Nowe funkcjonalności w SAP Access Control 12.0
Narzędzia klasy GRC, a dedykowane narzędzie SAP Access Control
W ostatnim czasie jesteśmy świadkami bardzo dynamicznego rozwoju firm i korporacji, co w istocie rzeczy przekłada się również na ożywienie naszej gospodarki. Jednakże każdemu wzrostowi towarzyszy wzmożona czujność na ryzyka, zarówno te zewnętrzne, ale także płynące z wewnątrz organizacji, na które można mieć realny wpływ. Zagrożenia wewnątrz samej firmy wynikają w dużej mierze z rozwoju struktury organizacyjnej oraz coraz szerszych obowiązków niektórych pracowników. Takie ryzyko pozostaje ukryte, ale kiedy się zmaterializuje, może mieć bardzo duży wpływ na działanie organizacji oraz odbić się na finansach przedsiębiorstwa.Aby uzyskać kontrolę nad procesem identyfikacji i rozwiązywania konfliktów oraz uzyskać zgodność z np. ustawą SOX (Sarbanesa-Oxleya) kadry zarządzające decydują się na wdrożenie odpowiedniego narzędzia klasy GRC. Jednym z tego typu rozwiązań jest dedykowane rozwiązanie SAP Access Control.
SAP Access Control – aktualna sytuacja
Już od jakiegoś czasu pojawiały się informacje o nowej wersji SAP GRC, dostępnej dla użytkowników – SAP Access Control 12.0. Zgodnie z informacjami zawartymi w SAP Product Availability Matrix (PAM), jest ona dostępna od marca 2018 roku. Zakończenie okresu wsparcia dla tej wersji zostało zaplanowane na 31.12.2024 r.Jest to bardzo ważna informacja, ponieważ wraz z premierą nowej wersji, SAP Access Control 10.1 przestanie być rozwijany. Firma SAP poprzez SAP Product Availability Matrix (PAM) ogłosiła zaprzestanie wsparcia z końcem 2020 roku dla tej wersji aplikacji.
Od 2021 roku aplikacja oczywiście będzie działać, ale można się spodziewać zmniejszenia częstotliwości nowych Service Packów, SAP Not, a samo wsparcie może być ograniczone.
SAP Access Control 12.0 – co nowego?
Aplikacja SAP Access Control 12.0 zadebiutowała na rynku przynosząc zupełnie nowe funkcjonalności, a oprócz tego poprawione zostało również działanie niektórych funkcji. Najważniejsze zmiany zostały opisane poniżej1:- Nowy wygląd, bazujący na interfejsie Fiori – dzięki nowemu interfejsowi można teraz uzyskać dostęp funkcji SAP AC 12.0 za pomocą Launchpada Fiori, który zwiększa dostępność pakietu dla użytkowników w całej organizacji. Oczywiście przy braku korzystania z aplikacji Fiori można używać dotychczasowego interfejsu
- Odświeżenie interfejsu dla transakcji NWBC – standardowy wygląd oferowany z poziomu transakcji NWBC również został dopasowany do najnowszych zmian w zakresie wyglądu, oferując nowy temat SAP Belize
- Nowy zestaw reguł dla SAP S4/HANA – S4/HANA zmienia dotychczasowy model autoryzacji, więc nowy zestaw reguł skutecznie adresuje tą zmianę
- Rozszerzenie modułu EAM o wsparcie bazy danych HANA
- Uproszczone mechanizmy zarządzania kontrolerami i właścicielami FF ID
- Optymalizacja zadań synchronizacyjnych – w nowej wersji zoptymalizowane działanie niektórych wymagających zadań synchronizacyjnych, które ze względu na ilość przetwarzanych danych zajmują dużo czasu. Usprawniono m. in. synchronizację obiektów repozytorium, dedykowane zadania towarzyszące generowaniu wniosków dla okresowego przeglądu (moduł UAR - User Access Review), czy też synchronizację LDAP.
