L'integrazione tra One Identity ed i sistemi SAP

Quali siano le funzionalità che fanno di One Identity Manager (OIM) un’ottima soluzione Identity per le piattaforme SAP (on-premises e cloud) in alternativa a SAP IdM.

Una rapida overview e vantaggi di quali siano le possibilità di integrazione e dell’esperienza di utilizzo complessiv a cura del nostro partner Itway.

Quali sono le integrazioni disponibili?

Come già accennato, One Identity offre supporto ufficiale e certificato per le seguenti soluzioni SAP

1. SAP ECC e S/4HANA
2. SAP Human Capital Management (HCM)
3. SAP Business Intelligence (BI)
4. SAP GRC Access Control (tramite chiamate web services custom)
5. SAP Cloud Applications (tramite connettore SCIM)

Nell'immagine seguente un riepilogo grafico dei vari sistemi.

Nel caso dei sistemi OnPremise esistono tre modalità tecniche di integrazione.

1) Connessione diretta

2) Connessione tramite RFC passante per message server (soluzione load-balanced)

3) Synchronization Server connesso via RFC a SAP Router

Come funziona il connettore per SAP?

Per la connessione ai vari servizi SAP ed l’import dei dati, One Identity presenta la sua classica soluzione di Synchronization Project già usata per tutti gli altri target system integrati (Active Directory, Azure, Linux, etc etc).

Le interfacce sono quindi consolidate e ben documentate nelle tech reference.

Il vantaggio poi di questo approccio è che, nei progetti di synchronization, sono già preconfigurati una serie di template che, al netto di personalizzazioni molto spinte, riducono l'impegno da parte di chi sta configurando il sistema e presentano già delle “recommended best practices” di integrazione secondo il vendor, in questo caso dettate da parte di SAP.

Ecco la lista completa dei template in un progetto di synchronization

• SAP R/3 (base administration): il primo progetto di sync che riguarda l’import dei ruoli dal sistema ERP. Non deve ingannare il nome R/3 retaggio del passato, qui è incluso anche S/4HANA
• SAP CUA (Central User Administration): esegue l'import dal sistema centralizzato degli utenti SAP. CUA consente di gestire in un unico applicativo account multipli su diversi client in un ambiente multi-sistema SAP
• SAP R/3 Authorization Objects: sincronizza il contenuto dei profili (come ad esempio authorization object e fields)
• SAP R/3 BW (detto anche SAP BW/4HANA): trattasi della soluzione business data warehouse basata su SAP HANA.
• SAP/R3 HCM employee objects: sincronizza i dati con la piattaforma on-premise SAP HCM (SAP Human Capital Management).
• SAP/R3 HCM structural profiles: idem come sopra, con la differenza che sincronizza i profili strutturali. Oggetti specifici nel contesto delle risorse umane per limitare l'accesso alla struttura organizzativa
• Blank Project: in caso di eventuali personalizzazioni, è sempre possibile creare un progetto SAP vuoto e definire template, mapping e workflow dei dati partendo da zero

Attenzione, SAP HCM non va confuso con la soluzione SaaS di  SuccessFactors. Per l’integrazione di quest’ultimo non va utilizzata la tipologia di progetti di sync qui elencata, ma va definito un progetto Starling Connect per SuccessFactors. La soluzione è già integrata ed out-of-the-box.

Life cycle e governance, quali i vantaggi?

Una volta configurati i progetti di sincronizzazione ed importati i dati voluti, One identity offre una gestione semplificata degli oggetti SAP importati e, soprattutto, integrata con tutti gli altri target system connessi. Ecco i principali vantaggi.

1. Provisioning e deprovisioning
   • Automazione nelle attività basato su workflow predefiniti e regole di business impostate dalla azienda (appartenenza a un department, centro di costo o locality). Garantisce che l’utente/identità abbia il corretto set di accessi sin dal primo giorno di ingresso aziendale
   • Deprovisioning programmato rispetto ad una exit date dall’azienda o un cambio di ruolo in modo da non lasciare utenze/abilitazioni pendenti e riducendo i possibili rischi di sicurezza
     
     
2. Gestione di ruoli, accessi e profilazione
   • La piattaforma offre una gestione degli accessi tramite politica RBAC (Role-Based Access Control). Si ha quindi la possibilità di configurare gerarchie ad-hoc di ruoli (business o di sistema) basati su parametri anche dinamici ed agganciati ai department, centri di costo o locality (o anche a livello di singola identità)
     
     
3. Governance
   • Possibilità di definire policy e regole di compliance da verificare con tanto di notifiche e reporting personalizzabile per il rispetto di eventuali regolamentazioni che l’azienda è tenuta ad ottemperare (esempi: SOX e GDPR)
   • Audit trails. Mantenimento di logs (a vario livello di dettaglio) per il tracciamento di qualsiasi evento in modo da fornire accountability
   • Segregation of Duties (SoD). Possibilità di effettuare risk analysis
   • Certificazione degli accessi periodica e campagne di attestazione da parte dei manager deputati o di compliance officers definiti ad hoc in modo da garantire costantemente il corretto allineamento degli accessi
   • Reportistica a vari livelli integrata e visibilità di notifica in IT Shop per le varie accountability
     
     
4. Self-Service e Deleghe nei permessi
   • Il portale di Self-Service (IT Shop) consente in maniera autonoma ai dipendenti di eseguire reset password, richiedere ai propri referenti abilitazioni ad accessi/risorse o gestire in maniera autonoma un set di attributi prestabiliti dei loro stessi profili (riducendo carichi di lavoro all'help desk)
   • I manager possono inoltre delegare task amministrativi ad intere business units, o a singoli focal point per la distribuzione degli incarichi
     
     
     

User Experience

La visione integrata delle identità si riflette anche sulla visualizzazione grafica degli oggetti nelle interfacce amministrative.

