Wolters Kluwer Polska wdrożył system SAP ERP już w 2002 r. Kolejny większy projekt wdrożeniowy (w 2004 r.) obejmował uruchomienie hurtowni danych SAP BW. Potem były SAP CRM (2008 r.) oraz SAP NetWeaver Portal. Praktycznie cała działalność firmy jest obsługiwana systemami SAP. Korzyści integracji procesów biznesowych w spójnych narzędziach są nie do przecenienia. Także od strony technicznej wartość spójnego pejzażu systemów, administrowanego i hostowanego przez jednego dostawcę usług, jakim jest BCC (aktualnie All for One Poland), jest duża.
Setki zapomnianych haseł do SAP
Wolters Kluwer Polska posiada spory pejzaż systemowy SAP: trzy systemy SAP ERP (produkcyjny, testowy, rozwojowy), trzy systemy SAP CRM, dwa systemy SAP Portal (produkcyjny i testowo-rozwojowy) oraz dwa systemy SAP BW. Dodatkowo na systemach developerskich występuje kilka mandantów.
Łącznie z wszystkich narzędzi SAP korzysta w firmie kilkuset użytkowników. Najwięcej (370) z SAP CRM. 180 z SAP ERP oraz 130 z SAP BW. Często są to te same osoby. Mimo jednak, że firma pracuje z wieloma systemami spod szyldu jednego producenta, użytkownicy, którzy korzystają z więcej niż jednego rozwiązania SAP, do każdego z nich musieli się logować oddzielnym hasłem.
Administrując swoją infrastrukturą IT, Wolters Kluwer wdraża najlepsze praktyki zarządzania, oparte na światowych best practices. Jedną z nich jest restrykcyjna polityka zmiany haseł i wymagany duży stopień ich skomplikowania. Żeby móc logować się do systemu, użytkownik musiał wpisać hasło składające się z co najmniej określonej liczny znaków, zawierające wielkie i małe litery oraz znaki specjalne. No i oczywiście okresowo należało je zmieniać. Jeśli więc pracownik jest jednocześnie użytkownikiem SAP ERP, CRM i jeszcze BW, a dodatkowo jest key userem i oprócz systemu produkcyjnego, ma też dostęp do testowego, to mógł być szczęśliwym posiadaczem nawet do 10 trudnych haseł.
Administratorzy, którzy zarządzają kontami użytkowników dla każdego systemu z osobna, musieli poświęcać sporo czasu, by zapewnić ich integralność i zgodność z polityką bezpieczeństwa. W przypadku dużej liczby użytkowników dokonują zmian w systemie uprawnień codziennie, a nawet kilka razy w ciągu dnia. Powodem tego są zarówno zmiany kadrowe, zaplanowane, cykliczne zmiany uprawnień, jak również bardziej prozaiczny powód – zapominanie haseł przez użytkowników.
To co służy bezpieczeństwu danych w systemach, jest utrapieniem dla wielu użytkowników. A co za tym idzie – także dla administratorów.
Wolters Kluwer Polska korzysta z usługi administracji SAP w Centrum Outsourcingowym BCC, co oznacza, że usługodawca przejął odpowiedzialność za poprawne i wydajne działanie systemów. Jednak konsultanci BCC kontaktują się z zespołem help desk WKP, a nie pojedynczymi użytkownikami. Zgłoszenia użytkowników o zapomnianym haśle czy zablokowaniu dostępu do systemu trafiały (poprzez wykorzystywaną w WKP aplikację serwisową) do zespołu help desk WKP. Tam administratorzy decydowali, czy zgłoszenie można rozwiązać wewnętrznie, czy też dotyczy zakresu odpowiedzialności BCC i należy je eskalować. Po rozwiązaniu problemu zewnętrzni konsultanci informowali o tym administratorów WKP, którzy z kolei musieli skontaktować się z pechowym użytkownikiem.
Przy takiej liczbie systemów i użytkowników przypadki zapominania haseł i blokowania kont zdarzają się dość często. Rozwiązywanie tych problemów pochłaniało czasu pracy administratorów i odciągało ich od innych, ważniejszych zadań. Wszystko to powodowało rosnące koszty wsparcia i administracji systemów.
80% mniej zapomnianych haseł
Polityka bezpieczeństwa WKP jasno określa nasze wymagania związane z wymaganą częstotliwością zmiany haseł i ich typami. Jest ona zbieżna z polityką w systemach SAP, którymi zarządza BCC. Hasła mają wymaganą liczbę znaków i poziom komplikacji – nie używa się nazw własnych, należy stosować znaki specjalne, wielkie/małe litery i cyfry. Poza tym uwzględniania jest historia haseł (nie można użyć określonej liczby haseł wstecz).
