Nowe funkcjonalności w SAP Access Control 12.0

11 lutego 2020

Narzędzia klasy GRC, a dedykowane narzędzie SAP Access Control
W ostatnim czasie jesteśmy świadkami bardzo dynamicznego rozwoju firm i korporacji, co w istocie rzeczy przekłada się również na ożywienie naszej gospodarki. Jednakże każdemu wzrostowi towarzyszy wzmożona czujność na ryzyka, zarówno te zewnętrzne, ale także płynące z wewnątrz organizacji, na które można mieć realny wpływ. Zagrożenia wewnątrz samej firmy wynikają w dużej mierze z rozwoju struktury organizacyjnej oraz coraz szerszych obowiązków niektórych pracowników. Takie ryzyko pozostaje ukryte, ale kiedy się zmaterializuje, może mieć bardzo duży wpływ na działanie organizacji oraz odbić się na finansach przedsiębiorstwa.

Aby uzyskać kontrolę nad procesem identyfikacji i rozwiązywania konfliktów oraz uzyskać zgodność z np. ustawą SOX (Sarbanesa-Oxleya) kadry zarządzające decydują się na wdrożenie odpowiedniego narzędzia klasy GRC. Jednym z tego typu rozwiązań jest dedykowane rozwiązanie SAP Access Control.

SAP Access Control – aktualna sytuacja
Już od jakiegoś czasu pojawiały się informacje o nowej wersji SAP GRC, dostępnej dla użytkowników – SAP Access Control 12.0. Zgodnie z informacjami zawartymi w SAP Product Availability Matrix (PAM), jest ona dostępna od marca 2018 roku. Zakończenie okresu wsparcia dla tej wersji zostało zaplanowane na 31.12.2024 r.

Jest to bardzo ważna informacja, ponieważ wraz z premierą nowej wersji, SAP Access Control 10.1 przestanie być rozwijany. Firma SAP poprzez SAP Product Availability Matrix (PAM) ogłosiła zaprzestanie wsparcia z końcem 2020 roku dla tej wersji aplikacji.

Od 2021 roku aplikacja oczywiście będzie działać, ale można się spodziewać zmniejszenia częstotliwości nowych Service Packów, SAP Not, a samo wsparcie może być ograniczone.

SAP Access Control 12.0 – co nowego?
Aplikacja SAP Access Control 12.0 zadebiutowała na rynku przynosząc zupełnie nowe funkcjonalności, a oprócz tego poprawione zostało również działanie niektórych funkcji. Najważniejsze zmiany zostały opisane poniżej¹:

Nowy wygląd, bazujący na interfejsie Fiori – dzięki nowemu interfejsowi można teraz uzyskać dostęp funkcji SAP AC 12.0 za pomocą Launchpada Fiori, który zwiększa dostępność pakietu dla użytkowników w całej organizacji. Oczywiście przy braku korzystania z aplikacji Fiori można używać dotychczasowego interfejsu
Odświeżenie interfejsu dla transakcji NWBC – standardowy wygląd oferowany z poziomu transakcji NWBC również został dopasowany do najnowszych zmian w zakresie wyglądu, oferując nowy temat SAP Belize
Nowy zestaw reguł dla SAP S4/HANA – S4/HANA zmienia dotychczasowy model autoryzacji, więc nowy zestaw reguł skutecznie adresuje tą zmianę
Rozszerzenie modułu EAM o wsparcie bazy danych HANA
Uproszczone mechanizmy zarządzania kontrolerami i właścicielami FF ID
Optymalizacja zadań synchronizacyjnych – w nowej wersji zoptymalizowane działanie niektórych wymagających zadań synchronizacyjnych, które ze względu na ilość przetwarzanych danych zajmują dużo czasu. Usprawniono m. in. synchronizację obiektów repozytorium, dedykowane zadania towarzyszące generowaniu wniosków dla okresowego przeglądu (moduł UAR - User Access Review), czy też synchronizację LDAP.
Integracja z aplikacjami w chmurze dzięki komponentowi SAP Cloud Identity Access Governance (IAG) / Emergency Access Management dla WebApps
Integracja z SAP Identity Management
Integracja z SAP Success Factors (dostępne również w wersji 10.1)

Rozwój aplikacji SAP Access Control 12.0
Z racji kończącego się wsparcia dla wersji SAP Access Control 10.1, to wersja 12.0 będzie aktualnie wspierana i rozwijana. Już na początku oferowała ona sporo nowości, ale od tego czasu, w wyniku rozwoju pojawiło się już kilka kluczowych poprawek, zgrupowanych w Support Packages (SP), najnowszy z nich to SP06². Poniżej opisano jakie nowości w aplikacji zaimplementowano wraz z wydawaniem poszczególnych aktualizacji.

