Polski oddział grupy Transgourmet (właściciel sieci Selgros) podjął się zadania rozpoznania oraz pilotażowego wdrożenia rozwiązania SAP Afaria. Rolą BCC (aktualnie All for One Poland) było wsparcie pracowników firmy w zaprojektowaniu modelu konfiguracji narzędzia oraz produkcyjnym wdrożeniu.

Rozpoznanie możliwości narzędzia i konfiguracja wstępna SAP Afaria wymagały od pracowników Selgros dużego zaangażowania. Wypracowana w czasie konsultacji polityka konfiguracyjna nie jest ostateczna. Jej dalszy prawidłowy rozwój to obecnie zadanie administratorów systemu w Transgourmet. Dodatkowe wyzwanie rodzi fakt, że pracownicy polskiego oddziału firmy po udanym starcie produkcyjnym będą wspierać swoich niemieckich kolegów w pracach związanych w uruchomieniem systemu oraz mechanizmów, na których podstawie działa. Mimo tej dodatkowej presji prace przebiegały sprawnie i po kilku dniach możliwe było przeprowadzenie testów na kilku podstawowych urządzeniach.

Prace były podzielone na trzy główne etapy: rozpoznanie, konfigurację oraz wdrożenie. Całość projektu miała niestandardowy przebieg. SAP Afaria nie jest klasycznym systemem, z jakimi mamy do czynienia na co dzień, dlatego ważne jest, by dobrze zrozumieć, do czego służy, oraz logikę jego działania.

SAP Afaria w Mobile Secure

SAP Afaria to system służący do zdalnego zarządzania flotą urządzeń mobilnych (laptopy, tablety, smartfony) w korporacji oraz jej bezpieczeństwem. Mówiąc o zarządzaniu, mamy na myśli pełną kontrolę nad poszczególnymi urządzeniami, zainstalowanymi na nich aplikacjami oraz przechowywanymi danymi.

Dzięki jednemu z modułów Afarii możemy zdalnie przyłączyć do niej nowe urządzenie oraz wysłać żądanie instalacji wymaganych do prawidłowej pracy aplikacji lub konfiguracji. Afaria jest częścią rozwiązania Mobile Secure, w skład którego wchodzą również: SAP Mobile Secure oraz SAP Mobile App Protection. Firma SAP oferuje również rozwiązanie klasy MDM (mobile device management) utrzymywane w chmurze: SAP Mobile Device Management.

SAP Afaria to system służący do zdalnego zarządzania flotą urządzeń mobilnych (laptopy, tablety, smartfony) w korporacji oraz jej bezpieczeństwem.

Najważniejsze funkcje

Poniżej przedstawiamy podstawowe funkcje rozwiązania SAP Afaria:

