Manual SAP ADM900 (191-231) .En - Es PDF

Lección: Al describir GRC de SAP
HR Flujo de Integración de Procesos
Figura 90: HR Flow Integración de Procesos
Control de Acceso SAP e Integración de Gestión de Identidad general
Las soluciones de gestión de identidad proporcionan la infraestructura clave para administrar cuentas de usuario en múltiples sistemas
back-end. SAP de control de acceso actualmente proporciona integración con las soluciones de gestión de identidad para el
aprovisionamiento compatible para toda la empresa. Esta integración permite a los clientes
para desplegar un negocio automatizado y la solución de control de acceso de SAP riesgo impulsada para toda la empresa. Con esta solución, los
dueños de negocios pueden controlar el acceso, la postura de seguridad, y el riesgo sobre la base de los valores relevantes para la empresa, sin
necesidad de conocimientos específicos de cada sistema de TI.
Control de Acceso SAP proporciona una integración robusta con soluciones de gestión de identidades y sigue centrándose en sus
propias competencias centrales de riesgo, de separación de tareas, y la remediación. Para apoyar esta estrategia, SAP de control
de acceso se integra con proveedores de gestión de identidad líderes en el mercado, tales como Oracle, Sun y Novell, e integra y
optimiza con SAP Gestión de Identidad.
Escenarios de aprovisionamiento de usuarios con la integración de Gestión de Identidad
Escenarios de la administración de identidades compatibles - SAP Control de Acceso
Cuando se integra con las soluciones de gestión de identidades, los siguientes escenarios disponibles:
● Control de acceso de aprovisionamiento Driven
- Solicitud creada en Control de Acceso SAP
- El análisis de riesgos y aprobación completada en Control de Acceso SAP
- contenido de SAP se aprovisiona de Control de Acceso SAP
- No SAP información de aprovisionamiento enviado a la administración de identidades para el aprovisionamiento
● Aprovisionamiento-Driven Gestión de Identidad
- Solicitud creada en Gestión de Identidad
- información de solicitud se envía al control de acceso de SAP para el análisis de riesgo y la autorización
© Derecho de Autor. Todos los derechos reservados. 183

Unidad 4: Cumplimiento y de aprovisionamiento de aplicaciones SAP
- contenido de SAP se aprovisiona de Control de Acceso SAP
- No SAP información de aprovisionamiento se envía a la Gestión de Identidad para el aprovisionamiento
aprovisionamiento impulsado por el GRC se inicia en las soluciones de GRC, aprovisionados por las soluciones de GRC para sistemas SAP, y
aprovisionado de administración de identidades para soluciones no SAP. aprovisionamiento impulsado por la administración de identidades se inicia
en la administración de identidades, presentado a las soluciones de GRC a través de servicios web, aprovisionados por las soluciones de GRC para
sistemas SAP, y aprovisionado de administración de identidades para sistemas no SAP.
Flujo del proceso de aprovisionamiento GRC-Driven
Figura 91: GRC propulsados por flujo de proceso de aprovisionamiento
flujo de proceso de aprovisionamiento GRC-Driven:
1. El usuario inicia sesión en la aplicación de control de acceso SAP y crea una solicitud de acceso.
2. La solicitud se produce después del proceso de aprobación.
3. análisis de riesgos y remediación de acceso se lleva a cabo en la aplicación de GRC solicitado

roles.
4. El aprobador aprueba o rechaza la solicitud. Si la solicitud es aprobada, el acceso a

sistemas SAP se aprovisiona por la aplicación GRC y las solicitudes no SAP se envían a la administración de identidades para el
aprovisionamiento.
Aprovisionamiento-Driven Gestión de Identidad
184 © Derecho de Autor. Todos los derechos reservados.

Figura 92: Aprovisionamiento-Driven Gestión de Identidad
Gestión de Identidad propulsados por flujo de proceso de aprovisionamiento:
1. El usuario inicia sesión en la aplicación de Gestión de Identidad, crea una solicitud de acceso, y
lo somete a la aplicación GRC.
2. La solicitud se produce después del proceso de aprobación de la solicitud de GRC.
3. análisis de riesgos y remediación de acceso se lleva a cabo en la aplicación de GRC solicitado

roles.
4. El aprobador aprueba o rechaza la solicitud. Si la solicitud es aprobada, el acceso a

sistemas SAP se aprovisiona por la aplicación GRC y las solicitudes no SAP se envían a la administración de identidades para el
aprovisionamiento.
Integración de Control de Procesos
Integraciones para el Control de Procesos SAP 10.x incluyen los siguientes tipos de integración:
● Integración de procesos
● Integración de separación de tareas
Integración de procesos

Figura 93: Integración de Procesos
El proxy proceso de integración se utiliza para controlar otro sistema, por lo que sólo Proxy de salida es compatible.
Proceso de integración le permite controlar las deficiencias en otros sistemas. La integración de proxy proceso
debe ser completado antes de continuar en el portal.
SAP Process Control - Integración de separación de tareas
Figura 94: Integración de separación de tareas
Integración de separación de tareas le permite realizar las siguientes tareas:
● Utilizar los resultados del análisis de separación de tareas de la solución de control de acceso de SAP para mitigar un riesgo identificado en las
aplicaciones de control de procesos de SAP. La frecuencia de los análisis de separación de tareas de CA puede ser automática, semanal o mensual.
● Ver el resultado de paso de trabajo para la separación de tareas La integración en el Monitor de tareas.
Si se identifica un riesgo en la aplicación Control de Procesos SAP, puede utilizar los resultados del análisis de separación de tareas de control de acceso de
SAP para mitigar ese riesgo.
El monitor le permite ver todos los resultados de trabajo sin recibir una tarea.

