AGLEA SAP Security Blog

SAP IAG (Identity Access Management), primo utilizzo

Scritto da Massimo Manara | Jan 18, 2022 11:00:00 PM

Come si presenta questo strumento per chi lo attiva per la prima volta?

 

 

A cosa serve e come potrebbe essere usato in azienda?

 

SAP IAG cosa è ed a cosa serve?

Si tratta di un servizio in cloud messo a disposizione da SAP per poter gestire e controllare gli accessi ai sistemi SAP. In conformità alle normative o policy aziendali.

 

Il prodotto ricorda molto, anche per le varie parti che lo compongono lo strumento SAP GRC Access Control. Infatti, è composto dalle seguenti parti:

  • SAP Cloud Identity Access Governance, access analysis service
  • SAP Cloud Identity Access Governance, access request service
  • SAP Cloud Identity Access Governance, role design service
  • SAP Cloud Identity Access Governance, access certification service
  • SAP Cloud Identity Access Governance, Privileged Access Management

 

Per chi conosce già il SAP GRC Access Control sono molto familiari.

 

Come si attiva il SAP IAG?

Si tratta di un prodotto a pagamento, quindi la prima attività da svolgere è quella di verificare se sono state acquistate le relative licenze.

 

Una volta verificato l'aspetto legato alle licenze, come nella maggior parte dei casi per l'ambito cloud, bisogna passare dalla Cloud Platform (SAP BTP).

 

Bisogna creare un Sub Account dove si attiva il relativo servizio, tramite il Service Marketplace:

 

Sarà necessario attivare anche i seguenti servizi nel caso serva utilizzare tutti i componenti:

  • Identity Authentication Service (IAS)
  • Identity Provisioning Service (IPS)

 

Attraverso questo collegamento (SAP Cloud Identity Services), una volta attivati, sarà possibile vedere in un unico punto centralizzato i vari servizi attivi:

 

 

Quali sono i vari step?

  1. Licenza il servizio IAG (ti sarà fornito il prodotto ed in boudle i servizi IAS e IPS
  2. Attiva il servizio nella tua Business Technology Platform (SAP BTP)
  3. Decidi quale Identity Provider deve essere usato per accedere a IAG. Puoi collegare IAG ad IAS e da lì decidere se IAS diventa l'Identity Provider (IdP) oppure Proxy verso IdP aziendale
  4. Definisci i Gruppi nello IAS per gestire gli accessi al servizio IAG. Questo passaggio determina l'accesso alla piattaforma IAG e la definizione dei ruoli per gli attori all'interno dello strumento. Tramite BTP Destination SCIUserGroup.
  5. Richiedi a SAP o carica la tua matrice dei rischi e standard workflow
  6. Collega i sistemi da analizzare (es. S/4HANA Cloud oppure Onpremise, SAC, IBP etcc)
  7. Collega il sistema IPS (Identity Provisioning Service) ad IAG, questo sarà fondamentale per una corretta integrazione e funzionamento degli strumenti tra loro. L'IPS servirà per leggere le informazioni da IAS (Identity Authentication Service) ad esempio Manager, nomi, cognomi mail etc... come sistema Proxy 
  8. Attiva le destinazioni BTP per ricevere le notifiche via mail

 

Come si presenta l'interfaccia del SAP IAG?

È una interfaccia SAP Fiori like. In base alla profilazione dell'accesso è possibile vedere i vari servizi attivi distribuiti tra i raggruppamenti delle applicazioni. Oltre alla parte di configurazione:

 

Dove lo si colloca in azienda?

Di fatto sono due le funzionalità principali dello strumento.

  • Se ho già un SAP GRC Access Control in azienda, per fare in modo che funga da bridge verso i sistemi Cloud
  • Nel caso in cui non ho SAP GRC Access Control ed ho diversi sistemi in cloud (magari anche l'ERP stesso) e desidero avere uno strumento di controllo degli accessi