  • Zabezpieczenie urządzeń oraz przechowywanych na nich danych poprzez współpracę z takimi technologiami jak LDAP lub Active Directory w celu autoryzacji użytkowników korzystających z urządzenia. Afaria potrafi również weryfikować urządzenia na podstawie certyfikatów wystawionych przez kontroler domeny, natomiast komunikacja pomiędzy usługą Afaria a urządzeniami jest szyfrowana. Zabezpieczenie urządzeń może się odbywać także poprzez wykorzystanie odpowiednich polityk zmuszających użytkowników do zachowywania bezpiecznego hasła lub szyfrujących wszystkie korporacyjne dane. Afaria umożliwia zdalne zablokowanie lub wyczyszczenie zgubionego lub skradzionego urządzenia.
  • Dostosowanie urządzeń do zmieniających się standardów utrzymywanych przez biznes. Za pomocą Afarii możemy definiować szereg atrybutów pozwalających urządzeniom na poprawną komunikację wewnątrz oraz na zewnątrz infrastruktury firmowej. Na przykład możliwe jest narzucenie urządzeniu wykorzystana konkretnych danych logowania do firmowej sieci bezprzewodowej. Afaria pozwala również na synchronizację z firmową pocztą, kalendarzem oraz książką adresową. Co ważniejsze, czynności te odbywają się bez jakiejkolwiek ingerencji użytkownika.
  • Zarządzanie aplikacjami mobilnymi. Dzięki Afarii możemy wymusić instalację danych aplikacji na zdefiniowanym zbiorze urządzeń. Dodatkowo w łatwy sposób możemy aktualizować zainstalowane aplikacje lub deinstalować te niepożądane, co pośrednio wpływa na bezpieczeństwo. Afaria udostępnia dwie metody instalacji aplikacji: z publicznego sklepu (np. Apple AppStore lub Google Play) lub własnego lokalnego repozytorium aplikacji. Afaria pozwala również na zablokowanie możliwości instalacji innych aplikacji przez użytkowników, co zapewnia utrzymanie na wszystkich urządzeniach zadanego zbioru odpowiednio zaktualizowanych aplikacji w odpowiedniej wersji.
  • Raportowanie wykorzystania urządzeń oraz danych na nich składowanych. Afaria posiada moduł pozwalający na generowanie raportów z urządzeń zawierających dane o instalowanych aplikacjach, podłączonych kontach czy danych, jakie są przechowywane na urządzeniu. Raporty te znacznie ułatwiają przeprowadzanie audytów oraz analiz bezpieczeństwa podłączonych do systemu urządzeń.

Afaria pozwala na zarządzanie urządzeniami służbowymi oraz prywatnymi pracowników, jeśli są oparte na następujących technologiach: Android, iOS, Windows, Windows CE, Windows Mobile, Windows Phone oraz Windows DM.

Modułowa architektura

Architektura rozwiązania SAP Afaria jest modułowa. Całość składa się z kilku komponentów. Najważniejsze z nich to: Afaria Server, Afaria Administration Console, Enrollment Server, Package Server oraz baza danych.

Mimo iż baza danych jest jednym z kluczowych elementów, nie jest dołączona do pakietu instalacyjnego. Afaria może współpracować z następującymi rozwiązaniami bazodanowymi: Microsoft SQL Server lub SAP SQL Anywhere. Baza danych zapewnia miejsce składowania danych konfiguracyjnych oraz punkt gromadzenia wykonanych wcześniej raportów oraz logów.

Serwer Afarii służy jako główny punkt konfiguracyjny dla całego systemu. To dzięki niemu możemy tworzyć polityki dla urządzeń oraz grupować urządzenia na podstawie przyjętych wcześniej zasad. Pozwala również na zarządzanie podłączonymi urządzeniami oraz generowanie raportów. W celu wykonania tych operacji wykorzystuje się oparty na technologiach internetowych interfejs administracyjny (Afaria Administration Console).

Do podłączenia urządzeń do systemu służy Enrollment Server, który udostępnia odpowiednio przygotowany interfejs do nawiązywania połączenia inicjującego z urządzeń do serwera Afarii. Kolejnym krokiem połączenia jest zdalna instalacja klienckiej aplikacji Afarii, która może zostać wykonana z repozytoriów publicznych lub lokalnego, umieszczonego w usłudze Package Server. Ostatnim z głównych elementów Afarii jest Self-Service Portal, który pozwala użytkownikom na ograniczone zarządzanie własnymi urządzeniami oraz lokalizację zagubionych.

Afaria jest rozwiązaniem skalowalnym. Umożliwia tworzenie wieloelementowych instalacji, które pozwalają w łatwy sposób odseparować odległe jednostki organizacyjne. Taki scenariusz zaleca się firmom, które prowadzą swój biznes w wielu krajach. W takim przypadku konieczne jest wyznaczenie serwera głównego, którego podstawowym zadaniem jest zarządzanie synchronizacją konfiguracji pomiędzy wszystkimi elementami klastra. Możliwe jest również wykorzystanie Afarii w modelu „standalone”, który ma dokładnie takie same możliwości jak instancja wieloserwerowa. Właśnie taki model systemu wykorzystuje Transgourmet.

