Single Sign-On w SAP – teraz w chmurze

SAP już wcześniej oferował możliwość dodania dostawcy tożsamości (Identity Provider) w formie platformy korporacyjnej lub społecznościowej, lecz dotyczyło to jedynie aplikacji, które można było połączyć z Cloud Identity Services, czyli przede wszystkim rozwiązań chmurowych SAP.

Użytkownicy systemów on-premise opartych na ABAP wykorzystujących SAP GUI zmuszeni byli korzystać z osobnego oprogramowania działającego na jednym z ich serwerów, który każdorazowo przetwarzałby żądania uwierzytelnienia dla użytkowników. SAP Secure Login Service pozwala uniknąć konieczności instalowania takiego oprogramowania i bierze na siebie całą pracę polegającą na zarządzaniu logowaniem poprzez SSO.

Sama usługa jako aplikacja nie jest mocno rozbudowana, ponieważ większość pracy wykonuje jako pośrednik przetwarzający żądania logowania. Aplikacja w konsoli administracyjnej podaje nam swoje dane adresowe oraz pozwala ustalić, jak długo użytkownik może pracować na jednym logowaniu (1-24 godz.).

Uzbrojeni w te dane, możemy skonfigurować klienta na stacji roboczej użytkownika, tak jak w przypadku tradycyjnego SSO. Komunikacja między poszczególnymi komponentami tej układanki odbywa się za pomocą certyfikatów X.509, ale jest też możliwość wykorzystanie tokenu Kerberos.

Aplikacja SLS jest dodana do Cloud Identity Services (CIS), co pozwala nam zdefiniować dla niej dostawcę tożsamości w sposób analogiczny jak dla każdej innej, nawet najnowszej aplikacji chmurowej SAP, jak na przykład S/4HANA Cloud.

Uwierzytelnienie się w Secure Login Service oznacza uwierzytelnienie się w SAP GUI.

Integracja z CIS otwiera nowe możliwości. Domyślnym dostawcą logowania jest sam CIS, to jednak wymagałoby, aby to on był centralną bazą dla tożsamości użytkowników. Aby uniknąć tworzenia kont dla każdego w CIS, możemy zmienić dostawcę tożsamości na platformę korporacyjną firm trzecich, takich jak Microsoft Entra ID, co jest popularnym wyborem w środowiskach klientów, ponieważ często to właśnie domena Microsoft ma już w sobie od dawna bazę wszystkich użytkowników przedsiębiorstwa.

Jeśli jednak to nie jest odpowiednim rozwiązaniem, istnieje także możliwość uwierzytelniania przez media społecznościowe takie jak Facebook, X czy Linkedin.

Opisane wyżej zastosowania czynią Cloud Identity Services idealnym rozwiązaniem dla organizacji korzystających z systemów ABAP-owych, ale również dla środowisk hybrydowych, które używają już aplikacji chmurowych, lecz środowiska on-premise są także częścią ich infrastruktury, a były do tej pory wyłączone poza nawias pędzącej naprzód technologii bezpieczeństwa i unifikacji środowisk pracy systemów IT.

Użytkownicy SAP GUI nie będą już musieli używać oddzielnych haseł do każdego systemu, co na pewno wpłynie pozytywnie na ich komfort pracy. Za implementację podziękują również administratorzy, którzy zbyt często musieli odpowiadać na liczne zgłoszenia o zablokowanych kontach i hasłach, które wygasły. Teraz support będzie mógł skupić się w większym wymiarze na zgłoszeniach rozwojowych i utrzymaniowych.

Zwiększenie bezpieczeństwa opiera się także na wykorzystaniu do logowania nowoczesnych platform dostarczania tożsamości już działających w organizacjach, które używają technologii MFA często połączonych z biometrią czy kluczami U2F.