Figura 95: Descripción general: Control de Acceso SAP
Las siguientes funciones de control de acceso de SAP están disponibles:
● analizar el riesgo
- Analizar los riesgos de acceso dentro del paisaje.
- Ganar visión completa de todos los riesgos de acceso.
- Reducir el riesgo para el negocio a través de remediación.
● Administrar el acceso y papeles
- Administrar el acceso a los procesos de aprobación compatibles.
- Use auto-aprovisionamiento para diversas aplicaciones.
- Utilice un proceso de aprobación flexible y auditable para garantizar el acceso oportuno.
- opiniones de acceso horario para asegurar el acceso optimizado.
- Simplificar el acceso a los procesos robustos metodología para limpiar funciones técnicas y añadir contenido empresarial.
- Utilice las funciones de negocio para hacer negocio de acceso amigable.
● privilegios del monitor
- Supervisar el acceso de emergencia mediante la captura de varios registros de actividad.
- Supervisar el uso de transacciones.

Figura 96: Análisis de Riesgos Acceso
Detener violaciónes de seguridad y de control antes de que ocurran con el cumplimiento en tiempo real tiene las siguientes ventajas:
● reduce significativamente el costo de cumplimiento
● Reduce el riesgo con los controles de toda la empresa preventivas
● Reduce el tiempo de cumplimiento a través de la automatización
● Está listo para funcionar con las normas generales establecidas mot
Acceso Análisis de Riesgos: La Fundación
El componente de Análisis de Riesgo de acceso es una auditoría de seguridad totalmente automatizado y segregación de funciones herramienta de
análisis (SOD) diseñado para identificar, analizar y resolver todas las cuestiones de separación de tareas y de auditoría relacionados con el
cumplimiento normativo. Incluye un motor de arranque expansible conjunto de reglas. Los riesgos pueden ser identificados y crean en un sistema que se
puede correlacionar con las funciones, y cada función se pueden asociar a un proceso de negocio.
Acceso Análisis de Riesgos produce informes analíticos de separación de tareas (tanto de resumen y detalle) para los usuarios seleccionados,
grupos de usuarios, roles y perfiles. También produce informes de acciones oncritical, permisos críticos, papeles críticos y perfiles. Análisis de
Riesgos de acceso proporciona una funcionalidad completa de gestión de riesgos y de gran alcance, fácil de usar, la funcionalidad de los controles
de mitigación de riesgos de documentos.
El conjunto de reglas de separación de tareas creado en este escenario de negocios se utiliza como base para todos los análisis de separación de tareas para
los componentes de control de acceso.

Figura 97: Gestión de Solicitudes de Acceso
Solicitud de acceso de administración permite el aprovisionamiento queja de extremo a extremo e incluye los siguientes beneficios:
● Incrusta toda la empresa el cumplimiento preventiva en los procesos de negocio
● Reduce el coste de administración de usuarios
● Mejora la productividad de los usuarios finales
● Proporciona un seguimiento de los auditores
Gestión de solicitudes de acceso: El motor de flujo de trabajo
El componente de Gestión de solicitudes de acceso proporciona un nuevo enfoque para el aprovisionamiento que permite a los administradores de
sistemas empresariales para automatizar el proceso, para gestionar los distintos tipos de riesgos de negocio, y para reducir la carga de trabajo
para el personal de TI.
Con sus capacidades de flujo de trabajo configurables, Control de Acceso SAP automatiza y acelera el aprovisionamiento de usuarios a lo largo de
un ciclo de vida de los empleados. Mediante la integración de la normativa de riesgos Análisis de acceso de separación de tareas, gestión de
solicitudes de acceso evita violaciónes de separación de tareas y ayuda a asegurar la responsabilidad corporativa y el cumplimiento de la Ley
Sarbanes-Oxley y otras leyes y reglamentos.

Figura 98: Administración de las funciones de negocios
Administración de las funciones de negocio permite a las definiciones de funciones de la empresa y el mantenimiento en una única ubicación, e
incluye los siguientes beneficios:
● Reduce el coste de mantenimiento de papel
● Hace más fácil el cumplimiento y evita los riesgos de autorización
● Elimina los errores y hace cumplir las mejores prácticas
● Asegura la trazabilidad y los controles de seguridad lista para auditorías
Administración de las funciones de negocio: La centralización de la documentación Rol
El componente de Gestión de rol de automatiza definición y gestión de los roles papel. Esta capacidad permite a las prácticas
preferidas para asegurarse de que las definiciones de funciones, desarrollo, prueba y mantenimiento son consistentes en toda la
empresa, lo que resulta en un menor mantenimiento en curso y la transferencia de conocimientos sin dolor.
Proporciona a los administradores de seguridad de SAP, diseñadores de función y propietarios de la función, un medio sencillo de
documentación y mantenimiento de la información importante papel para una mejor gestión de roles.

Figura 99: Gestión de Acceso de Emergencia
Gestión de acceso de emergencia permite el acceso de emergencia centrado en el cumplimiento de SAP e incluye los siguientes
beneficios:
● Cierra el tema de auditoría abierto número 1
● Evita las obstrucciones de negocios con una respuesta de emergencia más rápido
● Reduce los tiempos de auditoría
● Reduce el tiempo para realizar tareas críticas
● Pre-asigna identificadores de bomberos
● Permite a las restricciones de acceso
● Gestiona las fechas de validez
● Seguimiento de los cambios a nivel de campo en un registro de auditoría

Figura 100: Manejo de Riesgo de acceso y prevenir el fraude
SAP de control de acceso constituye un conjunto de funcionalidades básicas:
● Análisis de Riesgos y Gestión de Acceso
● Gestión de solicitud de acceso (también conocida como gestión de cuentas de usuario (UAM) o de una solicitud de acceso
(ARQ))
● Revisión de Certificación de Cumplimiento
● Gestión de papel y papel Minería
● Gestión de acceso de emergencia
● Control de Acceso Repositorio
SAP GRC componentes comunes
SAP de control de acceso utiliza un conjunto de SAP GRC componentes comunes como parte de la armonización de la solución SAP
GRC. Los siguientes componentes están también disponibles para SAP Process Control y Gestión de Riesgos de SAP:
● Datos maestros
● Flujo de Trabajo
● Informes y cuadros de mando
● de gestión del implemento
● Los campos personalizados y programación
SAP de control de acceso incluye las siguientes características:
● la seguridad de informes y el salpicadero