Największą zaletą Afarii jest elastyczność konfiguracji. Głównym zadaniem administratora jest tworzenie polityk składających się z definicji reguł bezpieczeństwa oraz standardów utrzymywanych przez firmę. Każda polityka powinna być „atomowa”, czyli możliwie jak najmniejsza. Tak tworzone polityki można przypisywać do wielu grup. Także każde z urządzeń może być przypisane do wielu grup, co daje bardzo dużą liczbę możliwych wariantów konfiguracji systemu.

Bartłomiej Stryczek, Zastępca Dyrektora IT, Transgourmet Polska

Mobilnie i bezpiecznie
Użytkownicy rozwiązania SAP Afaria – głównie przedstawiciele handlowi Transgourmet Polska, uzyskali rozwiązanie bezpieczne, stabilne i pewne w codziennej pracy z dedykowanymi dla nich, niezbędnymi usługami, takimi jaki poczta, zasoby intranetu, aplikacje i raporty Business Intelligence oraz oprogramowanie umożliwiające efektywną i interaktywną pracę z klientem w terenie.
Wdrożenie systemu zaowocowało możliwością standaryzacji środowiska systemowego floty urządzeń mobilnych, co zminimalizowało liczbę zgłoszeń serwisowych związanych z obsługą tych urządzeń i zainstalowanych aplikacji oraz przyspieszyło obsługę użytkowników. Możemy też na bieżąco monitorować wykorzystanie floty urządzeń mobilnych i proaktywnie reagować na pojawiające się problemy. W odróżnieniu od uprzednio użytkowanego rozwiązania administratorzy i pracownicy helpdesku mają bardzo rozbudowany, w pełni konfigurowalny, wygodny i dostępny system, za pomocą którego mogą efektywnie dostarczać rozwiązań, jakich oczekuje rozwijający się i wymagający biznes.
Poprzez integrację SAP Afaria z AD wzrosła identyfikowalność urządzenia i użytkownika, a przez instalację certyfikatów osobistych uzyskano bezpieczny dostęp do zasobów zdalnych, zgodny z polityką i zasadami bezpieczeństwa przedsiębiorstwa. Do bezpiecznej komunikacji pomiędzy urządzeniem mobilnym i zasobami informatycznymi wykorzystywany jest dedykowany tunel VPN. W razie utraty urządzenia eliminujemy też niebezpieczeństwo nieautoryzowanego dostępu do wrażliwych danych.
Współpraca z BCC w tym projekcie pozwoliła na zbudowanie „uszytej na naszą miarę”
platformy zarządzania urządzeniami mobilnymi i wypracowanie własnych polityk i standardów pracy z tym systemem. Dzięki tworzeniu i implementowaniu koncepcji w modelu warsztatowym i niemal „od zera”, stworzyliśmy we współpracy z BCC stabilny system, który w dalszym ciągu doskonalimy i rozwijamy.
Bartłomiej Stryczek, Zastępca Dyrektora IT, Transgourmet Polska

Smartfony i tablety pod kontrolą

Współpraca BCC (aktualnie All for One Poland) z Transgourmet rozpoczęła się po zakończeniu pierwszego etapu prac (instalacji systemu, która została zrealizowana przez dział IT grupy Transgourmet w Niemczech), w czerwcu 2015 roku. Głównymi zadaniami BCC były konfiguracja systemu oraz przeprowadzenie szkolenia administratorów z jego obsługi. W kolejnym etapie przeprowadzono testy. BCC było też gotowe udzielić wsparcia w trakcie samego wdrożenia.

Pierwszym efektem prac była poprawna integracja systemu SAP Afaria z usługami katalogowymi Active Directory wykorzystywanymi przez Transgourmet. W kolejnym kroku skonfigurowano w pełni polski profil reguł dla urządzeń poprzez zdefiniowanie parametrów tak zwanego tenanta. Podział na tenanty służy oddzieleniu urządzeń używanych w różnych jednostkach organizacyjnych. Polityki oraz urządzenia przypisane do tenanta są niewidoczne dla pozostałych. W tym wypadku zdecydowano przydzielać tenanty ze względu na kraj, w jakim znajduje się dany odział.

