Интеграция One Identity Manager с SAP R/3 и разделение полномочий

Интеграция One Identity Manager с SAP R/3 и разделение полномочий

Эта статья продолжает цикл публикаций о системе управления идентификационными данными и доступом One Identity Manager, в ней детально рассмотрены возможности One Identity Manager по интеграции с системой SAP R/3, широко используемой на российском и мировом рынке, и функциональность разделения полномочий (Segregation of Duties).

 

 

 

 

  1. Введение
  2. Коннектор к SAP
  3. Работа с SAP HCM
    1. 3.1. Отображение информации и связывание учетных записей
    2. 3.2. Контроль доступа при помощи правил разделения полномочий
      1. 3.2.1. Настройка правил
      2. 3.2.2. Выявление и отображение нарушений, обработка и утверждение исключений
    3. 3.3. Отчетность
  4. Выводы

 

Введение

В первой части обзора нами были рассмотрены история продукта, его функциональные возможности и детально описан портал самообслуживания — как основное рабочее средство для сотрудников компании (рядовых пользователей, их руководителей, а также сотрудников отдела информационной безопасности и аудиторов).

Во второй части мы рассказали об архитектуре решения, среде настройки и разработки коннекторов и средствах настройки системы в целом.

Третью статью мы решили посвятить более детальному описанию возможностей One Identity Manager по интеграции с системой SAP R/3, широко используемой на российском и мировом рынке, и функциональности разделения полномочий (Segregation of Duties).

 

Коннектор к SAP

Решение One Identity Manager обладает коннектором к системе SAP R/3. Коннектор содержит в себе несколько модулей для работы с различными приложениями и объектами SAP. В частности, основные из них:

  • Базовый модуль — с его помощью осуществляется синхронизация системы SAP ERP (инстанс, клиенты, компании, лицензии, принтеры, учетные записи пользователей, роли и профайлы, включая составные, а также членства в ролях, привязки профайлов к ролям и пр.).
  • Объекты авторизаций — включая активности, транзакции, поля и всевозможные привязки (транзакций к объектам авторизаций, полей объектов авторизаций к профайлам и т. п.).
  • Работа с персоналом (SAP HCM) и структурными профайлами — позволяет подключить One Identity Manager к авторизованному источнику данных о сотрудниках компании и ее оргштатной структуре, что является важным для дальнейшего построения ролевой модели и управления доступом в рамках концепции identity and access management.

Настройка коннектора к SAP в One Identity Manager осуществляется из графической консоли Synchronization Editor, о которой мы рассказывали во второй части обзора. При подключении оператору предлагается выбрать шаблон для настройки той или иной части коннектора (модуля).

 

Рисунок 1. Выбор шаблона для настройки коннектора к SAP в консоли Synchronization Editor

Выбор шаблона для настройки коннектора к SAP в консоли Synchronization Editor

 

Вся дальнейшая настройка выполняется полностью в Synchronization Editor и не требует написания кода. Функции, заложенные в шаблонах, включая схему, правила сопоставления и привязки объектов и полей, рабочие процессы синхронизации для каждого класса объектов и т. п., являются достаточными, и менять их, как правило, не приходится. Все, что необходимо, уже заложено в шаблоне. Компания One Identity также гордится тем, что ее коннектор сертифицирован самим производителем SAP.

 

Рисунок 2. Пример настройки соответствия полей для класса объекта в консоли Synchronization Editor — из шаблона

Пример настройки соответствия полей для класса объекта в консоли Synchronization Editor — из шаблона

 

Отметим также, что в коннекторе полностью поддерживается работа с системой централизованного управления пользователями в SAP (Central User Administration — CUA). Часто ее также называют «центральное ведение». Никаких дополнительных настроек для работы через систему центрального ведения не требуется, кроме выбора соответствующей опции в момент настройки коннекта к системе.

 

Рисунок 3. Поддержка работы через центральное ведение

Поддержка работы через центральное ведение

 

Работа с SAP HCM

Благодаря наличию отдельного модуля в SAP-коннекторе One Identity Manager полностью автоматизируется работа с модуем SAP Human Capital Management (HCM). SAP HCM выступает в качестве авторизованного источника данных по сотдудникам и оргштатной структуре комании, что является правильным с точки зрения конецпции управления идентификационными данными и доступом. Данные сотрудников и оргштатная структура ведутся в SAP HCM работниками отдела кадров компании. Оттуда они попадают в систему IDM (One Identity Manager), где и реализуются дальнейшие сценарии, такие как «прием нового сотрудника на работу», «кадровый перевод», «увольнение», «длительный отпуск» и др. С каждым из них связаны определенные действия по созданию нужных учетных записей в информационных системах (при приеме сотрудника на работу), предоставлению доступа (в соответствии с ролью сотрудника в компании — должностью, членством в отделе), автоматическому переназначению прав доступа (при переводе — постоянном или временном, совмещению должностей), блокировке учетных записей (при увольнении или длительном отсутствии).