12.0 Support Package 01³
Kluczowe zmiany oraz nowe funkcjonalności:

Możliwość generowania ról dla SAP S/4HANA i innych systemów zewnętrznych, przy użyciu hierarchii menu w PFCG

12.0 Support Package 03⁴
Kluczowe zmiany oraz nowe funkcjonalności:

Usprawnienie w działaniu HANA/SAML
Usprawnienie działania logów na wnioskach o dostęp – przy przekazywaniu wniosku do innego użytkownika, w logach było widoczne tylko ID zatwierdzającego. Obecnie jest to pełne imię i nazwisko
Aplikacja automatycznie inicjuje analizę ryzyka po każdym kroku zatwierdzenia w przepływie pracy żądania dostępu. Eliminuje to konieczność ręcznego uruchamiania analizy ryzyka przez zatwierdzającego
Możliwość dodania składającego wnioski, jako otrzymującego kopię wiadomości (DW bądź CC) dla modułu ARM

12.0 Support Package 04⁵
Kluczowe zmiany oraz nowe funkcjonalności:

Wdrożono funkcję, która umożliwia przeglądanie uprawnień konkretnych użytkowników dla wniosków dotyczących okresowego przeglądu uprawnień (moduł UAR) – tzw. generowanie wniosku dla konkretnego użytkownika. Dla tej funkcji wprowadzono nowy parametr konfiguracyjny
W systemie SAP SuccessFactors można teraz synchronizować i zmapować użytkowników, nawet jeśli ID użytkownika jest różne od ID użytkownika w systemie SAP. W tym celu wprowadzono nowy parametr konfiguracyjny 1055
Parametr konfiguracyjnego 1051 został zaktualizowany (dot. maksymalnej liczby obiektów analizowanych podczas analiz SoD dla użytkowników, ról i profili)
Usprawnienie działania analizy ryzyka. W starszych wersjach aplikacji konieczne było ręczne uruchomienie analizy ryzyka. Obecnie została włączona automatyczna analiza ryzyka w tle, przy zatwierdzaniu wniosku
Usprawnienie działania logów na wnioskach UAR (okresowego przeglądu dostępu) – przy przekazywaniu wniosku do innego użytkownika, w logach było widoczne tylko ID zatwierdzającego. Obecnie jest to pełne imię i nazwisko. Ma to na celu zwiększenie dokładności i dostarczenie dodatkowych informacji na temat osób zatwierdzających w żądaniach UAR
Rozszerzenie działania modułu EAM – w starszych wersjach używanie kont FFID było ograniczone do systemów ABAP. Teraz rozszerzono możliwości używania kont FFID, również na aplikacje webowe, pod pewnymi warunkami

12.0 Support Package 05⁶
Kluczowe zmiany oraz nowe funkcjonalności:

Integracja ról między SAP Identity Management oraz SAP Access Control - wcześniej nie był dostępny żaden mechanizm integracji ról biznesowych między SAP Identity Management a SAP Access Control. SAP Access Control udostępnia teraz koncepcję roli biznesowej, która umożliwia eksport definicji technicznych roli z SAP Identity Management do SAP Access Control i import uproszczonych definicji ról biznesowych z SAP Access Control do SAP Identity Management
Usprawnienie działania raportu użycia transakcji
Usprawnienia w logach wniosków o dostęp – dodano informacje odnośnie złożenia wniosku o przypisanie kontroli mitygującej. Ponadto na wnioskach o kontrole mitygujące są także widoczne numery wniosków o dostęp (w formie linku). Dzięki tym informacjom ułatwiono uzyskanie kontroli nad procesem wnioskowania o dostęp oraz przypisywania mitygacji