Nella immagine seguente vi è un esempio di come la piattaforma rende visivamente una persona ma anche i vari account e profilazioni.

Ogni nodo del grafo è navigabile e permette di visualizzare il dettaglio di ogni oggetto. Premendo ad esempio sul riquadro viola che rappresenta l’account SAP si possono vedere tutto ciò che vi è collegato (mandante di appartenenza, profili, ruoli, ulteriori attributi).

L’interfaccia dei dati di un account è stata implementata con tab molto simili a quelli presenti nell’interfaccia utente SAP per agevolare la mappatura concettuale fra i dati presenti nelle 2 piattaforme.

Il Web Portal, ovvero la vista utente, presenta poi una versione più user friendly di interazione con la piattaforma per il personale di business. Esempio di homepage per un manager avente varie accountability su department e dipendenti

Ecco un esempio di richiesta (funzionalità IT Shop) per approvazione di nuovo account SAP

I ruoli SAP vengono presentati come prodotti da richiedere/comprare. Attenzione, sembra tutto troppo bello! Ma qui un aspetto da tenere in considrazione è quello di come si è strutturato il modello autorizzativo SAP!

Può essere usato l'IDM per attività di Firefighting? 

Con il termine "Firefighter" nel mondo SAP ci si riferisce alla necessità di concedere diritti di accesso temporanei e con privilegi amministrativi verso i sistemi in contesti di emergenza.

Le emergenze ovviamente possono essere determinate da casistiche varie come fermi di produzione, interventi urgenti, ma anche semplice manutenzione programmata dei sistemi.

• definizione di workflow per self-request: l’utente che chiede escalation di privilegi per l’intervento di urgenza, dovrebbe poter chiedere in autonomia tale escalation
• Workflow approvativo: in base poi alle esigenze di compliance stabilite, la richiesta può essere self-approved o approvata da uno (o più) manager referenti
• Accesso ristretto nel tempo: l’amministratore deve avere privilegi elevati solo per il periodo di tempo strettamente necessario allo svolgimento delle sue attività (principi del JIT Just In Time e di JEA Just Enough Administration)
• Revoca automatica dei permessi: un sistema di failsafe preimpostato deve revocare l’accesso privilegiato al sistema dopo un periodo di tempo prestabilito (in caso di dimenticanza dell’amministratore o di malevole intenzioni)
• Tracciamento completo di tutte le operazioni svolte nella sessione tramite audit trail
• Report dettagliato sull’utilizzo dell’accesso per rispettare la compliance aziendale

One Identity per una corretta gestione della casistica propone l’integrazione delle sue piattaforme IAM/IAG e PAM (Privileged Access Management).: One Identity Manager e Safeguard.

Safeguard è la soluzione per la gestione del ‘privileged password’ e della ‘privileged session’ e può essere integrato come target system in One Identity per il corretto life cycle management anche degli account amministrativi.

• Il primo scenario, privileged password, prevede che l'utente possa ottenere la password dell'utente Firefighter per il sistema SAP. Tale password viene fornita all'utente da One Identity Manager ma è sempre gestita e rigenerata nell’appliance Safeguard. Una volta che l'utente avrà eseguito le operazioni necessarie nel sistema, i privilegi amministrativi saranno poi bloccati dal sistema SAP, che si farà anche carico dell’audit di sessione
  
  
• Il secondo scenario, privileged session, da preferire, 

  prevede che l'utente richieda direttamente da IT Shop una sessione (non password) per l’account FireFighter sull’asset dove occorre operare. In questo modo Safeguard gestirà sia la rotazione della password, ma anche l’intera sessione. In questo modo, oltre ai log di audit SAP, l’intera sessione verrà tracciata da Safeguard.

  La gestione interna a Safeguard della sessione offre poi il vantaggio del controllo real-time sui comandi eseguiti (con l’eventuale kill della sessione in caso di comandi proibiti) e di analytics avanzati per la rilevazione di “pattern behavior” sospetti

  Altro evidente vantaggio rispetto al primo scenario è che l’utente che chiede l’escalation di privilegi non conosce mai la password di accesso al sistema

Nel terzo (ed ultimo) articolo della serie ti fornirò una visione generale di quale siano le possibilità per quanto riguarda la gestione della SoD e dei framework di compliance!

Approfondisci le tecnologie Quest e competenze Itway su:

• Cyber Security e Resiliency
• Itway