● Rol de Gestión (medio ambiente)
● búsqueda de roles atributos de configuración
● solicitudes de acceso simplificado
● análisis de la causa raíz y remediación
● El análisis regla de organización específica del sistema
● asistente de actualización de normas org
● extinción de incendios descentralizada
● paneles laterales basada en el contexto
● Control de acceso para HANA
Figura 101: Descripción de la arquitectura: Control de Acceso SAP
SAP GRC Arquitectura
aplicaciones SAP GRC comparten una plataforma tecnológica común y se pueden instalar en un solo sistema ABAP de SAP
NetWeaver.
Toda la funcionalidad relacionada con NetWeaver también está disponible. Esto incluye varios servidores de aplicaciones, o la
separación de bases de datos y aplicaciones y GRC en Hana. SAP Arquitectura de control de acceso incluye las siguientes
características:
● SAP NetWeaver ABAP es la plataforma subyacente
● Armonizado con las demás aplicaciones 10.x SAP GRC

● Aprovecha las siguientes inversiones ABAP de SAP NetWeaver existentes:
- Comparación de papel en Acción o al nivel de permiso
- Comparación entre roles dentro de Control de Acceso SAP
● Armonización con el Control de Procesos SAP y Gestión de Riesgos de SAP permite a los usuarios aprovechar los datos maestros
componentes NetWeaver
● SAP ABAP control de acceso utiliza Web Dynpro como la tecnología de interfaz de usuario (UI).
● La solución GRC puede ser presentada a los usuarios mediante el uso de cualquiera de SAP NWBC (SAP NetWeaver
Business Client) extremos, o con el uso de SAP Portal.
● Acceso directo a GRC AC Web Dynpro con un navegador de Internet compatible.
● Configuración de control de acceso de SAP se ejecuta mediante el SAP IMG a través de la interfaz gráfica de usuario SAP, que es común
a través de la solución SAP GRC.
● SAP de control de acceso se conecta a los sistemas SAP y no SAP con adaptador o IDM sistemas que utilizan el marco de
integración. GRC de CA proporciona una serie de servicios web y protocolos de interfaz estándar como SPML y LDAP.
● La base de datos ABAP es el repositorio común para todos los datos de control de acceso de SAP.
● los datos de control de acceso SAP se extrae y se carga en SAP BW usando extractores de BW.

Unidad 4
Ejercicio 7
Asignar control de acceso propietario Tipos a los

aprobadores
Ejemplo de negocios
Los identificadores de usuario en el sistema de control de acceso de GRC no están listos para ser utilizados para la aprobación de solicitudes de
acceso.
Se le ha pedido a actualizar su identificación para que pueda aprobar solicitudes de acceso y asignaciones de funciones. Usted tendrá que
dar a su usuario la Control de Acceso Propietario Propietario Tipos de clases, y plomo de Seguridad.
Nota:
En este ejercicio, cuando los valores son ##, reemplazar los caracteres con el número de
participante que su instructor le proporciona.
1. Establecer su ADM900 - ## ID de usuario de modo que tenga tanto propietario de la función de seguridad de acceso y plomo
tipos de control de propietario.

Unidad 4
Solución 7
Asignar control de acceso propietario Tipos a los

aprobadores
Ejemplo de negocios
Los identificadores de usuario en el sistema de control de acceso de GRC no están listos para ser utilizados para la aprobación de solicitudes de
acceso.
Se le ha pedido a actualizar su identificación para que pueda aprobar solicitudes de acceso y asignaciones de funciones. Usted tendrá que
dar a su usuario la Control de Acceso Propietario Propietario Tipos de clases, y plomo de Seguridad.
Nota:
1. Establecer su ADM900 - ## ID de usuario de modo que tenga tanto propietario de la función de seguridad de acceso y plomo
tipos de control de propietario.
una) Iniciar sesión en el cliente ZMC 800 con ADM900 ID de usuario - ##. Si este es su primer registro de tiempo
en ZMC cliente 800, utilice la contraseña inicial Bienvenido. Se le pedirá que cambie la contraseña.
segundo) Sobre el SAP Easy Access - Menú del Usuario pantalla, en el campo de comandos, introduzca NWBC.
do) Escoger Entrar.
re) Sobre el SAP NetWeaver Business Client pantalla, seleccione Preparar.
mi) Desplazarse a la acceso propietarios sección.
F) En el acceso propietarios sección, elegir el Los propietarios de Control de Acceso enlazar.
sol) Sobre el propietario de central pantalla, seleccione Crear.
h) Sobre el Propietario de asignación: Nueva pantalla, en el * Propietario campo, introduzca ADM900 - ##.
yo) Pulse ENTER.
j) Selecciona el función propietario y El plomo de seguridad casillas de verificación.
k) Escoger Salvar y elige Cerca.
l) Sobre el propietario de central pantalla, en el Propietario columna, verificar que el ID de usuario (ADM900-
# # ) aparece.

Unidad 4
Ejercicio 8
Los usuarios de provisión con herramientas de control de acceso
Ejemplo de negocios
Usted es un administrador del sistema. Se le ha pedido a la creación y prestación de un usuario mediante herramientas de control de acceso de
GRC.
Nota:
1. Crear una solicitud de acceso en el GRC.
Descripción Mi petición
Razón de la solicitud Formación
tipo de solicitud Nueva cuenta
Solicitud de Otro
Usuario ADMINISTRACIÓN##
Prioridad Baja (Petición de acceso)
2. Añadir el ADM900 * papeles a su solicitud de acceso utilizando los datos de la tabla siguiente.
Campo Valor
Tipo de papel Rol sola
Papel / Nombre del perfil ADM900 *
3. Añadir datos de usuario y los detalles del sistema de usuario a la solicitud de acceso utilizando los datos de la
siguiente tabla.
Campo Valor
Primer nombre Algún valor
Apellido ADMINISTRACIÓN##
Gerente ADM900 - ##
Tipo de usuario Diálogo
Email admin##@sap.com
4. Ver su solicitud de acceso en la bandeja de entrada Trabajo.