12.0 Support Package 06⁷
Kluczowe zmiany oraz nowe funkcjonalności

Usprawnienie w module EAM: dodano połączenie między wnioskiem o dostęp do konta FFID oraz wnioskiem z logami FF. Podczas przeglądania logów FF widoczna jest informacja o powiązany wniosku o dostęp do konta FFID
Możliwość przeprowadzenia asynchronicznej analizy ryzyka podczas zatwierdzania wniosków
Synchronizacja użycia transakcji pozwala teraz na rejestrowanie uruchamianych komponentów Web-Dynpro oraz aplikacji BSP
Dostęp do raportów sprawdzających status implementacji pluginu HANA oraz pozwalających rozwiązać podstawowe problemy instalacyjne
Ograniczono widoczność pośrednich przypisań na wnioskach o dostęp (np. role pojedyncze będące elementem roli zbiorczej), a co za tym idzie zatwierdzający nie może podejmować dla nich decyzji
Możliwość używania kont FFID dla pluginu HANA i logowania się do interfejsu WebIDE z limitem czasowym. Umożliwia to skonfigurowanie czasu, po jakim logowanie zostanie przerwane
Uniwersalne interfejsy BAdi pozwalające konfigurować kolejność wykonywania zadań synchronizacyjnych. Zmiany te mogą zostać wprowadzone dla następujących zadań synchronizacyjnych: synchronizacja danych podstawowych EAM, synchronizacja logów FF, synchronizacja użycia roli, synchronizacja użycia autoryzacji, synchronizacja użycia transakcji oraz synchronizacja obiektu repozytorium
Synchronizacja użycia roli może być uruchamiana zarówno w trybie pełnym, jak i przyrostowym
Możliwość przypisywania profili do ról biznesowych i zarządzania ich przypisywaniem poprzez wnioski o dostęp
Aktualizacja parametru konfiguracyjnego 2063 – w zależności od ustawienia, zatwierdzone lub odrzucone elementy będą widoczne z poziomu logów dla wniosków dotyczących okresowego przeglądu

Firma SAP cały czas pracuje nad rozwojem aplikacji Access Control 12.0. Świadczą o tym opisane wyżej poprawki oraz fakt, że aktualnie trwają pracę nad 12.0 Support Package 07, o czym informuje SAP Note 2833153.

Kluczowe nowości z perspektywy użytkowników biznesowych
Widać wyraźnie jak wiele nowości przyniosła nowa wersja. Są to zarówno usprawnienia techniczne, ale niektóre z nich są kluczowe dla użytkowników biznesowych. Pierwszą zmianą, która jest widoczna zaraz po uruchomieniu aplikacji jest nowy wygląd interfejsu. Od wersji 12.0 Access Control jest dostępny poprzez przeglądarkę w nowym motywie, nazywanym Belize. Aplikacja zyskała bardziej nowoczesny wygląd, sam interfejs działa responsywnie, a korzystanie z niej stało się bardziej intuicyjne.

Jeżeli chodzi o kwestie funkcjonalne, to duże zmiany zachodzą w module EAM. Rozszerzono przede wszystkim możliwość używania kont Firefighter również na aplikacjach webowych. W starej wersji dozwolona była jedynie rejestracja pracy na systemach ABAP, natomiast od wersji 12.0 działania, które są dokonywane na kontach FFID w ramach aplikacji WebGUI (np. Fiori, NWBC) będą rejestrowane i odkładane w logach.

Same logi Firefighter usprawniono również o jedną nowość – dodano informację, jakim wnioskiem nadano dostęp do tego konta awaryjnego. Aktualnie kontroler, mając dostęp do funkcjonalności wyszukiwania wniosków, podczas przeglądania logów może sprawdzić szczegóły wniosku o dostęp do konta FireFighter, m.in. kto był wnioskującym i kiedy wniosek został zatwierdzony.

