SAP NetWeaver Single Sign-On (SSO) y SAP NetWeaver Identity Management (IDM)
Hasta hace no mucho tiempo atrás, elegir entre la seguridad y comodidad era un dilema frecuente que se asumía con cierta naturalidad: la seguridad implicaba necesariamente un cierto nivel de incomodidad para el usuario final. Todo tiene su precio ¿no? Un ejemplo clásico de esta problemática es la política de contraseñas que obliga al usuario a tener una clave que cumpla determinado estándar: un largo mínimo, inclusión de números, mayúsculas y/o caracteres especiales, que no se repita con las anteriores, etc.
Si condimentamos los ingredientes anteriores con el hecho de que siempre hay más de un sistema frente al cual ident ificarse, el plato resultante termina teniendo un sabor amargo para el usuario final y un dolor de cabeza para el administrador de los sistemas.
La buena noticia es que ya no hay que elegir entre seguridad y comodidad, y lo mejor, esta solución trasciende las fronteras del ecosistema de soluciones de SAP.
SAP NetWeaver Single Sign-On
SAP NetWeaver Single Sign-On (SAP SSO) habilita a los usuarios para acceder a todas sus aplicaciones a través de un único evento de autenticación. Desde la perspectiva del usuario final, no existe necesidad alguna de proporcionar sus credenciales (por ejemplo, nombre de usuario y contraseña) para conectarse a cada aplicación.
La solución general se divide en tres subsoluciones:
- Secure Login, la cual habilita SSO a sistemas SAP usando SAP GUI y otras aplicaciones web en el mismo dominio. Basado en tickets de Kerberos o certificados X.509.
- Identity Provider, la cual habilita SSO a cualquier aplicación web o servicio web con identidad federada. Basada en el protocolo SAML2.0
- Password Manager, la cual habilita SSO a aplicaciones que no son soportadas por ningún protocolo estándar y que requieren información de usuario y contraseña, la que debe ser registrada en el sistema previamente (almacén de contraseñas).
Dependiendo del landscape de sistemas, existen tres escenarios de implementación diferentes que determinarán el protocolo de identificación:
- Homogéneo: solo aplicaciones SAP en el mismo dominio.
- Heterogéneo: aplicaciones SAP y no SAP en el mismo dominio.
- Heterogéneo interdominio: aplicaciones SAP y no SAP en dominios distintos (por ejemplo, aplicaciones en la Nube).
SAP NetWeaver Identity Management: Sincronización de Contraseñas
SAP NetWeaver Identity Management (SAP IDM) permite sincronizar las contraseñas de forma transversal en todo el landscape, de modo que el usuario puede acceder a cualquier aplicación con la misma contraseña. Cada cambio de contraseña en SAP IDM o en Microsoft Active Directory se replicará automáticamente a todo el resto de los sistemas integrados. Para una mayor seguridad, la contraseña provista debe ser cifrada a través de canales seguros (por ejemplo, usando SNC para sistemas ABAP, o SSL para aplicaciones web, incluyendo sistemas SAP con Application Servers Java o directorios).
Desde la perspectiva del usuario final, esto significa que utilizará la misma contraseña para cada aplicación en la que quiera identificarse.
Comparativa de SAP SSO vs SAP IDM: fortalezas y debilidades
| SSO | IDM |
Fortaleza | - Más cómodo para el usuario final, pues solo basta con colocar la contraseña una vez.
- Solución flexible tanto para sistemas SAP como no SAP.
| - No requiere de la instalación de software en la estación de trabajo (computador) del usuario final.
- No necesita una solución de alta disponibilidad, pues si el sistema SAP IDM no se encuentra disponible, igualmente hay acceso a todos los sistemas.
|
Debilidad | - Requiere de la instalación de software en la estación de trabajo (computador) del usuario final.
- El sistema demanda alta disponibilidad (HA), pues si SAP SSO no se encuentra disponible, no hay acceso a ningún sistema.
| - El usuario debe ingresar su contraseña en cada sistema que quiera ingresar (aunque será el mismo cada vez).
- La política de contraseñas de todos los sistemas debe ajustarse para que los usuarios puedan tener la misma contraseña en todos ellos.
- Si el sistema no soporta alguno de los protocolos con los que trabaja SAP IDM, no se podrá incorporar.
|
Bueno, pero ¿cuál es la solución que debo usar?
Evidentemente no hay una receta única e infalible, sin embargo, es posible adelantar algunos criterios a modo de ejemplo con el fin de ilustrar posibles escenarios reales de decisión.
- Facilidad de uso para el usuario final
Como mencionamos anteriormente, SAP SSO ofrece una mejor experiencia al usuario final puesto que esta solución reduce el número de veces en que éste debe escribir su nombre y contraseña para acceder a las aplicaciones. Eventualmente, esto es un factor que contribuye a la productividad.
- Evolución del ciclo de vida de la solución
SAP Identity Management permite optimizar el ciclo de vida del usuario y simplifica la gestión. Como solución reemplazará a SAP Central User Administration (SAP CUA), la cual no seguirá siendo desarrollada por SAP SE. De esta forma, podría ser interesante elegir algún tipo de método de sincronización de contraseña si se planea implementar en el futuro una solución de gestión de identidad y acceso.
La implementación de SAP SSO asegura una robusta identificación contra los sistemas, bloqueando el acceso tradicional a cada aplicación en el alcance de la solución.
Aunque el proyecto de implementación de ambos requiere esfuerzos similares, se debe considerar que SAP SSO implica un esfuerzo mayor de operación que el necesario para operar SAP IDM.
Fuente: http://scn.sap.com/community/idm/blog/2014/03/28/single-sign-on-versus-password-synchronization-solutions-how-do-you-know-wich-one-is-right-for-you
Más información de nuestros servicios en informacion@novis.cl
Feedback/discusión con el autor: Alex Bórquez, Consultor SAP.
