security - 在拥有大量 SAP 投资的公司中，内部安全标准的最佳实践是什么？

Question

我在一家大公司工作，我对内部安全标准的最佳实践很感兴趣。我们在 SAP 上投入了大量资金（超过 5 亿美元），我们的内部环境中也有 .Net 和一些 Java EE。

我从 MS 和 SAP 中找到了一些文档，但它已经过时并且不是很具体。

到目前为止，看起来我们最终可以将 Active Directory 用作所有非 SAP 应用程序的标准用户存储，并将 SAP CUA / Portal 用作 SAP 应用程序。

我对 AD 的一些担忧是：

• 能够为共享计算机上的应用程序主动超时（我们的少数应用程序在农村地区的远程办公室运行，共享计算机数量有限。在这些情况下，具有“超级用户”权限的主管可以使用应用程序，然后应该只有基本特权的职员可以立即使用同一台机器）

• 能够强制用户输入用户名和密码，而不仅仅是从用户的工作站读取凭据 - 因为它为桌面和电子邮件提取相同的凭据，所以它目前不会要求用户登录。这是一个也关注共享计算机上的应用程序。（参见上一个项目符号中的解释）

  就 AD 和 CUA 之间的同步而言，我想非常小心地处理这个问题。我们的预算有限，我想确保如果我们最终将一些东西放在适当的位置来同步商店，它会卖得很好并且提供卓越的价值。如果我们找不到这样的东西，我会很乐意回来建议商店保持独立。SSO 将是理想的，但我曾尝试在 SAML 之前启动 SSO 应用程序，但它并不漂亮。

首字母缩略词：

• SSO：单点登录 SAML：安全性

• 断言标记语言

• CUA：中央用户管理（适用于 SAP）

Answer 1

关于这个问题有很多可能性。

我们有一个客户从 SAP HR 更新了他们的 AD 和 SAP 用户列表。这个想法是 OM 模块包含所有员工。您可以每天将所有活跃员工的列表导出到 LDAP，其中包含基本信息（名字、姓氏、员工 ID、登录名...）。对于 SAP 系统，需要 sap 访问的单元/功能/作业在哪里标记，用户在哪里创建/删除。

事实上，所有员工都有一个 SAP 帐户，但只有那些被标记的人有一个“对话”帐户。允许这些帐户通过 SAPGUI 连接，其他帐户必须使用门户，这是一种成本较低的许可证。一组允许为受管用户设置角色的规则。目标是最大限度地减少用户管理，并限制从一个组织的工作到另一个工作的自动化的不可阻挡的增长。（这是针对 105000 名员工的，人员流动很大）。

因此，SAP 没有直接链接到 AD，但它们是同步的。根据系统（开发、质量、集成、生产），SAP 配置了超时。您还可以为不同的系统设置不同的密码。

当然反过来也是可能的：从 SAP 询问 LDAP 来管理 SAP 的帐户，而不需要直接链接到 LDAP。事务 LDAP 可能会为您提供一些信息。

希望这可以帮助

编辑：同步是由 ABAP 程序完成的。该程序每天四点运行，并在 LDAP 中创建/删除/修改了一些帐户。之后，另一个程序向 LDAP 条目添加了一些技术信息，这些信息在 SAP RH 系统中不可用（例如用于给定员工的邮件服务器，具体取决于其在世界各地的位置）。然后检查一致性的条目，并将其发送到主 LDAP。

这个程序只管理人员和单位。手动或由其他程序管理的组（对其他应用程序的授权）。因此，非 SAP 数据也存储在 LDAP 中。

问候

Answer 2

如果用户不必登录，为什么会出现问题？对用户来说不是更方便吗？难道这不会给他们更多的动力来退出应用程序吗？

我现在正在做的项目使用 AD，我们在 SAP 内部有一个映射表来映射 AD 帐户和 SAP 帐户。同步是手动的，可能对您有用，也可能不适用，但没有真正的技术风险。

我希望我能给你更多的信息，但我并没有参与到这方面的事情上。不过，我可以调查一下。

Answer 3

您可能想查看OpenSSO - 它具有 SAP 代理，并将与 AD 集成作为用户存储。它也非常可靠——Verizon 使用它让 4000 万客户登录到他们的网站。

Answer 4

恕我直言。这不是在一个 Windows 会话中使用不同用户的好解决方案。特别是在 AD 中经过身份验证的用户。通常情况下，USER1 会在不关闭的情况下运行 sap 客户端，然后使用另一个 USER2。你会得到非人格化的用户。并且不要忘记用户不喜欢执行所有指令。

我们使用像 citrix 和 SSO 这样的瘦客户端。它是用户之间的完全拆分数据和授权。您必须为工作站上的用户使用不同的会话。好的想法是工作站上没有关键数据存储。

不是好主意，也不安全，但您可以 在同一会话中在 Windows 环境中以不同用户应用程序的身份运行。
但对于大公司来说，这不是安全的解决方案。