- Integracja z aplikacjami w chmurze dzięki komponentowi SAP Cloud Identity Access Governance (IAG) / Emergency Access Management dla WebApps
- Integracja z SAP Identity Management
- Integracja z SAP Success Factors (dostępne również w wersji 10.1)
Rozwój aplikacji SAP Access Control 12.0
Z racji kończącego się wsparcia dla wersji SAP Access Control 10.1, to wersja 12.0 będzie aktualnie wspierana i rozwijana. Już na początku oferowała ona sporo nowości, ale od tego czasu, w wyniku rozwoju pojawiło się już kilka kluczowych poprawek, zgrupowanych w Support Packages (SP), najnowszy z nich to SP062. Poniżej opisano jakie nowości w aplikacji zaimplementowano wraz z wydawaniem poszczególnych aktualizacji.12.0 Support Package 013
Kluczowe zmiany oraz nowe funkcjonalności:
- Możliwość generowania ról dla SAP S/4HANA i innych systemów zewnętrznych, przy użyciu hierarchii menu w PFCG
Kluczowe zmiany oraz nowe funkcjonalności:
- Usprawnienie w działaniu HANA/SAML
- Usprawnienie działania logów na wnioskach o dostęp – przy przekazywaniu wniosku do innego użytkownika, w logach było widoczne tylko ID zatwierdzającego. Obecnie jest to pełne imię i nazwisko
- Aplikacja automatycznie inicjuje analizę ryzyka po każdym kroku zatwierdzenia w przepływie pracy żądania dostępu. Eliminuje to konieczność ręcznego uruchamiania analizy ryzyka przez zatwierdzającego
- Możliwość dodania składającego wnioski, jako otrzymującego kopię wiadomości (DW bądź CC) dla modułu ARM
Kluczowe zmiany oraz nowe funkcjonalności:
- Wdrożono funkcję, która umożliwia przeglądanie uprawnień konkretnych użytkowników dla wniosków dotyczących okresowego przeglądu uprawnień (moduł UAR) – tzw. generowanie wniosku dla konkretnego użytkownika. Dla tej funkcji wprowadzono nowy parametr konfiguracyjny
- W systemie SAP SuccessFactors można teraz synchronizować i zmapować użytkowników, nawet jeśli ID użytkownika jest różne od ID użytkownika w systemie SAP. W tym celu wprowadzono nowy parametr konfiguracyjny 1055
- Parametr konfiguracyjnego 1051 został zaktualizowany (dot. maksymalnej liczby obiektów analizowanych podczas analiz SoD dla użytkowników, ról i profili)
- Usprawnienie działania analizy ryzyka. W starszych wersjach aplikacji konieczne było ręczne uruchomienie analizy ryzyka. Obecnie została włączona automatyczna analiza ryzyka w tle, przy zatwierdzaniu wniosku
- Usprawnienie działania logów na wnioskach UAR (okresowego przeglądu dostępu) – przy przekazywaniu wniosku do innego użytkownika, w logach było widoczne tylko ID zatwierdzającego. Obecnie jest to pełne imię i nazwisko. Ma to na celu zwiększenie dokładności i dostarczenie dodatkowych informacji na temat osób zatwierdzających w żądaniach UAR
- Rozszerzenie działania modułu EAM – w starszych wersjach używanie kont FFID było ograniczone do systemów ABAP. Teraz rozszerzono możliwości używania kont FFID, również na aplikacje webowe, pod pewnymi warunkami
Kluczowe zmiany oraz nowe funkcjonalności:
- Integracja ról między SAP Identity Management oraz SAP Access Control - wcześniej nie był dostępny żaden mechanizm integracji ról biznesowych między SAP Identity Management a SAP Access Control. SAP Access Control udostępnia teraz koncepcję roli biznesowej, która umożliwia eksport definicji technicznych roli z SAP Identity Management do SAP Access Control i import uproszczonych definicji ról biznesowych z SAP Access Control do SAP Identity Management
- Usprawnienie działania raportu użycia transakcji
- Usprawnienia w logach wniosków o dostęp – dodano informacje odnośnie złożenia wniosku o przypisanie kontroli mitygującej. Ponadto na wnioskach o kontrole mitygujące są także widoczne numery wniosków o dostęp (w formie linku). Dzięki tym informacjom ułatwiono uzyskanie kontroli nad procesem wnioskowania o dostęp oraz przypisywania mitygacji
Kluczowe zmiany oraz nowe funkcjonalności
