema de gestión de usuarios de SAP (UM).

    Por ejemplo: dest123.
    ¿Cuál es el nombre de usuario para iniciar sesión en SAP? Introduzca el nombre de usuario del sistema de gestión de usuarios de SAP (UM).
    ¿Cuál es la contraseña del usuario que se utiliza para iniciar sesión en SAP? Introduzca la contraseña del sistema de gestión de usuarios de SAP (UM).
    Confirmar contraseña Confirme la contraseña.
    ¿Cuál es el valor de contraseña ficticia? Introduzca la contraseña ficticia que desea que utilice el sistema gestionado durante una operación de aprovisionamiento de creación de usuarios. El sistema gestionado primero define la contraseña como este valor y, a continuación, la cambia a la contraseña especificada en el formulario de proceso.
    Confirmar contraseña Confirme la contraseña.
    ¿Cuál es la cadena de enrutamiento de SAP? No Utilice este parámetro para un sistema protegido por un firewall.
    ¿Qué tipo de roles deben conciliarse? Seleccione el tipo de rol que desea conciliar desde el sistema SAP User Management (UM).
    • Ambos: recupera roles únicos y roles compuestos del destino.
    • Roles únicos: recupera solo los roles únicos del sistema de destino.
    • Roles compuestos: solo recupera los roles compuestos del destino.
    Detalles de Jar personalizados Proporcione los detalles del archivo sapjco3.jar con el formato < JAR NAME >::< JAR CHECKSUM >
  2. Haga clic en Agregar para crear el sistema orquestado.

Finalizar

Finalice la configuración del sistema orquestado proporcionando detalles sobre si se debe realizar una personalización adicional o activar y ejecutar una carga de datos.

El paso final del flujo de trabajo es Finalizar.

En el paso Finalizar del flujo de trabajo, se le solicita que descargue el agente que utilizará para la interfaz entre Oracle Access Governance y SAP User Management (UM). Seleccione el enlace Download (Descargar) para descargar el archivo zip del agente al entorno en el que se ejecutará el agente.

Después de descargar el agente, siga las instrucciones que se explican en el artículo Administración de agentes.

Configuración previa al inicio para la inicialización del agente

Antes de iniciar el agente, asegúrese de que ha agregado el JAR personalizado al agente y ha completado las siguientes configuraciones en los archivos config.json y config.properties:

Para agregar JAR personalizado:

  1. Vaya a la carpeta JAR personalizada.

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/customJars

  2. Agregue el archivo JAR SAPJco.

Para config.json:

  1. Navegue hasta la ubicación por defecto del archivo config.json.

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/conf/config.json

  2. Actualice la siguiente propiedad:

    "numberOfOperationsWorkerThread": 1,

Para config.properties:

  1. Navegue hasta la ubicación por defecto del archivo config.properties.

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/conf/config.properties

  2. Actualice la siguiente propiedad:

    idoConfig.numberOfOperationsWorkerThread=1

Después de actualizar los archivos de configuración, puede iniciar el agente.

Por último, puede elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
  • Personalizar antes de activar el sistema para cargas de datos
  • Activar y preparar la carga de datos con los valores por defecto proporcionados

Configuración Posterior

No hay pasos posteriores a la configuración asociados a un sistema SAP User Management (UM).