Как уже было отмечено, в коннекторе уже заложено «знание» схемы SAP, включая SAP HCM — всех необходимых классов объектов, их атрибутов и правил соответствия. Одно это на порядок облегчает процесс настройки взаимодействия системы IDM с SAP (ERP, HCM), сводя его к выбору нескольких опций при подключении.

 

Рисунок 4. Объекты SAP HCM, как их «видит» коннектор — прямой доступ в систему из консоли Synchronization Editor

Объекты SAP HCM, как их «видит» коннектор — прямой доступ в систему из консоли Synchronization Editor

 

В результате синхронизации с SAP HCM в системе IDM появляются актуальные данные о сотрудниках. Для каждого сотрудника создается «карточка сотрудника» — объект Person со всеми необходимыми данными (табельный номер, основной отдел, должность, дата приема на работу, дата ухода из компании и т. п.), которые регулярно обновляются на основе изменений, сделанных в SAP HCM сотрудниками отдела кадров. Таким же образом в системе IDM появляется и регулярно обновляется иерархическая оргштатная структура компании (вложенность отделов и подразделений, члены отделов, руководители подразделений).

 

Рисунок 5. Оргштатная структура компании, взятая из SAP HCM, в административной консоли Manager

Оргштатная структура компании, взятая из SAP HCM, в административной консоли Manager

Отображение информации и связывание учетных записей

После настройки базового модуля коннектора к SAP R/3 (ERP) в One Identity Manager и завершения начальной синхронизации в административной консоли Manager (см. вторую часть обзора) мы увидим систему SAP в следующем виде:

 

Рисунок 6. Представление клиента SAP R/3 в административной консоли Manager

Представление клиента SAP R/3 в административной консоли Manager

 

Для каждой учетной записи SAP можно увидеть членство в ролях, привязанные к ним профайлы и диапазоны транзакций, а также привязку учетной записи к основной записи сотрудника (карточке сотрудника):

 

Рисунок 7. Представление информации по учетной записи пользователя в SAP

Представление информации по учетной записи пользователя в SAP

 

Решение One Identity Manager предоставляет широкие возможности по связыванию разрозненных учетных записей пользователей в различных системах с основной записью сотрудника (карточкой сотрудника). Используя различные критерии, система может связать записи автоматически (во время синхронизации), либо администратор может выполнить поиск и связывание вручную, используя интерфейс административной консоли Manager.

 

Рисунок 8. Интерфейс поиска учетных записей пользователей в SAP R/3 и связывания их с карточкой сотрудника

Интерфейс поиска учетных записей пользователей в SAP R/3 и связывания их с карточкой сотрудника

Тот же самый интерфейс задания критериев поиска и связывания учетных записей используется для всех типов систем, подключенных к решению (как стандартных, для которых имеется готовый коннектор, так и кастомных).

Контроль доступа при помощи правил разделения полномочий

Разделение полномочий (Segregation of Duties, SoD) — важный элемент контроля доступа сотрудников к информационным ресурсам компании. Решение One Identity Manager предоставляет широкие возможности по настройке правил разделения полномочий в рамках всей экосистемы приложений (информационных систем) предприятия, в том числе учитывая данные о персонале и оргштатной структуре. Это одно из ключевых отличий решения от аналогов.

Система позволяет проводить анализ на наличие конфликтных доступов (нарушающих установленные правила) по всем информационным системам и полномочиям, подключенным к решению (а не только в рамках какой-то одной системы), выводить список сотрудников, у которых нарушено то или иное правило и организовать процесс утверждения исключений (уполномоченными на это лицами). В литературе подобную функциональность часто обозначают аббревиатурой GRC — Governance, Risk and Compliance.

В состав SAP-коннектора One Identity Manager входит так называемый SAP R/3 Compliance Add-On. И это еще одно важное отличие One Identity Manager. При помощи этого модуля система One Identity Manager получает возможность анализа конфликтных полномочий в SAP не только на основе присвоенных учетной записи ролей в SAP ERP, а на более глубоком уровне — объектов авторизаций SAP (и связанных с ними полей и транзакций).

 

Рисунок 9. Отображение объектов авторизаций, связанных с профайлом SAP в административной консоли Manager

Отображение объектов авторизаций, связанных с профайлом SAP в административной консоли Manager

Настройка правил

Настройка правил для поиска и отображение конфликтных полномочий производится в административной консоли Manager при помощи конструктора (как и в случае настройки динамических ролей, корпоративных политик, видимости и доступности элементов сервис-каталога — более подробную информацию по ним см. во второй части нашего обзора). Однако в случае с SAP для возможности анализа конфликтных полномочий на уровне объектов авторизаций и транзакций, в системе One Identity Manager дополнительно введен подкласс объектов, называемых «Функции SAP». Назначение функции — вычислить роли, группы и учетные записи пользователей SAP, обладающие набором полномочий, которые они получают через назначенныые им объекты авторизаций с определенной комбинацией таких элементов как транзакции, активности и поля. Для этого в административной консоли Manager присутствует Редактор авторизаций, который как раз и используется для настройки параметров функции SAP.

