Quelles sont les meilleures pratiques pour les normes de sécurité internes dans les entreprises ayant des investissements SAP importants?
https://stackoverflow.com/questions/616662
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je travaille dans une grande entreprise et je m'intéresse aux meilleures pratiques en matière de normes de sécurité internes. Nous avons un investissement important (plus de 500 millions de dollars) dans SAP, ainsi que .Net et un peu de Java EE dans notre environnement interne.
J'ai trouvé de la documentation sur MS et SAP, mais elle est obsolète et peu spécifique.
Jusqu'à présent, il semble que nous pourrions utiliser Active Directory comme magasin d'utilisateurs standard pour toutes les applications non-SAP et SAP CUA / Portal pour les applications SAP.
Certaines de mes préoccupations à propos de la DA sont:
-
Pouvoir temporiser de manière agressive les applications sur des ordinateurs partagés (un petit nombre de nos applications s'exécutent dans des bureaux distants situés dans des zones rurales avec un nombre limité de machines partagées. Dans ce cas, un superviseur avec "pouvoir" les privilèges d’utilisateur peuvent utiliser une application, puis un employé qui ne devrait avoir que des privilèges de base peut utiliser la même machine immédiatement après)
-
Pouvoir forcer l'utilisateur à entrer un nom d'utilisateur et un mot de passe au lieu de simplement lire les informations d'identification à partir de la station de travail de l'utilisateur - Comme les informations d'identification sont identiques pour le bureau et le courrier électronique, les utilisateurs ne seront pas invités à connectez-vous. C’est également une préoccupation pour les applications sur des ordinateurs partagés. (Voir l'explication dans la puce précédente)
En ce qui concerne la synchronisation entre AD et CUA, je souhaite aborder cette question très attentivement. Nous avons un budget limité, et je veux m'assurer que si nous finissons par mettre en place quelque chose pour synchroniser les magasins, le produit sera vendu à un prix abordable. Si nous ne pouvons pas trouver quelque chose comme ça, je serais à l'aise de revenir avec une recommandation pour que les magasins restent indépendants. La connexion unique serait l’idéal, mais j’ai essayé d’obtenir une application de connexion unique avant SAML, et ce n’était pas beau.
Acronymes:
-
SSO: Single Sign-On SAML: Sécurité
-
Langage de balisage d'assertion
-
CUA: Administration centrale des utilisateurs (pour SAP)
La solution
Il existe de nombreuses possibilités à ce sujet.
Nous avons eu un client qui a mis à jour à la fois leur AD et leur liste d'utilisateurs SAP à partir de SAP HR. L'idée était que le module OM contienne tous les employés. Vous pouvez exporter chaque jour une liste de tous les employés actifs dans le LDAP, avec les informations de base (prénom, nom, employé, identifiant, identifiant de connexion, etc.). Pour le système SAP, unité / fonction / travail nécessitant un accès sap où sont étiquetés et utilisateur créé / supprimé quotidiennement.
En fait, tous les employés avaient un compte SAP, mais seuls ceux marqués avaient un "dialogue". un. Ces comptes sont autorisés à se connecter via SAPGUI, d’autres ont dû utiliser le portail, qui est une licence moins coûteuse. Un ensemble de règles permettant de définir les rôles des utilisateurs gérés. L’objectif était de minimiser la gestion des utilisateurs et de limiter les augmentations inexorables d’autorisations nécessaires pour passer d’un poste à un autre. (il s’agissait de 105 000 employés, avec beaucoup de mouvements de personnel).
Ainsi, SAP n'était pas directement lié à l'AD, mais ils étaient synchronisés. Selon le système (développement, qualité, intégration, production), SAP a été configuré avec un délai d'expiration. Vous pouvez également avoir un mot de passe différent pour des systèmes distincts.
Bien entendu, l’inverse est également possible: interrogez un LDAP de SAP pour gérer les comptes de SAP, sans être directement lié au LDAP. La transaction LDAP peut vous donner des informations.
espérons que cela aide
Modifier : la synchronisation a été effectuée par un programme ABAP. Ce programme était exécuté tous les jours à quatre heures et créait / supprimait / modifiait certains comptes dans le LDAP. Ensuite, un autre programme a ajouté des informations techniques aux entrées LDAP, informations qui n'étaient pas disponibles pour le système SAP RH (telles que le serveur de messagerie à utiliser pour un employé donné, en fonction de son emplacement dans le monde). Les entrées ont ensuite été vérifiées pour la cohérence et envoyées au maître LDAP.
Ce programme ne gère que le personnel et les unités. Les groupes (autorisation pour d'autres applications) ont été gérés manuellement ou par d'autres programmes. Ainsi, des données non SAP ont également été stockées dans le LDAP.
Cordialement
Autres conseils
Pourquoi est-ce un problème si les utilisateurs ne doivent pas se connecter? Cela ne serait-il pas plus pratique pour les utilisateurs? Et cela ne les inciterait-ils pas davantage à se déconnecter de l'application?
Le projet sur lequel je travaille utilise maintenant AD et nous avons une table de mappage dans SAP pour mapper les comptes AD et les comptes SAP. La synchronisation est manuelle, ce qui peut ne pas fonctionner pour vous, mais il n'y a pas de risque technique réel.
J'aimerais pouvoir vous donner plus d'informations, mais je n'ai pas été très impliqué dans ce domaine. Je peux regarder, cependant.
Vous voudrez peut-être consulter OpenSSO . Il comporte des agents pour SAP et s'intégrera à AD en tant qu'utilisateur. le magasin. C’est également assez solide: Verizon l’utilise pour que 40 millions de clients se connectent à leur site Web .