- Usprawnienie w module EAM: dodano połączenie między wnioskiem o dostęp do konta FFID oraz wnioskiem z logami FF. Podczas przeglądania logów FF widoczna jest informacja o powiązany wniosku o dostęp do konta FFID
- Możliwość przeprowadzenia asynchronicznej analizy ryzyka podczas zatwierdzania wniosków
- Synchronizacja użycia transakcji pozwala teraz na rejestrowanie uruchamianych komponentów Web-Dynpro oraz aplikacji BSP
- Dostęp do raportów sprawdzających status implementacji pluginu HANA oraz pozwalających rozwiązać podstawowe problemy instalacyjne
- Ograniczono widoczność pośrednich przypisań na wnioskach o dostęp (np. role pojedyncze będące elementem roli zbiorczej), a co za tym idzie zatwierdzający nie może podejmować dla nich decyzji
- Możliwość używania kont FFID dla pluginu HANA i logowania się do interfejsu WebIDE z limitem czasowym. Umożliwia to skonfigurowanie czasu, po jakim logowanie zostanie przerwane
- Uniwersalne interfejsy BAdi pozwalające konfigurować kolejność wykonywania zadań synchronizacyjnych. Zmiany te mogą zostać wprowadzone dla następujących zadań synchronizacyjnych: synchronizacja danych podstawowych EAM, synchronizacja logów FF, synchronizacja użycia roli, synchronizacja użycia autoryzacji, synchronizacja użycia transakcji oraz synchronizacja obiektu repozytorium
- Synchronizacja użycia roli może być uruchamiana zarówno w trybie pełnym, jak i przyrostowym
- Możliwość przypisywania profili do ról biznesowych i zarządzania ich przypisywaniem poprzez wnioski o dostęp
- Aktualizacja parametru konfiguracyjnego 2063 – w zależności od ustawienia, zatwierdzone lub odrzucone elementy będą widoczne z poziomu logów dla wniosków dotyczących okresowego przeglądu
Kluczowe nowości z perspektywy użytkowników biznesowych
Widać wyraźnie jak wiele nowości przyniosła nowa wersja. Są to zarówno usprawnienia techniczne, ale niektóre z nich są kluczowe dla użytkowników biznesowych. Pierwszą zmianą, która jest widoczna zaraz po uruchomieniu aplikacji jest nowy wygląd interfejsu. Od wersji 12.0 Access Control jest dostępny poprzez przeglądarkę w nowym motywie, nazywanym Belize. Aplikacja zyskała bardziej nowoczesny wygląd, sam interfejs działa responsywnie, a korzystanie z niej stało się bardziej intuicyjne.Jeżeli chodzi o kwestie funkcjonalne, to duże zmiany zachodzą w module EAM. Rozszerzono przede wszystkim możliwość używania kont Firefighter również na aplikacjach webowych. W starej wersji dozwolona była jedynie rejestracja pracy na systemach ABAP, natomiast od wersji 12.0 działania, które są dokonywane na kontach FFID w ramach aplikacji WebGUI (np. Fiori, NWBC) będą rejestrowane i odkładane w logach.
Same logi Firefighter usprawniono również o jedną nowość – dodano informację, jakim wnioskiem nadano dostęp do tego konta awaryjnego. Aktualnie kontroler, mając dostęp do funkcjonalności wyszukiwania wniosków, podczas przeglądania logów może sprawdzić szczegóły wniosku o dostęp do konta FireFighter, m.in. kto był wnioskującym i kiedy wniosek został zatwierdzony.
Kolejne nowości pojawiają się przede wszystkim na wnioskach o dostęp. Uzupełniono logi o informacje odnośnie złożenia wniosku o przypisanie kontroli mitygującej. Wyobraźmy sobie taką sytuację: użytkownik posiada ryzyka rozdziału obowiązków (SoD) na wniosku. Zatwierdzający chce sprawdzić, czy podjęto działania w celu przypisania kontroli mitygującej. Zamiast samodzielnie szukać odpowiedniego wniosku i tracić cenny czas, wystarczy że otworzy log dla wniosku o dostęp. W logu tym znajduje się informacja o wniosku o przypisanie kontroli mitygującej. Z poziomu wyszukiwania wniosku możliwe jest uzyskanie informacji o tym, czy wniosek o przypisanie kontroli został już zatwierdzony, lub u jakiego użytkownika oczekuje na zatwierdzenie. Powiązanie to jest również widoczne na wnioskach o kontrolę mitygującą.
