Quali siano le funzionalità che fanno di One Identity Manager (OIM) un’ottima soluzione Identity per le piattaforme SAP (on-premises e cloud) in alternativa a SAP IdM.
Una rapida overview e vantaggi di quali siano le possibilità di integrazione e dell’esperienza di utilizzo complessiv a cura del nostro partner Itway.
Come già accennato, One Identity offre supporto ufficiale e certificato per le seguenti soluzioni SAP
Nell'immagine seguente un riepilogo grafico dei vari sistemi.
Nel caso dei sistemi OnPremise esistono tre modalità tecniche di integrazione.
1) Connessione diretta
2) Connessione tramite RFC passante per message server (soluzione load-balanced)
3) Synchronization Server connesso via RFC a SAP Router
Per la connessione ai vari servizi SAP ed l’import dei dati, One Identity presenta la sua classica soluzione di Synchronization Project già usata per tutti gli altri target system integrati (Active Directory, Azure, Linux, etc etc).
Le interfacce sono quindi consolidate e ben documentate nelle tech reference.
Il vantaggio poi di questo approccio è che, nei progetti di synchronization, sono già preconfigurati una serie di template che, al netto di personalizzazioni molto spinte, riducono l'impegno da parte di chi sta configurando il sistema e presentano già delle “recommended best practices” di integrazione secondo il vendor, in questo caso dettate da parte di SAP.
Ecco la lista completa dei template in un progetto di synchronization
Attenzione, SAP HCM non va confuso con la soluzione SaaS di SuccessFactors. Per l’integrazione di quest’ultimo non va utilizzata la tipologia di progetti di sync qui elencata, ma va definito un progetto Starling Connect per SuccessFactors. La soluzione è già integrata ed out-of-the-box.
Una volta configurati i progetti di sincronizzazione ed importati i dati voluti, One identity offre una gestione semplificata degli oggetti SAP importati e, soprattutto, integrata con tutti gli altri target system connessi. Ecco i principali vantaggi.
La visione integrata delle identità si riflette anche sulla visualizzazione grafica degli oggetti nelle interfacce amministrative.
Nella immagine seguente vi è un esempio di come la piattaforma rende visivamente una persona ma anche i vari account e profilazioni.
Ogni nodo del grafo è navigabile e permette di visualizzare il dettaglio di ogni oggetto. Premendo ad esempio sul riquadro viola che rappresenta l’account SAP si possono vedere tutto ciò che vi è collegato (mandante di appartenenza, profili, ruoli, ulteriori attributi).
L’interfaccia dei dati di un account è stata implementata con tab molto simili a quelli presenti nell’interfaccia utente SAP per agevolare la mappatura concettuale fra i dati presenti nelle 2 piattaforme.
Il Web Portal, ovvero la vista utente, presenta poi una versione più user friendly di interazione con la piattaforma per il personale di business. Esempio di homepage per un manager avente varie accountability su department e dipendenti
Ecco un esempio di richiesta (funzionalità IT Shop) per approvazione di nuovo account SAP
I ruoli SAP vengono presentati come prodotti da richiedere/comprare. Attenzione, sembra tutto troppo bello! Ma qui un aspetto da tenere in considrazione è quello di come si è strutturato il modello autorizzativo SAP!
Con il termine "Firefighter" nel mondo SAP ci si riferisce alla necessità di concedere diritti di accesso temporanei e con privilegi amministrativi verso i sistemi in contesti di emergenza.
Le emergenze ovviamente possono essere determinate da casistiche varie come fermi di produzione, interventi urgenti, ma anche semplice manutenzione programmata dei sistemi.
Un piano per la corretta gestione di questo use case dovrebbe considerare i seguenti fattori
One Identity per una corretta gestione della casistica propone l’integrazione delle sue piattaforme IAM/IAG e PAM (Privileged Access Management).: One Identity Manager e Safeguard.
Safeguard è la soluzione per la gestione del ‘privileged password’ e della ‘privileged session’ e può essere integrato come target system in One Identity per il corretto life cycle management anche degli account amministrativi.
prevede che l'utente richieda direttamente da IT Shop una sessione (non password) per l’account FireFighter sull’asset dove occorre operare. In questo modo Safeguard gestirà sia la rotazione della password, ma anche l’intera sessione. In questo modo, oltre ai log di audit SAP, l’intera sessione verrà tracciata da Safeguard.
La gestione interna a Safeguard della sessione offre poi il vantaggio del controllo real-time sui comandi eseguiti (con l’eventuale kill della sessione in caso di comandi proibiti) e di analytics avanzati per la rilevazione di “pattern behavior” sospetti
Altro evidente vantaggio rispetto al primo scenario è che l’utente che chiede l’escalation di privilegi non conosce mai la password di accesso al sistema
Nel terzo (ed ultimo) articolo della serie ti fornirò una visione generale di quale siano le possibilità per quanto riguarda la gestione della SoD e dei framework di compliance!
Approfondisci le tecnologie Quest e competenze Itway su: