有大量SAP投资的公司内部安全标准的最佳做法是什么？

Question

我在一家大公司工作，我对内部安全标准的最佳实践很感兴趣。我们在SAP上有大量(5亿美元以上)的投资，我们的内部环境中也有.Net和一些Java。

我已经从MS和SAP中找到了一些文档，但是它已经过时了，而且不太具体。

到目前为止，我们可能最终会使用Active Directory作为所有非SAP应用程序的标准用户存储，而SAP / Portal则用于SAP应用程序。

我对AD的一些担忧是：

• 能够对共享计算机上的应用程序进行积极的超时(我们的应用程序中有一小部分运行在农村地区的远程办公中，共享计算机数量有限)。在这种情况下，具有“超级用户”特权的主管可以使用一个应用程序，而一个只应该拥有基本特权的办事员可以在之后立即使用同一台机器)
• 由于能够强迫用户输入用户名和密码，而不是仅仅从用户的工作站读取凭据--因为它正在为桌面和电子邮件提取相同的凭据，因此目前不会要求用户登录。对于共享计算机上的应用程序来说，这也是一个问题。(见前一个项目中的解释) 关于AD和CUA之间的同步，我想非常小心地处理这个问题。我们有一个有限的预算，我想要确保，如果我们最终在适当的地方，以同步商店，它的岩石出售，并提供卓越的价值。如果我们找不到这样的东西，我回来后会觉得很舒服，建议这些商店保持独立。SSO将是理想的，但是我已经尝试过在SAML之前得到一个SSO应用程序，但它并不漂亮。

缩略语：

• 单点登录SAML:安全性
• 断言标记语言
• CUA:中央用户管理( SAP)

Answer 1

关于这个问题有很多可能性。

我们有一个客户从SAP HR中更新了他们的AD和SAP用户列表。其想法是OM模块包含所有员工。您可以每天将所有活动员工的列表导出到LDAP，其中包含基本信息(名字、姓氏、employeeId、登录.)。对于SAP系统，单元/功能/作业需要sap访问，在那里标记，用户每天创建/删除。

事实上，所有员工都有一个SAP帐户，但是只有那些被标记的员工有一个“对话框”帐户。这些帐户允许通过SAPGUI连接，其他用户必须使用门户，这是一个成本较低的许可证。允许设置托管用户角色的一组规则。其目标是尽量减少用户管理，并限制自动化的不可阻挡的增长，使之从一家公司的工作转移到另一家公司。(这是为105000名雇员准备的，有大量的人员流动)。

因此，SAP不是直接链接到AD，而是在那里进行同步。根据系统(开发、质量、集成、生产)，SAP被配置为超时。您还可以为不同的系统使用différent密码。

当然，反过来也是可能的:从SAP查询LDAP以管理SAP的帐户，而不直接链接到LDAP。事务LDAP可能会给您一些信息。

希望这能帮上忙

编辑：同步是由ABAP程序完成的。该程序每天在4点运行，并在LDAP中创建/删除/修改了一些帐户。在此之后，另一个程序向LDAP条目添加了一些技术信息，这些信息是SAP RH系统无法获得的信息(例如用于给定员工的邮件服务器，具体取决于其在世界各地的位置)。然后检查条目的一致性，并将其发送到主LDAP。

这个程序只管理人员和单位。手动管理或由其他程序管理的组(对其他应用程序的授权)。因此，非SAP数据也存储在LDAP中。

问候

Answer 2

如果用户不需要登录，为什么会出现问题？这对用户来说不是更方便吗？这难道不会给他们更多的动力去注销这个应用程序吗？

我正在处理的项目现在使用AD，我们在SAP中有一个映射表来映射AD帐户和SAP帐户。同步化是手动的，它可能对您有用，也可能不适用，但是没有真正的技术风险。

我希望我能给你更多的信息，但我并没有很好地参与到这方面的事情。不过，我可以查一下。

Answer 3

您可能想看看OpenSSO -它有用于SAP的代理，它将与AD集成作为用户存储。它也很坚固-- Verizon为4000万用户使用它来登录他们的网站。。