6. Repita el paso 5 dos veces.
7. Entre a ZMG cliente 800 y ver los cambios realizados en el usuario ADMIN ##.

Unidad 4
Solución 8
Los usuarios de provisión con herramientas de control de acceso
Ejemplo de negocios
Usted es un administrador del sistema. Se le ha pedido a la creación y prestación de un usuario mediante herramientas de control de acceso de
GRC.
Nota:
1. Crear una solicitud de acceso en el GRC.
Descripción Mi petición
Razón de la solicitud Formación
tipo de solicitud Nueva cuenta
Solicitud de Otro
Usuario ADMINISTRACIÓN##
Prioridad Baja (Petición de acceso)
una) Iniciar sesión en ZMC, el cliente 800, usando su ADM900 - ## ID de usuario ..
do) Escoger Entrar.
re) Sobre el SAP NetWeaver Business Client pantalla, seleccione Gestión de Acceso.
mi) Sobre el Gestión de Acceso pestaña, en el Solicitud de Creación de acceso sección, elegir
Acceso requerido.
F) En el Acceso requerido cuadro de diálogo, introduzca los datos de la tabla.
2. Añadir el ADM900 * papeles a su solicitud de acceso utilizando los datos de la tabla siguiente.
Campo Valor
Tipo de papel Rol sola
Papel / Nombre del perfil ADM900 *
una) En la pantalla de solicitud de acceso, en la pestaña Acceso al usuario, en la tabla,

escoger Añadir → Papel.

segundo) Eliminar todos los criterios de búsqueda, excepto Tipo de papel y Papel / Nombre del perfil.
do) En el Seleccionar funciones cuadro de diálogo, introduzca los datos de la tabla.
re) Escoger Buscar.
mi) Seleccione una o varias funciones y seleccione Añadir ( sola flecha hacia abajo).
3. Añadir datos de usuario y los detalles del sistema de usuario a la solicitud de acceso utilizando los datos de la
siguiente tabla.
Campo Valor
Primer nombre Algún valor
Apellido ADMINISTRACIÓN##
Gerente ADM900 - ##
Email admin##@sap.com
una) Sobre el Acceso requerido pantalla, seleccione la Detalles de usuario lengüeta.
segundo) Sobre el Detalles de usuario pestaña, introduzca los datos de la tabla.
una) Sobre el SAP NetWeaver Business Client pantalla, seleccione Mi hogar.
segundo) Sobre el Mi hogar pantalla, en el Bandeja de entrada de trabajo sección, elegir Trabajar bandeja de entrada.
do) En el Bandeja de entrada de trabajo cuadro de diálogo, elija su solicitud de acceso.
re) Seleccionar Enviar para aprobar y procesar la solicitud.
mi) Número de solicitud _______
una) Sobre el Mi hogar pantalla, en el Bandeja de entrada de trabajo sección, elegir Trabajar bandeja de entrada.
Si no aparece su solicitud, en la parte inferior derecha debajo de la rejilla de elemento de trabajo, haga clic
Refrescar.
segundo) En el Bandeja de entrada de trabajo cuadro de diálogo, elija su solicitud de acceso.
do) Sobre el Acceso requerido cuadro de diálogo, seleccione la Violaciónes de riesgo lengüeta.
re) Escoger Ejecutar Análisis de Riesgos.
mi) En el resultados mesa, ver sus resultados.
F) Escoger Enviar.
sol) Hacer clic Cerca.
6. Repita el paso 5 dos veces.
7. Entre a ZMG cliente 800 y ver los cambios realizados en el usuario ADMIN ##.
una) Iniciar sesión en ZMG con nuestro ID de usuario y contraseña.

segundo) Sobre el SAP Easy Access - Menú del Usuario pantalla, en el campo de comandos, introduzca SU01.
do) Escoger Entrar.
re) En la siguiente pantalla, en el Usuario campo, introduzca ADMINISTRACIÓN##.
mi) Ver el nuevo usuario y las funciones añadidas.


Unidad 4
Ejercicio 9
Ejecutar informes de análisis de riesgos
Ejemplo de negocios
Es necesario determinar si uno de sus subordinados directos o un colega tiene ningún violaciónes de SOD. Puede utilizar Access
Análisis de Riesgos para determinar si hay violaciónes.
1. Ejecutar un informe de análisis de riesgos de nivel de usuario para el usuario de ejemplo ADM900-SOD. Estas mirando
violaciónes de SOD, así como violaciónes acción crítica. El formato del informe debe ser un punto de vista técnico
detallado. Utilizar los datos en la tabla siguiente.
Campo Valor
Sistema ZMGCLNT800
Usuario ADM900-SOD
Conjunto de normas Global
Formato Ver detalle y Técnica
Tipo
● Nivel de acción
● Nivel de permiso
● Acción crítico

Unidad 4
Solución 9
Ejecutar informes de análisis de riesgos
Ejemplo de negocios
Es necesario determinar si uno de sus subordinados directos o un colega tiene ningún violaciónes de SOD. Puede utilizar Access
Análisis de Riesgos para determinar si hay violaciónes.
1. Ejecutar un informe de análisis de riesgos de nivel de usuario para el usuario de ejemplo ADM900-SOD. Estas mirando
violaciónes de SOD, así como violaciónes acción crítica. El formato del informe debe ser un punto de vista técnico
detallado. Utilizar los datos en la tabla siguiente.
Campo Valor
Sistema ZMGCLNT800
Usuario ADM900-SOD
Conjunto de normas Global
Formato Ver detalle y Técnica
Tipo
● Nivel de acción
● Nivel de permiso
● Acción crítico
una) Iniciar sesión en el sistema de GRC (ZMC), el cliente 800 con su ID de usuario ADM900 - ##
do) Escoger Entrar.
re) Sobre el SAP NetWeaver Business Client pantalla, en la barra de herramientas, seleccione Acceso
Administración.
mi) Sobre el Gestión de Acceso pantalla, en el Análisis de Riesgos de acceso sección, elegir Usuario
Nivel.
F) Sobre el Análisis de Riesgos: Nivel de usuario cuadro de diálogo, introduzca los datos de la tabla.
sol) Escoger Ejecute en primer plano.
h) En el Selección múltiple cuadro de diálogo, en el Resultado mesa, ver las violaciónes de separación de tareas y
roles.
yo) Utilice el menú desplegable Tipo para ver los diferentes tipos de resultados.
j) Escoger OKAY.

k) Cierre la ventana del navegador para volver a la SAP NetWeaver Business Client pantalla.

