Nel confronto con i colleghi di Fabricalab abbiamo spesso considerato il loro mercato di riferimento ed è stato facile individuare SAP come un mondo di particolare interesse per lo stesso, spesso fatto di società in ambito manifatturiero dove l’ERP tedesco è particolarmente diffuso. Per questo motivo il post di questo mese è dedicato al tema dell’IGA in ambito SAP.

La tematica della gestione e governance delle identità rappresenta una sfida per tutte le organizzazioni. Come detto nel precedente post, si tratta di assicurare che le giuste persone abbiano il giusto accesso alle giuste risorse in modo governato da processi di approvazione e rilascio delle stesse e con campagne che periodicamente ne attestino la correttezza. Per tutte quelle organizzazioni che fanno affidamento a SAP come la principale “business critical application”, la sfida di sopra assume un ordine di grandezza ulteriore dal momento che approcci tradizionali allo IAM non riescono ad abbracciare adeguatamente le specifiche esigenze in ambito SAP, e la maggior parte delle soluzioni IAM disponibili sul mercato non includono la profondità di integrazione e conoscenza di dettaglio del mondo SAP necessarie.

Nella nostra esperienza in ambito IGA e nei colloqui con le aziende che abbiamo incontrato, spesso ci è capitato di verificare come:

  • Le organizzazioni tendano a dividere l’azienda in due mondi, “SAP” ed “tutto il resto diverso da SAP”
  • Iniziative IAM/IAG precedentemente adottate non avevano fornito adeguato supporto di integrazione con SAP
  • Gli amministratori nell’ambito dei perimetri che una volta venivano indicati “Open” (Windows e Linux/Unix) non condividono lo stesso “schema mentale” relativamente all’assegnazioni degli entitlement con la comunità ristretta degli amministratori SAP; la conseguenza naturale è quella di trattare le piattaforme separatamente
  • Conseguenza che discende immediata dal precedente punto è quella di non avere una singola vista degli entitlement (profili, permessi di accesso, risorse, etc) per ogni utente
  • L’approccio a “silo” determina l’uso di piattaforme ridondanti e duplicate, anche dal punto di vista dei processi che implementano
  • In generale esiste una notevole difficoltà, se non l’impossibilità ad effettuare enforcing dei controlli dei profili di accesso usando policy SoD su varie piattaforme che includano SAP

Con il giusto approccio progettuale e la giusta tecnologia abilitante come One Identity Manager invece è possibile migliorare la compliance e la governance con una vista cross-platform che unisce l’ecosistema SAP a tutte le altre risorse aziendali di tipo non-SAP.

In questo senso, è altresì possibile gestire gli account utenti in termini di creazione, inserimento, aggiornamento, disabilitazione e cancellazione in SAP gestendo anche password reset ed eventi di locking ed unlocking alla stessa stregua degli altri ambienti.

Immaginate inoltre di poter fornire una vista unificata ed una gestione degli account SAP su differenti sistemi ed istanze (insieme a tutte le altre applicazioni aziendali) che includa:

  • L’associazione di ciascuna identità aziendale (interna ed esterna) agli user accounts SAP, includendo anche le assegnazioni di parametri
  • Profili, ruoli e gruppi
  • Informazioni aziendali associate all’identità
  • Profit center (se disponibili) e Transaction codes
  • Licenze per una corretta gestione delle stesse

L’associazione delle risorse SAP assegnate ad un utente con la identità dello stesso ed i relativi entitlement su tutto il resto del mondo enterprise consente un’effettiva e completa governance, oltre a rendere disponibile verifica ed enforcement specifico per regole SoD su SAP e workflow di dettaglio su questo mondo, senza perdere di vista tutto il resto, ed individuando ad esempio indici di rischio globali associati alle identità, pesate anche sui profili di accesso a SAP, l’applicazione “core” per molte realtà in ambito manifatturiero

Per gli esperti in ambito SAP, alcuni dettagli del supporto fornito dal nostro connettore certificato:

  • SAP R/3 User Management Module (SAP)
  • SAP R/3 Structural Profiles Add-on Module (SHR)
  • SAP R/3 Analysis Authorizations Add-on Module (SBW)
  • SAP R/3 Compliance Add-on Module (SAC)

Il connettore di One Identity Manager gestisce tutti i mondi on-premises SAP R/3 o S/4HANA che erogano I moduli ERP, human capital management e business intelligence.

Siamo inoltre in grado di integrare il mondo delle SAP cloud applications attraverso One Identity Starling Connect, un connettore cloud-based che consolida sulle identità degli utenti e porta sotto governance anche tutti gli entitlement cloud di SAP (come SuccessFactors ad esempio).

Sempre per gli esperti SAP, un approfondimento tecnico di estremo dettaglio è disponibile tramite il White Paper scaricabile al seguente link https://www.oneidentity.com/whitepaper/how-to-manage-sapuser-accounts-and-access-rights-with-identity-manager8139215/

Share This