Kolejne nowości pojawiają się przede wszystkim na wnioskach o dostęp. Uzupełniono logi o informacje odnośnie złożenia wniosku o przypisanie kontroli mitygującej. Wyobraźmy sobie taką sytuację: użytkownik posiada ryzyka rozdziału obowiązków (SoD) na wniosku. Zatwierdzający chce sprawdzić, czy podjęto działania w celu przypisania kontroli mitygującej. Zamiast samodzielnie szukać odpowiedniego wniosku i tracić cenny czas, wystarczy że otworzy log dla wniosku o dostęp. W logu tym znajduje się informacja o wniosku o przypisanie kontroli mitygującej. Z poziomu wyszukiwania wniosku możliwe jest uzyskanie informacji o tym, czy wniosek o przypisanie kontroli został już zatwierdzony, lub u jakiego użytkownika oczekuje na zatwierdzenie. Powiązanie to jest również widoczne na wnioskach o kontrolę mitygującą.

Mówiąc o wnioskach o dostęp należy wspomnieć o jeszcze jednej nowości, jaką jest ograniczenie widoczności pośrednich przypisań na wniosku. Obecnie zatwierdzający nie widzi takich pozycji, a co za tym idzie, nie może podjąć dla nich decyzji. Jest to ważne, ponieważ w starszej wersji mogła zdarzyć się sytuacja, w której zatwierdzający zaakceptował rolę, która wynikała z przypisania roli zbiorczej przeznaczonej do usunięcia, co mogło generować problemy.

Ostatnią ważną z perspektywy użytkowników nowością jest usprawnienie działania logów na wnioskach UAR, czyli przeglądu okresowego użytkowników. W starszej wersji aplikacji była widoczna informacja tylko o loginie użytkownika. Obecnie podczas przekazywania wniosków UAR mamy pełną informacje o imieniu i nazwisku. Ułatwia to audyt i dostarcza dodatkowe informacje na temat osób, które zatwierdzają wnioski UAR (przeglądu okresowego).

Co wybrać?
Od debiutu najnowszej wersji aplikacji wydano już sporo poprawek i aktualizacji, co z pewnością nie pozostanie bez znaczenia przy wyborze wersji SAP Access Control. Jednak zastanawiając się nad wyborem wersji aplikacji, kluczowy wydaje się być okres wsparcia. Ten kończy się dla wersji 10.1 wraz z rokiem 2020, co nie przemawia za wyborem tej aplikacji. Dlatego optymalnym rozwiązaniem jest wybór najnowszej wersji, a naturalną drogą dla firm pracujących już z wersją 10.1 – migracja do wersji 12.0. Warto to zrobić z wyprzedzeniem, żeby uniknąć problemów z brakiem wsparcia. W przypadku jakichkolwiek pytań zapraszamy do kontaktu.

______________________________________________
¹SAP Note 2638578 - What's new in GRC Access Control 12.0
²https://help.sap.com/viewer/product/SAP_ACCESS_CONTROL/12.0.06/en-US
³SAP Note 2622112 - Access Control 12.0 Support Package 01 - Master Note
⁴SAP Note 2697630 - Access Control 12.0 Support Package 03 - Master Note
⁵SAP Note 2737402 - Access Control 12.0 Support Package 04 - Master Note
⁶SAP Note 2767065 - Access Control 12.0 Support Package 05 - Master Note
⁷SAP Note 2832258 - SAP Access Control 12.0 SP06 Release Information Note

O Autorze

Mateusz Janik
Konsultant w Dziale Usług Doradczych, GRC Advisory
Konsultant GRC posiadający na swoim koncie udział we wdrożeniach systemu SAP Access Control dla zróżnicowanych firm, od takich o średniej wielkości, aż po przedsiębiorstwa zatrudniające ponad 2000 użytkowników.

Nowe funkcjonalności w SAP Access Control 12.0

Narzędzia klasy GRC, a dedykowane narzędzie SAP Access Control

SAP Access Control – aktualna sytuacja

SAP Access Control 12.0 – co nowego?

Rozwój aplikacji SAP Access Control 12.0

Kluczowe nowości z perspektywy użytkowników biznesowych

Co wybrać?

O Autorze

Related posts

Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Cześć #2/5 – Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?

GRC Advisory zostało oficjalnie złotym partnerem SAP

Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Część #1/5 – Wyzwanie dla kontroli mitygujących.