Resumen de la lección
Ahora debería ser capaz de:
● Explicar SAP Gobierno, Riesgo y Cumplimiento 10.x (GRC)

Unidad 4
Lección 3
El uso de SAP Gestión de Identidad
Resumen de la lección
En esta lección, aprenderá acerca del propósito de SAP Gestión de Identidad y cómo utilizarlo para aprovisionar a los usuarios.
OBJETIVOS DE LA LECCIÓN
Después de completar esta lección, usted será capaz de:
● Explicar el propósito de Gestión de Identidad SAP
● Utilice SAP Gestión de Identidad para aprovisionar a los usuarios
Introducción a la administración de identidad
Figura 102: SAP cartera general - Identidad y Administración de Acceso
Propósito de Gestión de Identidad
SAP Gestión de Identidad incluye los siguientes beneficios:
● Gestionar el ciclo de vida del usuario
● Garantizar que las personas adecuadas tengan las autoridades correctas

● Mantener actualizados los datos de identidad en toda la organización
● Establecer la misma contraseña en todas las aplicaciones
● Gestionar todas las identidades de forma centralizada
● Conceder y revocar autorizaciones en aplicaciones
● Sincronizar los datos entre aplicaciones
● Confirman las asignaciones siguen siendo válidos (certificado)
● administrar auditoría
SAP Identidad Introducción a la administración
SAP Gestión de Identidad proporciona las siguientes características
● Habilita la ejecución eficiente, seguro y compatible con los procesos de negocio
● Asegura que los usuarios adecuados tienen el derecho de acceso a los sistemas correctos en el momento adecuado
● Garantiza la coherencia con papeles en todos los sistemas y aplicaciones.
Ciclo de vida del usuario
SAP Gestión de Identidad le permite realizar las siguientes tareas:
● Habilita la ejecución eficiente, seguro y compatible con los procesos de negocio
● Asegura que los usuarios adecuados tienen el derecho de acceso a los sistemas correctos en el momento adecuado
● En consonancia con sus funciones a través de todos los sistemas y aplicaciones
Figura 103: Ciclo de vida del usuario

Lección: El uso de SAP Gestión de Identidad
La figura muestra cómo una identidad se desarrolla a lo largo de su ciclo de vida y demuestra los riesgos potenciales
asociados con la gestión ineficaz de identidades. En el ejemplo mostrado, como Chuck Brown progresa a través de la
empresa, sus permisos y aumenta conjunto de acceso. Todavía tiene algunos de los permisos que ya no están alineados
con su puesto de trabajo y función. Incluso por dimisión, sus permisos están en vigor. Este escenario tiene las siguientes
cuestiones:
● El usuario toma un largo tiempo para ser productivos.
● El usuario tiene que seguir los pasos manuales para obtener acceso.
● El usuario todavía tiene las autorizaciones de los sistemas, porque no hay de-aprovisionamiento de autorizaciones.
Para la dirección central de un paisaje sistema heterogéneo, las empresas todavía necesitan un producto de Gestión de
Identidad de terceros.
La centralización de gestión parcial del usuario
Antes de SAP ofreció el componente SAP Gestión de Identidad, las empresas utilizan Administración de usuarios central (CUA) para
centralizar sus procesos de gestión de usuarios. Sin embargo, CUA sólo se admite en los sistemas basados en ABAP. Para la
interoperabilidad con sistemas Java que utilizan un directorio Lightweight Directory Access Protocol (LDAP) como un almacén de
usuarios y para la integración con aplicaciones que no son de SAP, los usuarios pueden sincronizar con un directorio LDAP usando el
conector ABAP LDAP.
Enfoque holístico de Gestión de Identidad
Figura 104: el enfoque de gestión de identidad holística
Con SAP Gestión de Identidad, SAP ofrece capacidades integradas de gestión de identidades de paisajes heterogéneos
del sistema (SAP y no SAP software), impulsados por los procesos de negocio.
Los componentes clave de SAP Gestión de Identidad son los siguientes:

● almacén de identidades central
El almacén de identidad centro consolida los datos de identidad de diferentes sistemas de origen (por ejemplo, SAP
ERP HCM) y luego distribuye esta información a los sistemas de destino.
● los flujos de trabajo de aprobación
Flujos de trabajo de distribuir la responsabilidad de las tareas de autorización a los propietarios de procesos de negocios y gerentes.
● virtualización de identidad o identidad como un servicio
virtualización de identidad proporciona acceso a los datos dentro de SAP Gestión de Identidad que utilizan los servicios y
protocolos estándar, tales como LDAP.
● la integración de SAP Business Suite
La integración de SAP ERP HCM como uno de los posibles sistemas de fuente de información de identidad es una
funcionalidad clave para que la administración de identidades con el negocio.
● Controles de cumplimiento para GRC
La integración de sistemas heterogéneos con provisión de usuarios Cumple ofrece amplias funciones para
asegurar el cumplimiento y segregación de funciones en el proceso de asignación de funciones y autorización.
● Definición y asignación basada en reglas de negocio de los papeles
Definición y basado en reglas de asignación de roles de negocio le permite definir diferentes conjuntos de reglas para asignar
funciones a los usuarios. Esto significa que la asignación se puede realizar de forma automática, en base a los atributos de la
identidad.
● El seguimiento y auditoría
El seguimiento y auditoría proporciona a los auditores con un lugar central para comprobar las autorizaciones de los empleados en todos los
sistemas. Esta información también está disponible para los antiguos empleados.
● gestión de contraseñas
Un sistema de gestión de contraseñas centralizada reduce las llamadas al servicio de asistencia para el restablecimiento de contraseñas y
permite el aprovisionamiento contraseña a través de un paisaje heterogéneo.
● Distribución de los usuarios y las asignaciones de funciones
Distribución de los usuarios y las asignaciones de funciones se encarga de cuentas de usuario y asignaciones de funciones de las aplicaciones
SAP y no SAP.
Gestión de Identidad es una parte integral de la plataforma tecnológica SAP NetWeaver. Algunas de las funciones de la
administración de identidades incluyen los siguientes:
● Permite una gestión eficiente y segura de la información de identidad.
● Es compatible tanto con SAP-solo y heterogéneos entornos de sistemas.
● Se integra con las aplicaciones de la plataforma y de negocios de SAP NetWeaver.
● Es un complemento de los marcos integrados de seguridad de SAP NetWeaver.