W firmie staramy się wiązać SSO z każdym systemem, jeśli to możliwe. Logowanie SSO do SAP z poziomu SAPGui jest powiązane z każdym systemem (ERP/BW/CRM). Dodatkowo poprzez odpowiednią konfigurację korzystamy z równoważenia obciążenia serwerów, które jest aktywne podczas logowania.
Prawie każdy komputer w firmie jest przygotowany do tego, by skorzystać z SSO.
Oceniam, że nasz wewnętrzny help desk odnotował spadek liczby zgłoszeń typu „zapomniałem hasła”, „nie mogę się zalogować” aż o 80%.
Grzegorz Fudala, Project Manager BackOffice, Wolters Kluwer Polska
Wiele systemów – jedno logowanie
Dostępny na platformie SAP NetWeaver mechanizm Single Sign On (SSO) umożliwia koordynację i integrację różnych systemów, do których użytkownik powinien mieć dostęp, „pod jednym hasłem”. SSO umożliwia nie tylko automatyczne logowanie się do systemów SAP, lecz także do aplikacji innych producentów, baz danych, serwerów pocztowych czy też serwerów plików.
Chcąc ułatwić pracę nie tylko użytkownikom, ale również administratorom, Wolters Kluwer Polska zdecydował się na wdrożenie Single Sign On (SSO).
Przed wdrożeniem mechanizmu konieczne było ustalenie systemów/mandantów, na których SSO będzie aktywne, oraz użytkowników, którzy będą mogli korzystać z udogodnień jednego logowania. Dzięki temu, że systemy WKP są hostowane i administrowane w Centrum Outsourcingowym BCC (aktulnie All for One Poland), ustalenie pejzażu systemowego nie nastręczało żadnych problemów.
Sama implementacja SSO wiązała się z przygotowaniem systemów SAP, czyli ustawieniem odpowiednich parametrów w profilach, oraz spreparowaniem kont systemów SAP w domenie ActiveDirectory.
Oczywiście każdy użytkownik korzystający z SSO powinien mieć konto w ActiveDirectory, które można zmapować do odpowiedniego konta w systemach SAP (dzięki temu konta nie muszą mieć identycznej nazwy w SAP i AD). Ponadto od strony końcowego użytkownika konieczne było doinstalowanie specjalnych bibliotek oraz odpowiednia modyfikacja profili SAP GUI. W wypadku systemów SAP NetWeaver Portal należało wykonać odpowiednią konfigurację samych przeglądarek internetowych.
Po spełnieniu powyższych wymagań przystąpiono do konfiguracji mapowania użytkowników w systemach SAP. Dzięki temu że w WKP na większości mandantów jest aktywne centralne zarządzanie użytkownikami CUA oraz dzięki wykorzystaniu narzędzia LSMW (Legacy System Migration Workbench) operacja ta przebiegła stosunkowo szybko i bezproblemowo.
Udostępnienie Single Sign On rozpoczęto od systemów testowych i rozwojowych, po zakończonych testach rozwiązanie przeniesiono na systemy produktywne.
W systemach SAP jeśli zmiana haseł dla użytkowników końcowych wynika z polityki firmy, wykonywana jest na poziomie stacji roboczej użytkownika. Po zakończonym wdrożeniu mechanizm SSO pozwolił na wyłączenie tradycyjnych haseł i deaktywowanie możliwości logowania przez SAP GUI.
SSO stanowi obecnie podstawę wygodnego środowiska pracy w systemach SAP. Rano, po uruchomieniu komputerapracownik loguje się do stacji roboczej. ID użytkownika (login) i tylko jedno hasło sprawia, że automatycznie uzyskuje dostęp do wszystkich potrzebnych aplikacji, bez potrzeby ponownego uwierzytelniania w każdej z nich z osobna.
Jedno łatwiej zapamiętać
Korzyści z wykorzystania technologii SSO są oczywiste: użytkownik ma tylko jedno hasło do wszystkich systemów SAP, z których korzysta. Proces logowania jest łatwiejszy i szybszy – w momencie zalogowania się do stacji roboczej. To nie tylko ulga dla pamięci. To także mniejsza pokusa, by zapisywać hasła na „żółtych karteczkach” czy stosować inne „ułatwienia”, które zagrażają bezpieczeństwu systemów.
Także od strony administracji centralne, wygodne zarządzanie politykami haseł znacznie poprawia bezpieczeństwo przekazywania poświadczeń i odciąża administratora weryfikującego dostęp do systemów. Zarządzanie użytkownikami w Active Directory spowodowało, że obecnie znakomita większość problemów „hasłowych” może być szybko rozwiązana przez wewnętrzny help desk WKP, bez konieczności eskalacji do BCC. A im mniej ogniw zaangażowanych w taki proces, tym szybciej użytkownik uzyskuje rozwiązanie.