Каковы наилучшие практики в отношении стандартов внутренней безопасности в компаниях с крупными инвестициями в SAP?
https://stackoverflow.com/questions/616662
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я работаю в крупной компании, и меня интересуют лучшие практики в области стандартов внутренней безопасности.У нас есть крупные (более 500 миллионов долларов) инвестиции в SAP, и у нас также есть .Net и немного Java EE в нашей внутренней среде.
Я нашел кое-какую документацию от MS и SAP, но она устарела и не очень конкретна.
Пока, похоже, мы могли бы в конечном итоге использовать Active Directory в качестве стандартного пользовательского хранилища для всех приложений, отличных от SAP, и SAP CUA / Portal для приложений SAP.
Некоторые опасения, которые у меня есть по поводу AD, заключаются в следующем:
Возможность устанавливать тайм-аут для приложений на общих компьютерах (Небольшое количество наших приложений выполняется в удаленных офисах в сельской местности с ограниченным количеством общих компьютеров.В этих случаях супервайзер с правами "опытного пользователя" мог бы использовать приложение, а затем клерк, у которого должны быть только базовые привилегии, мог бы использовать ту же машину сразу после этого)
Возможность заставить пользователя ввести имя пользователя и пароль вместо того, чтобы просто считывать учетные данные с рабочей станции пользователя - поскольку он использует те же учетные данные для рабочего стола и электронной почты, в настоящее время он не будет запрашивать у пользователей вход в систему.Это касается и приложений на общих компьютерах.(Смотрите объяснение в предыдущем разделе)
Что касается синхронизации между AD и CUA, я хочу подойти к этому очень осторожно.У нас ограниченный бюджет, и я хочу быть уверен, что если мы в конечном итоге создадим что-то для синхронизации магазинов, то это будет продаваться с потрясающей выгодой.Если мы не сможем найти что-то подобное, мне было бы удобно вернуться с рекомендацией, чтобы магазины оставались независимыми.Единый вход был бы идеальным, но я работал с попыткой запустить приложение единого входа до SAML, и это было некрасиво.
Сокращения:
Единый ВХОД:Единый вход в SAML:Безопасность
Язык разметки Утверждений
КУА:Централизованное администрирование пользователей (Для SAP)
Решение
Существует множество возможностей на этот счет.
У нас был клиент, который обновил как свою рекламу, так и список пользователей SAP в SAP HR.Идея состояла в том, чтобы модуль OM содержал всех сотрудников.Вы могли бы ежедневно экспортировать список всех активных сотрудников в LDAP с базовой информацией (имя, фамилия, EmployeeID, логин ...).Для системы SAP подразделению / функции / заданию ежедневно требуется доступ к sap, где помечено, и пользователь, где создано / удалено.
Фактически, у всех сотрудников была учетная запись SAP, но только у тех, кто был помечен тегом, была учетная запись "dialog".Этим учетным записям разрешено подключаться через SAPGUI, другим пришлось воспользоваться порталом, который является менее дорогостоящей лицензией.Набор правил, позволяющих устанавливать роли для управляемых пользователей.Цель состояла в том, чтобы свести к минимуму управление пользователями и ограничить неумолимый рост автоматизации, возникающий при переходе организации с работы на работу.(это было для 105 000 сотрудников, с большим перемещением персонала).
Таким образом, SAP не был напрямую связан с AD, но они были синхронизированы.В зависимости от системы (разработка, качество, интеграция, производство) SAP была настроена с тайм-аутом.У вас также могут быть разные пароли для разных систем.
Конечно, возможно и обратное :запросите LDAP из SAP для управления учетными записями SAP, не будучи напрямую связанным с LDAP.транзакция LDAP, возможно, может дать вам некоторую информацию.
надеюсь, это поможет
Редактировать :синхронизация была выполнена с помощью программы ABAP.эта программа запускалась каждый день в четыре и создавала / удаляла / изменяла некоторые учетные записи в LDAP.После этого другая программа добавила к записям LDAP некоторую техническую информацию, недоступную системе SAP RH (например, почтовый сервер, используемый для данного сотрудника, в зависимости от его местоположения по всему миру).Записи, где затем проверяются на согласованность, и отправляются в главный LDAP.
Эта программа управляла только персоналом и подразделениями.Группы (авторизация для других приложений), где управление осуществляется либо вручную, либо с помощью других программ.Таким образом, данные, отличные от SAP, также хранились в LDAP.
С уважением
Другие советы
Почему это проблема, если пользователям не нужно входить в систему?Разве это не было бы более удобно для пользователей?И разве это не дало бы им дополнительный стимул выйти из приложения?
Проект, над которым я сейчас работаю, использует AD, и у нас есть таблица сопоставления внутри SAP для сопоставления учетных записей AD и SAP.Синхронизация выполняется вручную, которая может работать у вас, а может и не работать, но реального технического риска нет.
Я хотел бы дать вам больше информации, но я не очень интересовался этой стороной дела.Хотя я могу разобраться в этом.
Возможно, вы захотите взглянуть на ОпенССО - в нем есть агенты для SAP, и он будет интегрирован с AD в качестве пользовательского хранилища.Это также довольно солидно - Verizon использует его для входа на свой веб-сайт 40 миллионам клиентов.
