SAP 투자가 큰 회사의 내부 보안 표준에 대한 모범 사례는 무엇입니까?

StackOverflow https://stackoverflow.com/questions/616662

문제

저는 대기업에서 일하고 있으며 내부 보안 표준에 대한 모범 사례에 관심이 있습니다. 우리는 SAP에 대한 대규모 (5 억 달러 이상)의 투자를 보유하고 있으며 내부 환경에 .NET 및 약간의 Java EE도 있습니다.

MS와 SAP에서 일부 문서를 찾았지만 구식이며별로 구체적이지 않습니다.

지금까지 Active Directory를 모든 비 SAP 응용 프로그램의 표준 사용자 저장으로 사용하고 SAP 응용 프로그램 용 SAP CUA / Portal을 사용할 수 있습니다.

광고에 대해 몇 가지 우려 사항은 다음과 같습니다.

  • 공유 컴퓨터의 응용 프로그램에 대한 적극적으로 타임 아웃 할 수있다 (소수의 응용 프로그램은 제한된 수의 공유 기계를 가진 농촌 지역의 원격 사무실에서 실행됩니다.이 경우, "전원 사용자"특권이있는 감독자는 애플리케이션을 사용할 수 있습니다. 그런 다음 기본적인 privalege 만 있어야하는 서기는 즉시 동일한 기계를 사용할 수 있습니다)

  • 사용자의 워크 스테이션에서 자격 증명을 읽는 대신 사용자가 사용자 이름과 비밀번호를 입력하도록 강요 할 수 있으므로 데스크탑 및 이메일에 대해 동일한 자격 증명을 가져 오기 때문에 사용자가 로그인하도록 요청하지 않습니다. 공유 컴퓨터에 대한 응용 프로그램에 대한 우려. (이전 총알의 설명을 참조하십시오)

    AD와 CUA 간의 동기화에 관한 한, 나는 이것에 매우 신중하게 접근하고 싶습니다. 우리는 예산이 제한되어 있으며, 우리가 상점을 동기화하기 위해 무언가를 배치하고, 암석이 판매되고 탁월한 가치를 제공하는지 확인하고 싶습니다. 우리가 이와 같은 것을 찾을 수 없다면, 상점이 독립적으로 유지되었다는 추천을받을 수 있습니다. SSO는 이상적이지만 SAML 전에 SSO 신청서를 얻으려고 노력했지만 예쁘지 않았습니다.

줄임말:

  • SSO : 단일 사인온 SAML : 보안

  • 어설 션 마크 업 언어

  • CUA : 중앙 사용자 관리 (SAP 용)

도움이 되었습니까?

해결책

이 주제에는 많은 가능성이 있습니다.

SAP HR에서 광고와 SAP 사용자 목록을 모두 업데이트 한 고객이있었습니다. 아이디어는 OM 모듈에 모든 직원이 포함되어 있다는 것입니다. 기본 정보 (FirstName, LastName, EmployeeId, Login ...)와 함께 모든 활성 직원의 목록을 LDAP로 매일 내보낼 수 있습니다. SAP 시스템의 경우 매일 태그 및 사용자가 생성/제거 된 SAP 액세스가 필요한 Unit/Function/작업.

실제로 모든 직원에게는 SAP 계정이 있었지만 태그가있는 계정 만 "대화"가 있습니다. 이 계정은 SAPGUI를 통해 연결할 수 있으며 다른 계정은 포털을 사용해야했는데, 이는 비용이 저렴한 라이센스입니다. 일련의 규칙으로 관리되는 사용자의 역할을 설정할 수있었습니다. 목표는 사용자 관리를 최소화하고 직장에서 직장에서 조직으로 이동하는 것을 막을 수없는 자동화의 성장을 제한하는 것이 었습니다. (이것은 105000 명의 직원을위한 것이었고, 많은 인원 운동이었다).

따라서 SAP는 광고에 직접 연결되어 있지 않고 동기화 된 곳으로 연결되었습니다. 시스템 (개발, Qulity, Integration, Production)에 따라 SAP는 타임 아웃으로 구성되었습니다. 별도의 시스템에 대한 Différent 비밀번호를 가질 수도 있습니다.

물론 그 반대도 가능합니다. LDAP에 직접 연결되지 않고 SAP의 계정을 관리하기 위해 SAP에서 LDAP를 조사하십시오. 트랜잭션 LDAP는 아마도 몇 가지 정보를 제공 할 수 있습니다.

도움이 되었기를 바랍니다

편집하다 : 동기화는 ABAP 프로그램에 의해 수행되었습니다. 이 프로그램은 매일 4시에 운영되었으며 LDAP에서 일부 계정을 생성/삭제/수정했습니다. 그 후, 다른 프로그램은 LDAP 항목에 기술 정보를 추가했습니다. SAP RH 시스템 (예 : 전 세계 위치에 따라 주어진 직원에게 사용할 메일 서버)이 제공되는 정보가 추가되었습니다. 그런 다음 일관성을 확인하고 마스터 LDAP로 보내는 항목.

이 프로그램은 관리인과 단위 만 관리했습니다. 수동 또는 기타 프로그램에 의해 관리되는 그룹 (기타 응용 프로그램에 대한 승인). 따라서 비 SAP 데이터도 LDAP에 저장되었습니다.

문안 인사

다른 팁

사용자가 로그인 할 필요가 없으면 문제가되는 이유는 무엇입니까? 사용자에게 더 편리하지 않습니까? 그리고 신청서에서 로그 아웃하기 위해 더 인센티브를 제공하지 않습니까?

현재 작업중 인 프로젝트에는 광고를 사용하고 있으며 SAP 내부에 매핑 테이블이 있으며 광고 계정 및 SAP 계정을 매핑합니다. Syncronisation은 매뉴얼이므로 귀하에게 효과가 있거나 작동하지 않을 수도 있지만 실제 기술적 위험은 없습니다.

나는 당신에게 더 많은 정보를 줄 수 있기를 바랍니다. 그러나 나는 그 측면에 크게 관여하지 않았습니다. 그래도 볼 수 있습니다.

당신은보고 싶을 수도 있습니다 Opensso - SAP 에이전트가 있으며 사용자 저장소로 AD와 통합됩니다. 그것은 또한 꽤 견고합니다 - Verizon은 4 천만 명의 고객이 웹 사이트에 로그인하기 위해 사용합니다..

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top