Ancora le password in azienda? Se non sei ancora riuscito a debellarle e vuoi provare a diminuire il numero di chiamate verso l'help desk potresti definire dei meccanismi di self service
Ma cosa conviene pensare quanto si ipotizza un processo di questo tipo? Soprattutto nel contesto SAP?
Cosa significa Self Service in questo contesto?
L’idea è quella di avere un sistema terzo (es. portale o altro) che permetta agli utenti (essendosi identificati in precedenza, devi essere sicuro che chi prova a fare il reset sia effettivamente chi dice di essere) di fare una richiesta di reset password.
La BAPI (function SAP) che effettua il reset password, vedi documentazione direttamente in SAP, tramite SE37 screen sotto (pulsante Function Module Documentation) è la seguente BAPI_USER_CHANGE. Uno sviluppatore dovrebbe poterla utilizzare/richiamare senza problemi per fare qualche test.
Se tutto conforme (l’utente è veramente chi dice di essere) allora viene richiamata la function sopra che imposta una password (generata dal sistema oppure dall’utente).
Se generata dall’utente bisogna controllare che sia conforme alle policy, (altrimenti la function restituirà un errore).
Questa funzionalità potrebbe far diminuire molto l'effort nella gestione quotidiana delle utenze AMS application management services (soprattutto se non esistono già meccanismi di questo tipo o Single Sign On attivi)
Cosa tenere presente? Quali le difficoltà?
Nei passaggi sopra ci sono diversi aspetti importanti.
- Come capisco che l’utente è realmente chi dice di essere?
- Alcune aziende hanno un PIN personale che viene rilasciato al momento dell’assunzione proprio per questo scopo. Quindi quanto ti blocchi, devi ricordarti il tuo PIN di “sblocco”
- Oppure “challenge response” ovvero devi in precedenza registrarti alcune domande, alle quale devi rispondere correttamente per poter avviare il reset password
- Altri sistemi es. MFA/token-like, quindi hai registrato da qualche parte il tuo telefono. Quando farai richiesta ti mando SMS con codice che devi inserire e poi potrai richiedere il reset password (in quanto ho capito che sei chi dici di essere
Il rischio è che chiunque entri in questo portale, inserendo una userid diversa dalla propria (ammesso sia possibile farlo) potrebbe resettare le credenziali di un collega ed entrare con quelle - Oppure usando una pagina che effettua una autenticazione su LDAP (o Azure ad esempio). Quindi se un utente è già collegato all'active directory aziendale (ad esempio) viene già ritenuto attendibile
- Come comunichi la nuova password?
Questo è un altro aspetto importante. Solitamente viene usata la mail (quindi il sistema sopra deve inviare una mail all’indirizzo di posta associato all’utente), questo normalmente è sconsigliato in quanto la mail è in chiaro.
Oppure si possono usare soluzioni di questo tipo: si fa in modo di comparire una pagina temporanea dove c’è la password iniziale da usare (che deve essere usata entro X minuti o ore)
Ulteriori punti di attenzione?
Come puoi immaginare un processo semplice (per SAP) può comportare comunque alcuni punti di attenzione “fuori SAP” ci sono diversi livelli di controllo quindi da tenere presente. In generale se possibile.
- Meglio usare un doppio fattore, se possibile
- Meglio usare una pagina web temporanea oppure invio password su canale diverso (sms o altro)
- Meglio non far scegliere all’utente password inziale ma farla generare al sistema (magari limitando anche un po’ la complessità per non avere password iniziali impossibili da copiare o digitare, soprattutto se mandate via SMS)
Esistono già dei prodotti SAP pronti all'uso?
I prodotti di SAP che fanno quanto sopra (in modo più o meno complicato) sono:
- SAP GRC Access Control
- SAP IDM (Identity Management) Self-Service Password Reset - SAP Help Portal Tuttavia è una piccola funzione in un prodotto molto più esteso.
Se devi usare SAP IDM solo per i sistemi SAP, questa soluzione non è a pagamento. Attenzione, serve comunque un server una installazione e configurazione del prodotto (seppur minima).
Sul mercato esiste già qualcosa a riguardo?
Esistono anche prodotti terzi già pronti (es. il seguente di un nostro partner Reset Password | Self-service password management in SAP | (securityweaver.com)