Was sind die besten Praktiken für interne Sicherheitsstandards in Unternehmen mit großen SAP-Investitionen?

StackOverflow https://stackoverflow.com/questions/616662

Frage

ich in einem großen Unternehmen arbeiten, und ich bin in Best Practices für die interne Sicherheitsstandards interessiert. Wir haben eine große ($ 500 Mio. +) Investitionen in SAP, und wir haben auch .Net und ein wenig Java EE in unserer internen Umgebung.

Ich habe eine Dokumentation von MS und SAP zu finden, aber es ist veraltet und nicht sehr spezifisch.

Bisher sieht es aus wie wir Active Directory als Standard-Benutzerspeicher für alle Nicht-SAP-Anwendungen und SAP-CUA / Portal für SAP-Anwendungen mit am Ende konnten.

Einige Bedenken, die ich über AD haben, sind:

  • Die Möglichkeit, aggressiv Time-out für Anwendungen, die auf gemeinsam genutzten Computern (Eine kleine Anzahl unserer Anwendungen in Remote-Büros in ländlichen Gebieten mit einer begrenzten Anzahl von gemeinsam genutzten Maschinen ausgeführt werden. In diesen Fällen ein Supervisor mit „Power-User "privilages könnte eine Anwendung verwenden, und dann ein Schreiber, der nur grundlegenden privaleges haben sollte könnte das gleiche Gerät verwendet unmittelbar nach)

  • Die Möglichkeit, den Benutzer zu zwingen, einen Benutzernamen und ein Passwort eingeben, anstatt nur die Anmeldeinformationen von der Workstation des Benutzers lesen zu müssen - weil es die gleichen Anmeldeinformationen für den Desktop und E-Mail ziehen, wird es nicht zur Zeit fragen Nutzer melden Sie sich an. Dies ist ein Problem für Anwendungen, die auf gemeinsam genutzten als auch Computer. (Siehe die Erläuterungen im vorherigen Punkt)

    Was die Synchronisation zwischen AD und CUA betrifft, so möchte ich diesen Ansatz sehr sorgfältig. Wir haben ein begrenztes Budget, und ich möchte sicherstellen, dass, wenn wir etwas an Ort und Stelle am Ende setzen die Läden zu synchronisieren, dass es Rock verkauft ist und bietet ein hervorragendes Preis. Wenn wir nicht so etwas wie dieses finden kann, würde ich mich wohl wieder mit einer Empfehlung kommt, dass die Geschäfte unabhängig bleiben. SSO wäre ideal, aber ich habe gearbeitet mit dem Versuch, eine SSO-Anwendung vor dem SAML aufstehen, und es war nicht schön.

Akronyme:

  • SSO: Single Sign-On SAML: Sicherheit

  • Assertion Markup Language

  • CUA: Zentrale Benutzerverwaltung (für SAP)

War es hilfreich?

Lösung

Es gibt viele Möglichkeiten zu diesem Thema.

Wir hatten einen Kunden, dass ihre AD aktualisiert beide und ihre SAP-Benutzerliste aus SAP HR. Die Idee war, dass das OM-Modul alle Mitarbeiter enthalten. Sie könnten täglich eine Liste aller aktiven Mitarbeiter an den LDAP-Export, mit grundlegenden Informationen (Vorname, Nachname, employeeId, Login ...). Für die SAP-System-Einheit / Funktion / Job benötigt einen SAP-Zugriff, wo getaggten und Benutzer wo erstellt / täglich entfernt.

In der Tat hatten alle Mitarbeiter einen SAP-Account, sondern nur markiert diejenigen hatten einen „Dialog“ ein. Diejenigen Konto werden über SAP GUI verbinden erlaubt, andere hatten das Portal zu verwenden, die eine weniger teure Lizenz. Eine Reihe von Regeln, die Rollen für die verwalteten Benutzer einzustellen erlaubt. Ziel war es, die Benutzerverwaltung zu minimieren und begrenzen die unerbittlich wächst der autorisation, die eine Organisation von sich von Job zu Job comme. (Dies war für 105.000 employe, mit vielen Personal Bewegung).

So SAP wurde nicht direkt mit dem AD verbunden, aber sie wo synchronisiert. Je nach System (Entwicklung, qulity, Integration, Produktion), wurde SAP mit Time-out konfiguriert. Sie könnten auch anderes Passwort für getrennte Systeme haben.

Natürlich ist auch das Gegenteil möglich: eine LDAP von SAP abfragen SAP-Konten zu verwalten, ohne auf den LDAP direkt verknüpft beeing. Transaktion LDAP können Sie problably einige Informationen geben.

hoffe, das hilft

Bearbeiten : die Synchronisation durch ein ABAP-Programm durchgeführt wurde. das Programm wurde jeden Tag um vier, und erstellt / gelöscht / modifed einige Accounts im LDAP laufen. Danach wird ein anderes Programm einiger technischen Informationen zu den LDAP-Einträgen hinzugefügt, Informationen, dass, wenn nicht für das SAP-RH-System (wie der Mail-Server für einen bestimmten Mitarbeiter zu verwenden, je nach seiner Lage auf der ganzen Welt). Die Einträge in dem dann auf Konsistenz geprüft und an das Master-LDAP senden.

Dieses Programm nur verwalten Personal und Geräte. Gruppen (Berechtigung für andere Anwendung), in dem entweder manuell verwaltet werden, oder durch andere Programme. Damit nicht SAP-Daten auch im LDAP gespeichert wurden.

Viele Grüße

Andere Tipps

Warum ist es ein Problem, wenn die Benutzer müssen sich nicht anmelden? Wäre das nicht für die Benutzer bequemer sein? Und wäre es nicht, sie weiteren Anreiz geben aus der Anwendung anmelden?

Das Projekt arbeite ich an jetzt verwendet AD, und wir haben innerhalb von SAP eine Zuordnungstabelle AD-Konten und SAP-Konten zuzuordnen. Syncronisation ist Handbuch, das für Sie kann oder auch nicht, aber es gibt kein wirkliches technisches Risiko.

Ich wünschte, ich könnte Ihnen mehr Informationen geben, aber ich habe nicht mit dieser Seite der Dinge sehr beteiligt. Ich kann es schauen, though.

Vielleicht möchten Sie unter OpenSSO - es Agenten für SAP hat, und es wird mit AD als Benutzer integrieren Geschäft. Es ist auch ziemlich solide - Verizon es für 40 Millionen Kunden nutzen, um ihre Web-Site anmelden .

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top