SAP and Microsoft user management

Capita sempre più spesso di trovarsi in situazioni ibride. Avendo quindi in azienda sistemi on-premise e Cloud. 

In molte situazioni è comune trovare Microsoft come servizio di gestione delle identità aziendali, ad esempio, tramite Azure Active Directory o Active Directory.

Ma quali i dubbi, i possibili scenari, le domande comuni su come gestire le utenze quando in azienda si ha Microsoft e SAP? In scenari ibridi?

Scenari ibridi, cosa significa?

Sistemi on-premise oppure cloud? È sicuramente vero che avere il sistema "in casa" può dare benefici, ma comporta anche costi di gestione (manutenzione, sicurezza) ed investimenti importanti, sia dal punto di vista dell'hardware sia dal punto di vista software. 

Negli ultimi anni è sempre crescente il numero di sistemi cloud rispetto a quelli on-premise e quindi sempre più numerosi sono gli scenari cosiddetti "Ibridi".

Vale a dire dove il processo di migrazione verso servizi in cloud è in corso (ma non può essere certo istantaneo! Soprattutto per aziende che da anni hanno uno scenario completamente on-premise) per cui si realizza una convivenza tra soluzioni ancora "onprem" e soluzioni già migrate nel cloud. 

Molte società, principalmente di piccole dimensioni e corrispondente livello di complessità, partono full cloud, mentre per quelle grandi, già da tempo con SAP, il processo è senza dubbio più lungo e complesso.

Anche in questi contesti l'adozione di quanto andremo a descrivere può rendere il processo più agevole.

Soprattutto per approfittare di questa occasione e non ricadere nelle stesse "trappole" del passato. Pensiamo ad esempio alla gestione delle utenze, capita spesso infatti che nel corso del tempo aumentino i sistemi e non sempre le utenze, ad esempio, siano gestite centralmente, moltiplicando quindi la gestione ed effort oltre al fatto di controllare il tutto meno agevolmente.

Ma vediamo alcune di queste problematiche comuni!

La gestione delle utenze quali le difficoltà comuni?

Come dicevamo il processo di migrazione al cloud può essere l'occasione per rivedere o ripensare il modello di gestione delle identità aziendali. Ma quali sono le problematiche comuni?

Ad esempio le seguenti:

• non avere un unico repository centralizzato. Non sempre le applicazioni sono "integrate" con una unica fonte di autenticazione per gli utenti (Identity Provider). Questo può essere determinato da carenze organizzative o da scarso livello di standardizzazione delle applicazioni in uso.
  • Negli scenari on-premise è facile trovare, anche nel contesto SAP, che ogni sistema abbia il suo insieme di utenti. Devo dire, è difficile trovare situazioni dove la stessa persona viene definita in modo diverso in sistemi diversi; tuttavia, è un rischio che si può correre (e questo spesso comporta anche costi aggiuntivi, soprattutto nel caso in cui i sistemi siano licenziati per utenze, quindi la stessa persona con più utenze viene pagata più volte. Leggi qui come ottimizzare i costi di licenze SAP)
  • Ma anche dal punto di vista della governance può non essere ottimale avere utenti su più sistemi senza un repository centrale
    
    
• le difficoltà nelle fasi di assunzione e cessazione. Non sempre le informazioni relative a questi eventi arrivano in modo tempestivo e non sempre raggiungono tutti i "target". Ne possono derivare carenze per i nuovi arrivati o utenze "zombie" per chi ha già lasciato l'azienda.
  • Quante volte sentiamo "blocchiamo le utenze quando riceviamo comunicazione dall'HR", questo comporta quindi un processo manuale, spesso non strutturato e soggetto ad errori.
    
    
• attenzione: non necessariamente serve avere un sistema di Identity Management per migliorare alcuni dei processi che abbiamo citato, sia dal punto di vista della semplificazione dell'autenticazione ai sistemi (es. Single Sing On) ma anche nella gestione del ciclo di vita delle utenze. 
  • Chiaramente avere un sistema di gestione delle identità aziendali può comportare un vantaggio, non solo per la gestione delle utenze ma anche delle loro abilitazioni. In ottica di governo, semplificazione del provisioning delle utenze e abilitazioni
    • Perché devi avere un sistema di Identity Management?
    • Come scegliere un sistema di Identity Management?
• Come gestisci gli esterni? Pur non essendo così immediato gestire le utenze interne, ma sicuramente fondamentale, il processo per quelle esterne viene spesso sottovalutato. Definisci sempre una utenza anche per loro? Come accedono dall'esterno? E nei sistemi SAP come vengono censite (tramite HR oppure utenze direttamente), hai un concetto di "sponsor" in questo caso?
  • Utenze esterne nella SAP Business Technology Platform, come le gestisci?
  • Accessi alla rete aziendale per fornitori? Quali le opzioni?

Perché Microsoft e SAP possono essere un vantaggio?

SAP da diversi anni rende disponibili dei servizi cloud nell'ambito della piattaforma SAP BTP (Business Technology Platform), volti a migliorare l'integrazione tra i sistemi ed allo stesso tempo garantire un accesso sicuro.

Alcuni di questi servizi che rientrano nell'area SAP Cloud Identity Services sono:

• IAS (Identity Authentication Service)
• IPS (Identity Provisioning Service), da non confondere con Intrusion Prevention System
  
  

Tramite IAS si realizza un meccanismo di autenticazione degli utenti, verso applicazioni accessibili tramite web browser, con molteplici possibilità di integrazione (prevalentemente verso Identity Provider aziendali come Microsoft AD o Azure AD).

Tramite IPS avviene invece la gestione degli utenti e loro proprietà/attributi (autorizzazioni). Ad esempio, potrei scrivere delle regole tali per cui, se un utente esiste su un determinato sistema, allora viene definito anche su un altro con determinate abilitazioni.

Attenzione, questi servizi, almeno al momento non sostituiscono i sistemi di Identity Management aziendali (in quanto non hanno, ad esempio dei workflow approvativi).

Nella immagine sotto, che riprende la documentazione SAP, è possibile vedere come questi servizi si possano interfacciare con Identity Provider aziendali già presenti, quindi agire come Identity Proxy oppure, potenzialmente sostituirli. 

Quali i vantaggi di avere e scegliere Microsoft?

Se in azienda hai Microsoft puoi beneficiare di alcuni aspetti legati alla forte partnership tra SAP e Microsoft (vedi qui). Ma non solo!

• Puoi sfruttare la piattaforma di Azure dove poter installare i sistemi SAP 
  
  • Ma perché quali sono le funzionalità di sicurezza che ha senso valutare? Scoprilo qui!
• Perché Microsoft può essere utile es.
  • si integra già con SAP IAS utilizzando Azure Active Directory
  • ha delle logiche di Risk based access che possono essere attivate
  • Azure è già presente in azienda molto spesso!