Kolejne nowości pojawiają się przede wszystkim na wnioskach o dostęp. Uzupełniono logi o informacje odnośnie złożenia wniosku o przypisanie kontroli mitygującej. Wyobraźmy sobie taką sytuację: użytkownik posiada ryzyka rozdziału obowiązków (SoD) na wniosku. Zatwierdzający chce sprawdzić, czy podjęto działania w celu przypisania kontroli mitygującej. Zamiast samodzielnie szukać odpowiedniego wniosku i tracić cenny czas, wystarczy że otworzy log dla wniosku o dostęp. W logu tym znajduje się informacja o wniosku o przypisanie kontroli mitygującej. Z poziomu wyszukiwania wniosku możliwe jest uzyskanie informacji o tym, czy wniosek o przypisanie kontroli został już zatwierdzony, lub u jakiego użytkownika oczekuje na zatwierdzenie. Powiązanie to jest również widoczne na wnioskach o kontrolę mitygującą.
Mówiąc o wnioskach o dostęp należy wspomnieć o jeszcze jednej nowości, jaką jest ograniczenie widoczności pośrednich przypisań na wniosku. Obecnie zatwierdzający nie widzi takich pozycji, a co za tym idzie, nie może podjąć dla nich decyzji. Jest to ważne, ponieważ w starszej wersji mogła zdarzyć się sytuacja, w której zatwierdzający zaakceptował rolę, która wynikała z przypisania roli zbiorczej przeznaczonej do usunięcia, co mogło generować problemy.
Ostatnią ważną z perspektywy użytkowników nowością jest usprawnienie działania logów na wnioskach UAR, czyli przeglądu okresowego użytkowników. W starszej wersji aplikacji była widoczna informacja tylko o loginie użytkownika. Obecnie podczas przekazywania wniosków UAR mamy pełną informacje o imieniu i nazwisku. Ułatwia to audyt i dostarcza dodatkowe informacje na temat osób, które zatwierdzają wnioski UAR (przeglądu okresowego).
Ostatnią ważną z perspektywy użytkowników nowością jest usprawnienie działania logów na wnioskach UAR, czyli przeglądu okresowego użytkowników. W starszej wersji aplikacji była widoczna informacja tylko o loginie użytkownika. Obecnie podczas przekazywania wniosków UAR mamy pełną informacje o imieniu i nazwisku. Ułatwia to audyt i dostarcza dodatkowe informacje na temat osób, które zatwierdzają wnioski UAR (przeglądu okresowego).
Co wybrać?
Od debiutu najnowszej wersji aplikacji wydano już sporo poprawek i aktualizacji, co z pewnością nie pozostanie bez znaczenia przy wyborze wersji SAP Access Control. Jednak zastanawiając się nad wyborem wersji aplikacji, kluczowy wydaje się być okres wsparcia. Ten kończy się dla wersji 10.1 wraz z rokiem 2020, co nie przemawia za wyborem tej aplikacji. Dlatego optymalnym rozwiązaniem jest wybór najnowszej wersji, a naturalną drogą dla firm pracujących już z wersją 10.1 – migracja do wersji 12.0. Warto to zrobić z wyprzedzeniem, żeby uniknąć problemów z brakiem wsparcia. W przypadku jakichkolwiek pytań zapraszamy do kontaktu.______________________________________________
1SAP Note 2638578 - What's new in GRC Access Control 12.0
2https://help.sap.com/viewer/product/SAP_ACCESS_CONTROL/12.0.06/en-US
3SAP Note 2622112 - Access Control 12.0 Support Package 01 - Master Note
4SAP Note 2697630 - Access Control 12.0 Support Package 03 - Master Note
5SAP Note 2737402 - Access Control 12.0 Support Package 04 - Master Note
6SAP Note 2767065 - Access Control 12.0 Support Package 05 - Master Note
7SAP Note 2832258 - SAP Access Control 12.0 SP06 Release Information Note
O Autorze
Mateusz JanikKonsultant w Dziale Usług Doradczych, GRC Advisory
Konsultant GRC posiadający na swoim koncie udział we wdrożeniach systemu SAP Access Control dla zróżnicowanych firm, od takich o średniej wielkości, aż po przedsiębiorstwa zatrudniające ponad 2000 użytkowników.