Kolejnym krokiem było opracowanie schematu, według którego nadawane będą polityki dla podłączonych do systemu urządzeń. Przyjęty schemat był wspólnym dziełem Transgourmet oraz konsultantów BCC. Został on zaprojektowany w taki sposób, by przyszłe zmiany organizacyjne nie tworzyły zbędnego narzutu pracy związanej z rekonfiguracją systemu względem zmian. Selgros w tym wypadku skorzystał z zachowania atomowości polityk na rzecz tworzenia wielu elastycznych grup, do których zostały podłączane urządzenia mobilne.

Następnie przeprowadzono szkolenie dla administratorów obejmujące zaawansowaną konfigurację polityk oraz zarządzanie urządzeniami za pomocą systemu SAP Afaria. Szkolenie zaowocowało realizacją stworzonej wcześniej strategii tworzenia polityk dla urządzeń.

Finalnym krokiem drugiego etapu prac były testy wykonane na urządzeniach mobilnych wykorzystywanych przez pracowników Transgourmet. W czasie testów doprecyzowano wcześniej nieuwzględnione parametry konfiguracji oraz rozszerzono polityki o nowe elementy.

Pod koniec sierpnia administratorzy Transgourmet rozpoczęli proces wdrażania rozwiązania SAP Afaria dla wszystkich służbowych urządzeń mobilnych w polskich oddziałach firmy. Przeprowadzone szkolenie oraz zebrane podczas testów doświadczenie zaowocowały sprawnym przebiegiem prac.

Transgourmet cieszy się nowoczesnym systemem, który pozwala na łatwe i skuteczne zarządzanie flotą urządzeń mobilnych. Afaria to także uproszczenie procesu zmiany właściciela urządzenia oraz standaryzacji oprogramowania.

 

Obecnie Transgourmet cieszy się nowoczesnym systemem, który pozwala na atwe i skuteczne zarządzanie stale rosnącą flotą urządzeń mobilnych. Afaria pozwoliła również uprościć proces zmiany właściciela urządzenia oraz standaryzacji oprogramowania.

Jednak największą wartością z wdrożenia systemu SAP Afaria w Transgourmet jest znacznie poprawiony poziom bezpieczeństwa urządzeń mobilnych oraz dostępnych na nich danych. Jest to szczególnie ważne w czasach, gdy dostęp osób trzecich do poufnych danych może się wiązać z poważnymi konsekwencjami prawnymi, a także finansowymi.

Wielu użytkowników firmowych systemów – od poczty po rozwiązania klasy ERP czy CRM – nie wyobraża sobie pracy bez dostępu do nich za pośrednictwem smartfona czy tabletu. Centralne zarządzanie tymi urządzeniami i zapewnienie wysokiego poziomu ich bezpieczeństwa w każdej sytuacji staje się ważnym zadaniem administratorów IT w firmach.

Selgros Cash & Carry – marka Transgourmet Polska Sp. z o.o. to ogólnopolska sieć hal handlu hurtowego, oferująca pełne zaopatrzenie dla wszystkich, którzy prowadzą działalność gospodarczą – w szczególności gastronomii, cateringu, hotelarstwa, handlu detalicznego, sklepów, kiosków i stołówek, a także instytucji opieki społecznej i placówek oświatowo-wychowawczych. Działa w 16 polskich oddziałach, zatrudniając przeszło 4000 pracowników. Od 2001 r. jest obecna w Rumunii, a od 2008 także w Rosji. Selgros Cash & Carry z centralą w Poznaniu jest częścią holdingu Transgourmet zajmującego się hurtową sprzedażą produktów żywnościowych. Udziałowcem Transgourmet Holding SE jest COOP, druga co do wielkości szwajcarska grupa handlu artykułami spożywczymi, zatrudniająca ok. 54 tys. pracowników.