 

Рисунок 10. Редактор авторизаций при настройке определения функции SAP — административная консоль Manager

Редактор авторизаций при настройке определения функции SAP — административная консоль Manager

 

Как только функция SAP определена и активирована, система автоматически производит вычисление, какие учетные записи и группы (роли) SAP имеют заданные в функции полномочия. Поскольку система назначения полномочий в SAP достаточно сложна, такое предварительное вычисление и поиск всех объектов, соответствующих заданным в функции параметрам, значительно повышает производительность системы в целом. Когда необходимо провести анализ на наличие конфликтных полномочий — все данные уже под рукой.

 

Рисунок 11. Вычисленные учетные записи пользователей и группы (роли) SAP, соответствующие заданным в функции параметрам

Вычисленные учетные записи пользователей и группы (роли) SAP, соответствующие заданным в функции параметрам

 

Все, что остается сделать для обнаружения конфликтных доступов у сотрудников — это создать и активировать соответствующее правило, в котором выбрать полномочия (роли) SAP или функции SAP (как результат предварительного поиска объектов с заданной комбинацией полномочий), которые не должны пересекаться.

 

Рисунок 12. Настройка критериев для правил разделения полномочий

Настройка критериев для правил разделения полномочий

 

Редактор правил разделения полномочий тот же самый, что мы рассматривали во второй части нашего обзора.

Особо отметим, что в момент настройки правила можно сразу увидеть, какие сотрудники подпадают под какие критерии (все данные для этого уже есть — как результат работы функций SAP). Изменения всегда вносятся в рабочую копию правила, которая впоследствии активируется для применения сделанных изменений. Система ведет версионность и аудит изменений самих правил.

 

Рисунок 13. Правило разделения полномочий на основе данных функций SAP и предпросмотр подпадающих под критерии сотрудников

Правило разделения полномочий на основе данных функций SAP и предпросмотр подпадающих под критерии сотрудников

Выявление и отображение нарушений, обработка и утверждение исключений

Информация о имеющихся на данный момент нарушениях и предоставленных исключениях доступна как в административной консоли Manager, так и через портал самообслуживания (см. информацию в первой части нашего обзора).

 

Рисунок 14. Отображение сотрудников, у которых обнаружено нарушение правила, в административной консоли Manager

Отображение сотрудников, у которых обнаружено нарушение правила, в административной консоли Manager

 

Рисунок 15. Отображение сотрудников, которым предоставлено исключение

Отображение сотрудников, которым предоставлено исключение

 

Рисунок 16. Отображение нарушений правил на карточке сотрудника в административной консоли Manager

Отображение нарушений правил на карточке сотрудника в административной консоли Manager

 

Стоит отметить, что и здесь портал самообслуживания является основным рабочим инструментом для контроля, утверждения и отклонения исключений — как основное рабочее средство сотрудников компании (рядовых сотрудников, руководителей, работников отдела информационной безопасности, аудиторов и др). Административная консоль Manager используется только для настройки самих правил. Это позволяет не плодить различные инструменты под каждую категорию сотрудников.

 

Рисунок 17. Отображение нарушений правил для ответственного за утверждение исключений на портале самообслуживания

Отображение нарушений правил для ответственного за утверждение исключений на портале самообслуживания

Отчетность

Решение One Identity Manager, помимо визуального отображения информации в административных консолях и портале самообслуживания также предоставляет полную отчетность в электронном и бумажном виде. С состав продукта входит большое число предустановленных отчетов, каждый из которых можно сохранить в удобном формате. Отчеты можно как запрашивать по требованию, так и подписаться на их регулярное получение по электронной почте через портал самообслуживания, при условии, что тот или иной отчет разрешен для подписки конкретному сотруднику или группе (роли) сотрудников.

 

Рисунок 18. Пример отчета по нарушениям правил разделения полномочий (наличию конфликтного доступа) — обзор нарушений

Пример отчета по нарушениям правил разделения полномочий (наличию конфликтного доступа) — обзор нарушений

 

Выводы

Мы детально рассмотрели функциональность и устройство SAP-коннектора системы One Identity Manager. Коннектор полностью покрывает потребности интеграции с системой SAP R/3 (ERP и HCM). Настройка взаимодействия One Identity Manager с системой SAP осуществляется целиком в графической консоли. При этом продукт One Identity Manager уже содержит готовые шаблоны для сопоставления объектов и атрибутов систем, менять которые в большинстве случаев нет необходимости. Настройка коннектора обычно сводится просто к настройке коннекта.

В коннекторе полностью поддерживается режим работы через Центральное ведение (CUA).

One Identity Manager в купе с коннектором к SAP содержит все необходимые средства для нужд GRC. При этом контроль наличия конфликтных доступов, «токсичных» комбинаций полномочий осуществляется не только в рамках системы SAP, а одновременно по всем системам, подключенным к решению.

Важно, что SAP-коннектор системы One Identity Manager не требует написания кода.

Особо также стоит отметить, что коннектор к SAP компании One Identity и используемые в нем функции SAP Business Application Programming Interface (BAPI) сертифицированы компанией SAP.

 

Благодарим Романа Каляпичева (One Identity) за активное участие в создании статьи.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru