1. ホーム
  2. 質問と答え
  3. 大規模なSAP投資を行っている企業の内部セキュリティ基準のベストプラクティスは何ですか?

大規模なSAP投資を行っている企業の内部セキュリティ基準のベストプラクティスは何ですか?

2009-03-05 4 views
2

私は大企業で働いており、私は内部セキュリティ基準のベストプラクティスに興味があります。 SAPには5億ドル以上の投資があり、内部環境には.NetとJava EEもあります。大規模なSAP投資を行っている企業の内部セキュリティ基準のベストプラクティスは何ですか?

私はMSとSAPのドキュメントをいくつか見つけましたが、それは古く、あまり具体的ではありません。

これまでのところ、すべての非SAPアプリケーションとSAPアプリケーションのSAP CUA/Portalの標準ユーザーストアとしてActive Directoryを使用できるようになりました。

ADについて私が持っているいくつかの懸念は、次のとおりです。

  • は積極的にタイムアウト共有コンピュータ上のアプリケーションのための(の限られた数の農村地域にリモートオフィスで実行する私たちのアプリケーションの数が少ないことができることこのような場合、「パワーユーザー」特権を持つ管理者がアプリケーションを使用する可能性があり、基本的なprivalegesを持つ必要がある書店では、直ちに同じマシンを使用できます)。

  • ユーザー名とパスワードを入力するのではなく、ユーザー名とパスワードを入力しますユーザーのワークステーション - デスクトップと電子メールで同じ資格情報を取得しているため、現在はユーザーにログインするよう要求されません。これは共有コンピューター上のアプリケーションにとっても重要です。 (前の箇条書きの説明を参照してください)

    ADとCUAの同期に関する限り、私はこれを非常に慎重に考えます。私たちは限られた予算しか持っていません。店舗を同期させるために何かを置くと、売れ行きがあり、優れた価値があることを確かめたいと思います。このようなものが見つからなければ、店舗が独立したままになることを勧めるように戻ってもいいでしょう。 SSOは理想的ですが、私はSAMLの前にSSOアプリケーションを手に入れようと努力してきました。

略語:

  • SSO:シングルサインオンのSAML:セキュリティ

  • アサーションマークアップ言語

  • CUA:集中ユーザ管理(SAP用)

出典

2009-03-05 Kaiser Advisor

+0

すべての略語を把握しようと多くの仕事にたわごと。 SSO、SAML、CUAの略語は何ですか? – Flinkman

+0

SSO:シングルサインオン機能は、1つのシステム上で既に実行した後に、識別せずに一連のシステムに接続する機能です。 CUA:中央ユーザ管理:1つのシステムでユーザとロールを管理し、各システムに暗黙ユーザを自動的に管理します。 SAML:Security Assertion Markup Language –

答えて

2

このテーマには多くの可能性があります。

SAP HRからADとSAPユーザーリストの両方を更新した顧客がいました。アイデアは、OMモジュールにすべての従業員が含まれていたということでした。すべてのアクティブな従業員のリストを、基本情報(ファーストネーム、ラストネーム、従業員ID、ログイン...)とともにLDAPに毎日エクスポートすることができます。 SAPシステムの場合、単位/機能/ジョブにはSAPアクセスが必要です.SAPアクセスはタグ付きで、ユーザは毎日作成/削除されます。

実際、すべての従業員はSAPアカウントを持っていましたが、タグ付けされた従業員だけが「ダイアログ」を持っていました。これらのアカウントはSAPGUIを介して接続することができ、他のユーザーはポータルを使用する必要があります。これは、コストの低いライセンスです。管理対象ユーザーのロールを設定するための一連のルール。目標は、ユーザー管理を最小限に抑え、職場から職場に移行することから来る冷酷な自立発展を制限することでした。 (これは10万5000人の従業員のためであり、多くの人員移動を伴っていた)。

したがって、SAPはADに直接リンクされていませんでしたが、同期された場所です。システム(開発、qulity、統合、生産)に応じて、SAPはタイムアウトで構成されていました。別々のシステムに異なるパスワードを設定することもできます。

逆も可能です。LDAPに直接リンクせずにSAPのアカウントを管理するためにSAPからLDAPを問い合わせます。トランザクションLDAPは、おそらくいくつかの情報を与えることができます。

希望これは編集

を支援します。同期はABAPプログラムによって行われました。そのプログラムは毎日4時に実行され、LDAPのいくつかのアカウントを作成/削除/変更しました。その後、別のプログラムは、LDAPエントリにいくつかの技術情報を追加しました。SAP RHシステムでは利用できない場所(世界中の場所に応じて、特定の従業員に使用するメールサーバーなど)に関する情報が追加されました。次に、整合性がチェックされたエントリがマスターLDAPに送信されます。

このプログラムは管理された人員とユニットのみです。グループ(他のアプリケーションの承認)は、手動または他のプログラムによって管理されます。したがって、LDAP以外のデータもLDAPに格納されていました。

よろしく

出典

2009-03-06 16:48:38

+0

Bonjour Patry、これは非常に込み入っています。 SAP HRからADへの同期化を支援するために、何らかの製品を使用しましたか?非SAPアプリケーションの標準ストアとしてADを使用しましたか? –

+0

ヘイリー・パトリ、詳細な質問をするためにあなたに連絡できる方法はありますか?私はまったく同じことをしようとしているので、これがどのように設定されているかに非常に興味があります。 –

+0

私はあなたのブログに書かれた住所のメールを私の連絡先とともにお送りしました。 よろしく –

1

ユーザーがログインする必要がない場合に問題になるのはなぜですか?それはユーザーにとってより便利だろうか?また、アプリケーションからログアウトするインセンティブを与えることはできませんか?

私が今作業しているプロジェクトは、ADを使用しており、SAPの内部にマッピングテーブルを持ち、ADアカウントとSAPアカウントをマッピングしています。 Syncronisationはマニュアルであり、あなたにとってはうまくいくかもしれませんが、実際の技術的なリスクはありません。

私はあなたにもっと多くの情報を提供したいと思っていますが、私は物事の面ではあまり関与していません。私はそれを見ることができます。

出典

2009-03-05 22:59:20 Travis

+0

こんにちはTravis、私たちのアプリケーションの数は限られており、限られた数の共有マシンで田舎の遠隔地のオフィスで動作します。これらのケースでは、「パワーユーザー」権限を持つ管理者がアプリケーションを使用することができ、基本的なprivalegesだけを持つ必要がある店員は同じマシンを使用することができます。 –

関連する問題

 関連する問題