Figura 105: Cumple Identidad y Acceso de Gestión
La figura Cumple Identidad y Administración de Acceso muestra una vista paso a paso del proceso de Gestión de
Identidad Cumple.
1. Desde la interfaz de usuario final para la Gestión de Identidad, el usuario solicita un acceso.
2. La solicitud es aprobada.
3. Después de la aprobación, la solicitud se envía a SAP GRC Access Control.
4. Un análisis de riesgos se realiza en la solicitud de acceso.
5. La solicitud se mitiga, si es necesario.
6. La solicitud se envía de nuevo a la administración de identidades con su estado de riesgo actual.
7. La solicitud se aprovisiona a los sistemas de destino solicitado. Esta provisión se realiza

utilizando los conectores proporcionados por la administración de identidades o por medio de la VDS.
8. Al final de aprovisionamiento se envía una notificación al usuario y su manager.

identidad tienda
Figura 106: Identidad tienda
El almacén de identidad es una base de datos relacional y no un servidor de directorios. El servidor de directorio LDAP está diseñado para el
retorno de pequeñas cantidades de datos. La extracción de información sobre todos los empleados de un servidor de directorio no es óptima, en
comparación con la extracción de información de una base de datos relacional.
Tradicionalmente, los servidores LDAP son lentos para actualizar los datos.
El filtro LDAP es útil en la búsqueda de identidades específicas, pero no puede realizar búsquedas combinadas, tales como uniones
interiores, que se puede hacer en Structured Query Language (SQL). También hay casos en que la Gestión de Identidad (y el
directorio meta) proveedores quieren los clientes el uso de servidor de directorio del proveedor de gestión de identidad única. El
almacén de identidades incluye las siguientes características:
● El almacenamiento dinámico de datos de identidad
● Punto de encuentro para todas las identidades

Figura 107: servicios de identidad
Figura 108: aplicaciones de identidad

SAP Arquitectura de Gestión de Identidad
Figura 109: Gestión de Identidad Descripción de la arquitectura
Base de Datos de Identidad Centro
La base de datos de identidad Centro es el núcleo del producto Gestión de Identidad. La Base de Datos de Identidad Centro contiene
las tablas, vistas, procedimientos almacenados y disparadores para SAP Gestión de Identidad.
Dentro de esta base de datos se almacenan los datos de identidad (Identidad Store), datos de configuración (puestos de trabajo, procesos,
formularios, etc.), los registros, los datos de auditoría, información de delta, el estado y la información de programación.
componentes de tiempo de ejecución
los Transportista, que evalúa los flujos de trabajo de proceso, se inicia el motor de tiempo de ejecución para ejecutar tareas y puestos de trabajo y
gestiona los trabajos de limpieza. El despachador se ejecuta como un servicio en el sistema operativo Windows. los motor de tiempo de ejecución se
crea por el Dispatcher y es responsable de hacer el trabajo de SAP Gestión de Identidad. El tiempo de ejecución del motor se conecta a los
repositorios y sistemas externos. Este motor sólo se ejecuta en Java.
Interfaces de usuario
Hay una interfaz de usuario final que es la interfaz principal para los usuarios y los administradores. Esto proporciona una interfaz web para el
registro y autorizaciones, así como una interfaz de autoservicio. La interfaz de autoservicio permite a los usuarios cambiar sus propios datos
como el número de teléfono y dirección, así como opciones de restablecimiento de contraseña y la posibilidad de solicitar el acceso. Esta
interfaz está basada en Web Dynpro para Java y también está parcialmente disponible en SAP UI5.

los IU de administración puede ser puesto a disposición de los administradores sólo SAP de gestión de identidades y proporciona una interfaz para
administradores para supervisar y actividades de auditoría (tales como el aprovisionamiento), así como gestionar los repositorios y sus constantes.
También hay una API REST proporcionada para los clientes que quieren a medida desarrollado interfaces de usuario. El Developer Studio
se utiliza para la configuración y desarrollo de SAP Gestión de Identidad. El Developer Studio SAP Gestión de Identidad es un plugin para
Eclipse que proporciona soporte multi-plataforma. El Developer Studio se ejecuta cuando se ejecuta Eclipse. El Developer Studio también
tiene la ventaja de permitir a los desarrolladores para llevar a cabo sus tareas sin tener que conocer las credenciales de base de datos o
claves de cifrado. En versiones anteriores, los desarrolladores pueden haber necesitado acceso directo a estas áreas.
El desarrollador de servicios Estudio REST es compartida por varios desarrolladores y puede conectarse a múltiples SAP Gestión de
Identidad DB. El servicio REST no es compatible con el desarrollo personalizado. los Directorio virtual del servidor ( VDS) proporciona
información del servicio de directorio virtualizado, ofreciendo soporte LDAP (cuando se ejecuta independiente) y el apoyo de SPML
(cuando se ejecuta en AS Java). El VDS puede conectarse a varios sistemas externos para que los clientes pueden utilizar el VDS para
proporcionar acceso LDAP / SPML a los datos de base de datos de identidad del Centro. los Utilidad despachador proporciona una interfaz
para los administradores que soporta la gestión de los despachadores. los Utilidad keys.ini proporciona una interfaz para los
administradores que apoya la gestión de la utilidad para administrar las claves de cifrado.
Figura 110: Arquitectura Desarrollo
El desarrollador Estudio de Gestión de Identidad se conecta al servicio Studio Developer SAP Gestión de Identidad que se
ejecutan en SAP NetWeaver AS Java. El Servicio Studio Developer SAP Gestión de Identidad incluye las siguientes
características:
● Utiliza UME para la autenticación

