什么是最好的做法，内部安全标准在企业与大SAP投资？

Question

我在一家大公司工作，并且我感兴趣的最佳做法的内部安全标准。我们有一个大($500万美元+)的投资在SAP，我们也有。净和一位Java EE在我们的内部环境。

我发现一些文件从MS和SAP，但它已过时并不非常具体的。

迄今为止，它看起来像我们最终可能使用活动目录，作为标准的用户储存的所有非SAP应用程序和SAP CUA/Portal对SAP的应用。

有些问题我有关于广告是：

• 能够积极地时间上应用程序共用计算机的(少量的应用程序的运行远程办公室在农村地区数量有限的共用机器。在这些情况下，主管与"超级用户"privilages可能使用的应用程序，然后一个人员应该只有基本privaleges可以使用相同的机后，立即)

• 能力的用户输入的用户名和密码，而不是仅仅有的凭据读工作站的用户-因为这是拉相同的凭据对桌面和电子邮件，它不会当前要求用户登录。这是一个关于应用共享的计算机上。(见本说明在以前的子弹)

  尽之间的同步的广告和古感到关切的是，我想到处理这个非常谨慎。我们有一个有限的预算，我想要确保，如果我们最终把东西到位，以同步的商店，它是岩石销售，并提供卓越的价值。如果我们找不到像这样的东西，我会舒适的回来有一项建议，该商店的保持独立。SSO将是理想的，但我一直在试图获得一个SSO的应用程序之前，CA，这是不是很漂亮。

首字母缩略词:

• SSO：单一登录CA:安全

• 声明标记语言

• 楚:中央用户管理系统(SAP)

Answer 1

有一个很大的可能性，这个问题。

我们有个客户，更新他们的广告和其SAP的用户名单从SAP人力资源。当时的想法是，OM模块中所包含的所有雇员。你可以出口的每日清单的所有活动的雇员的LDAP，与基本信息(名字、lastname雇员id,登录...).对SAP系统、单位/职能/工作需要一个sap访问其中标记和用户在那里创建/删除的日常。

事实上，所有雇员享有一个SAP帐户，但只有那些标记有"对话"之一。这些帐户被允许通过SAPGUI，其他人不得不使用的门户网站，这是一个不太昂贵的许可证。一套规则允许设定的角色管理的用户使用。我们的目标是尽量减少用户管理和限制的必然增长的许可，comme自动从工作到工作的组织。(这是为105000雇工，有很多人员的移动)。

因此SAP是没有直接联系的广告，但他们在那里同步。根据系统(开发、质量、一体化、生产)，SAP配置时间。你也可以有不同的密码为单独的系统。

当然反过来也是可能的：询问一LDAP从SAP到管理SAP的帐户，而不beeing直接关系到LDAP。交易LDAP可以problably给你一些信息。

希望这可以帮助

编辑 :同步是通过一种程序。该节目是每天运行至四，并创建/删除/修改某些帐户在LDAP。之后，另一个程序中加入一些技术上的信息LDAP项，信息不可用的SAP RH系统(如电子邮件服务器的使用对于给定的雇员，这取决于其位置周围的世界)。该项目在那里然后检查的一致性，并发送到主LDAP。

这个程序只有管理人员和单位。组(授权的其他应用程序)在管理手动，或通过其他程序。因此非SAP数据也储存在LDAP。

关于

Answer 2

为什么是它的一个问题，如果用户没有登录？那不是更加便于用户？并不会给他们进一步鼓励日志的应用程序？

该项目的我的工作现在使用的广告，并且我们有一个射表内的SAP为地图AD帐户和SAP账户。Syncronisation是手册，该手册可以或不可以为你工作，但是，没有任何真正的技术的风险。

我希望我可以给你更多的信息，但我已经没有积极参与这方面的事情。我可以看到它，虽然。

Answer 3

你可能想看看 OpenSSO -它已剂对SAP和它将与广告的用户存储。它也相当固 Verizon使用为40万用户登录到他们的网站.