● Se conecta a la base de datos SAP Gestión de Identidad
● Verifica que el usuario está definido en la base de datos SAP Gestión de Identidad
● Verifica todas las peticiones entrantes.
Figura 111: Developer Studio Vistas
Autorización Developer Studio incluye las siguientes características:
● Acceso de usuario basada en UME
● Acceso muy detallada
● Características de desarrollo de entorno
multiusuario incluyen:
● Estado actual de la técnica de la plataforma de desarrollo
● soporte Javascript
● Control de revisión
● ciclo de desarrollo
● Diseño gráfico de flujo de trabajo
● Reutilización del conocimiento del desarrollo
● concepto de paquete de configuración
características de administración Web interfaz de usuario incluyen:
● interfaz de gestión basada en web
● equipos de servicio anidados
● Más facilidad de uso
● Normalización

Utilice el software de gestión de identidad centralizada para reducir el riesgo y gestionar el acceso de usuarios. Que las operaciones funcionen de
manera eficiente y económica al tiempo que protege las aplicaciones y datos. Proporcionar acceso de los usuarios de acuerdo a los roles de
negocio actuales. Administrar contraseñas con capacidades de autoservicio y flujos de trabajo de aprobación. Software de gestión de identidad
proporciona las siguientes características:
● Reduce los costos de soporte y reduce el riesgo con la gestión centralizada de identificación de usuario
● Mejora la productividad con autoservicios tales como el restablecimiento de contraseñas automáticas y en reglas de flujos de trabajo impulsados
● Aumenta la flexibilidad con la funcionalidad basada en estándares que se integra completamente con procesos de la empresa
● Mejora la comprensión y el cumplimiento de la tala y la presentación de informes integrados centralizado
Figura 112: SuccessFactors Conectores
Capacidades del Administrador de SAP de identidad
SAP Identity Manager incluye las siguientes capacidades:
● características de SAP Identity Manager
- soporte del ciclo de vida completo de la identidad
- conector SAP HANA
- Almacén Analytics con SAP Business
- las interfaces de descanso para SAP UI5
● conector SuccessFactors
- Identificar el ciclo de vida para los datos de los empleados de SuccessFactors Employee central

● desarrollo basado en Eclipse
- concepto de autorización
- Armonización de infraestructura de desarrollo
- administración de interfaz de usuario Web
Figura 113: SAP capacidades de gestión de identidad
Con SAP Gestión de Identidad, puede conceder y gestionar el acceso de usuarios a las aplicaciones de forma segura y eficiente,
mientras que el cumplimiento de los requisitos de auditoría y cumplimiento. SAP Gestión de Identidad incluye las siguientes
capacidades:
● soporte del ciclo de vida completo de la identidad
● conector SAP HANA
● servidor de directorio virtual
● / permisos y roles basados en reglas de contexto
● flujos de trabajo centrales para solicitudes de permiso
● Analíticas de SAP Business Warehouse
● Nube simple gestión de identidad (SCIM) de soporte de esquema
● las interfaces de descanso para SAP UI5 en diferentes dispositivos
● infraestructura de conector

Transportista
Figura 114: GUI Dispatcher
La utilidad despachador debe ser ejecutado en el servidor donde está instalado el despachador.
Figura 115: Dispatcher contraseña
En SAP Gestión de Identidad 8, el usuario MxMC_admin sólo se utiliza para tareas administrativas, y no de desarrollo.

Figura 116: Iniciar el Dispatcher
El propósito de la operadora es evaluar las tareas de contenedores y arrancar el motor en tiempo de ejecución cuando las tareas y puestos de trabajo
han de ser ejecutadas.
El despachador se ejecuta como un servicio en cada máquina ejecución de los trabajos. El motor de tiempo de
ejecución despachador tiene las siguientes características:
● Responsable de la ejecución de los trabajos
● Una versión avanzada del motor de tiempo de ejecución
● Los mismos conceptos básicos como de los otros motores de tiempo de
ejecución. Está basado en Microsoft Windows y Java.
Agente evento
El propósito de un agente evento es para reducir la latencia de transferencia de datos.
El agente de eventos detecta cambios en los repositorios mediante el uso de trigger, registros de cambios LDAP y objetos Java.
Los puestos de trabajo de agente horarios de eventos para su ejecución.
Publicar datos de identidad
Un servidor de directorio LDAP se utiliza para publicar los datos de identidad. Los datos de
identidad se publica en las siguientes maneras:
● En el estándar de alambre
Basado en LDAP o Provisioning Services Markup Language (SPML) y publicado por la combinación de todos los
datos juntos.
● Herencia
La política aplicada en el nivel superior se hereda abajo en la jerarquía. Se recomienda el uso de directorio virtual de SAP
para proporcionar LDAP o SPML acceso a la base de datos de IC.

SAP Gestión de Identidad Historia
SAP Gestión de Identidad se inició en 1995 como un proyecto para una gran empresa llamada MaXware AS, que luego fue
adquirida por SAP en 2007. Se llama un servicio adicionado, lo que significa que fue un añadido de un servicio de directorio. El
nombre fue cambiado posteriormente a MDDM (Directorio MaXware Data Manager) y luego a llamarse de nuevo para DSE
(sincronización de datos del motor). El directorio virtual del servidor (VDS) ha tenido una evolución similar. Algunas de las personas
del equipo de desarrollo original MaXware de 1995 todavía están trabajando con el producto.
A finales de la década de 1990, un cliente grande, internacional fue el uso de DSE en un sistema Windows para sincronizar la información
de 130.000 empleados en todo el mundo. El concepto fue introducido a otros proveedores como una solución poco después.
Con los años, el producto no ha dejado de evolucionar. El DSE utiliza archivos de configuración y los registros y Microsoft Access para el
almacenamiento y manipulación de datos. Una solución de base de datos centradas se introdujo el uso de Microsoft SQL Server para
proporcionar una ubicación central para toda la configuración y los archivos de registro. Ahora también se ofrecen soluciones Oracle y DB2.
El despachador se introdujo para controlar la ejecución y se añadió una interfaz de usuario Web (usando PHP). La interfaz de
usuario Web se volvió a escribir cuando Web Dynpro fue adquirida por SAP. Es posible ver algo de la historia del producto y cuando
se utiliza SAP Gestión de Identidad, incluyendo las siguientes:
● Todos los atributos comienzan con MX_ (abreviatura de MaXware).
● Muchos de los archivos comienzan con MX.
● La extensión de archivo al exportar un solo puesto de trabajo es DSE.
Hoy, SAP Gestión de identidad es uno de los sistemas más avanzados y flexibles de gestión de identidades
disponibles.


Unidad 4
Ejercicio 10
Los usuarios de provisión de Gestión de Identidad con SAP
Ejemplo de negocios
Su sistema SAP Gestión de Identidad acaba de ser actualizado con información de identificación de empleado de su compañía. ¿Quieres probar esta
nueva herramienta mediante la actualización de la información de la dirección y el aprovisionamiento de su usuario a un nuevo sistema.
1. Abra una sesión de Citrix e ir a la URL: http: // wdflbmt0620: 50000 / IDM.
2. Seleccione su ID de usuario para realizar cambios en el acceso al usuario.
3. Cambiar la dirección de la compañía de su usuario.
4. Asignar un nuevo sistema a su cuenta.
5. Añadir un nuevo privilegio a su cuenta.
6. Asegúrese de que se les asigna el nuevo sistema y el acceso.
7. Una vez que los nuevos privilegios aparecen en la tabla, inicie una sesión en el cliente ZMG 900 con su usuario.

Manual SAP ADM900 (191-231) .En - Es PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual SAP ADM900 (191-231) .En - Es PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Lección: Al describir GRC de SAP

HR Flujo de Integración de Procesos

Figura 90: HR Flow Integración de Procesos

Control de Acceso SAP e Integración de Gestión de Identidad general

necesidad de conocimientos específicos de cada sistema de TI.

Escenarios de aprovisionamiento de usuarios con la integración de Gestión de Identidad

Escenarios de la administración de identidades compatibles - SAP Control de Acceso

● Control de acceso de aprovisionamiento Driven

- Solicitud creada en Control de Acceso SAP

- El análisis de riesgos y aprobación completada en Control de Acceso SAP

- contenido de SAP se aprovisiona de Control de Acceso SAP

- No SAP información de aprovisionamiento enviado a la administración de identidades para el aprovisionamiento

● Aprovisionamiento-Driven Gestión de Identidad

- Solicitud creada en Gestión de Identidad

© Derecho de Autor. Todos los derechos reservados. 183

- contenido de SAP se aprovisiona de Control de Acceso SAP

- No SAP información de aprovisionamiento se envía a la Gestión de Identidad para el aprovisionamiento

sistemas SAP, y aprovisionado de administración de identidades para sistemas no SAP.

Flujo del proceso de aprovisionamiento GRC-Driven

Figura 91: GRC propulsados ​por flujo de proceso de aprovisionamiento

flujo de proceso de aprovisionamiento GRC-Driven:

2. La solicitud se produce después del proceso de aprobación.

3. análisis de riesgos y remediación de acceso se lleva a cabo en la aplicación de GRC solicitado

4. El aprobador aprueba o rechaza la solicitud. Si la solicitud es aprobada, el acceso a

Aprovisionamiento-Driven Gestión de Identidad

184 © Derecho de Autor. Todos los derechos reservados.

Figura 92: Aprovisionamiento-Driven Gestión de Identidad

Gestión de Identidad propulsados ​por flujo de proceso de aprovisionamiento:

2. La solicitud se produce después del proceso de aprobación de la solicitud de GRC.

3. análisis de riesgos y remediación de acceso se lleva a cabo en la aplicación de GRC solicitado

4. El aprobador aprueba o rechaza la solicitud. Si la solicitud es aprobada, el acceso a

Integración de Control de Procesos

● Integración de separación de tareas

© Derecho de Autor. Todos los derechos reservados. 185

Figura 93: Integración de Procesos

SAP Process Control - Integración de separación de tareas

Figura 94: Integración de separación de tareas

Integración de separación de tareas le permite realizar las siguientes tareas:

SAP para mitigar ese riesgo.

186 © Derecho de Autor. Todos los derechos reservados.

Figura 95: Descripción general: Control de Acceso SAP

Las siguientes funciones de control de acceso de SAP están disponibles:

- Analizar los riesgos de acceso dentro del paisaje.

- Ganar visión completa de todos los riesgos de acceso.

- Reducir el riesgo para el negocio a través de remediación.

● Administrar el acceso y papeles

- Administrar el acceso a los procesos de aprobación compatibles.

- Use auto-aprovisionamiento para diversas aplicaciones.

- Utilice un proceso de aprobación flexible y auditable para garantizar el acceso oportuno.

- opiniones de acceso horario para asegurar el acceso optimizado.

- Utilice las funciones de negocio para hacer negocio de acceso amigable.

● privilegios del monitor

- Supervisar el acceso de emergencia mediante la captura de varios registros de actividad.

- Supervisar el uso de transacciones.

© Derecho de Autor. Todos los derechos reservados. 187

Figura 96: Análisis de Riesgos Acceso

● reduce significativamente el costo de cumplimiento

● Reduce el riesgo con los controles de toda la empresa preventivas

● Reduce el tiempo de cumplimiento a través de la automatización

Acceso Análisis de Riesgos: La Fundación

los componentes de control de acceso.

188 © Derecho de Autor. Todos los derechos reservados.

Figura 97: Gestión de Solicitudes de Acceso

Figura 91: GRC propulsados por flujo de proceso de aprovisionamiento

Gestión de Identidad propulsados por flujo de proceso de aprovisionamiento: