Оптимизация интеграции приложений за счет выполнения анализа и корректировки рисков для SAP NetWeaver Portal

31 марта 2010 |

Эта статья содержит описание веб-интерфейса SAP NetWeaver Portal, предоставляющего пользователям безопасный доступ к широкому набору приложений SAP, а также внешним системам, информации и услугам, таким как SAP ERP, данные аналитики, приложения бизнес-информации и аналитики, репозитарии документов. Разнообразие содержимого, открытого пользователям через SAP NetWeaver Portal, сопряжено с рисками, которые связаны с полномочиями доступа пользователей. Эти риски требуют особого внимания, контроля и корректировки. Автор предлагает методику интеграции SAP NetWeaver Portal и SAP BusinessObjects Access Control 5.3 для анализа и корректировки рисков.

Ключевое понятие

В пакете с SAP BusinessObjects Access Control 5.3 поставляется Java-компонент, в составе которого находится агент реального времени SAP NetWeaver Portal с названием Enterprise Portal Real-Time-Agent (EPRTA), который необходимо установить на сервере портала. Агент EPRTA (название в документации по SAP BusinessObjects) обеспечивает взаимодействие между сервером SAP BusinessObjects Access Control и установленным SAP NetWeaver Portal 7.0 с пакетом поддержки 12 или выше, для целей анализа рисков в реальном времени и соответствующего назначения пользователей. Доступ к содержимому портала осуществляется через iView, каждый из которых представляет собой элементарную единицу интерфейса пользователя портала. Доступ к iView предоставляется пользователям и группам портала посредством ролей портала. Кроме того, портал функционирует на базе сервера SAP NetWeaver Application Server Java, в котором для хранения данных пользователей предусмотрен механизм управления пользователями – User Management Engine (UME).

В SAP NetWeaver Portal реализован универсальный путь доступа к приложениям SAP и внешним системам, а также пользовательским и прежним приложениям. При этом доступ пользователей к приложениям обеспечивается посредством функций Single Sign-On (SSO) и доступа на основе ролей. С точки зрения GRC, при этом возникают как дополнительные риски, так и возможности более эффективного контроля.

С одной стороны, доступ к широкому списку приложений подразумевает возможность раскрытия конфиденциальных данных и возникновения других проблем с разделением полномочий (Segregation of Duties, SoD), которые являются следствием использования небольших веб-приложений недостаточного освещенных в отчетах по рискам и не включенных в настройки отчетности.

С другой стороны, агент Enterprise Portal Real-Time-Agent (EPRTA) позволяет относительно просто добавить такие приложения в программу анализа и корректировки рисков. Такая возможность появляется в том случае, если в рассматриваемом приложении реализована не слишком изощренная концепция полномочий, которую пришлось бы учитывать в процессе анализа рисков. Агент EPRTA обеспечивает отчетность только по доступу к iView и операциям User Management Engine (UME), которые явились причиной возникновения рисков, связанных с разделением полномочий и критичными операциями. Подробная информация относительно функционирования приложений в этих iView не предоставляется. Например, если в iView содержатся SAP-приложения, защита которых обеспечивается на основе концепции полномочий ABAP в бэкэнд-системах SAP, то добавление второго уровня анализа рисков к уровню iView в SAP NetWeaver Portal имеет мало смысла. Вместо этого такие приложения следует включать в анализ рисков, выполняемый непосредственно с этими бэкэнд-системами SAP.

Итак, агент EPRTA позволяет реализовать следующие преимущества:

простая интеграция широкого круга веб-приложений в анализ рисков;
корректировка рисков для этих приложений;
упрощение подготовки отчетов по доступу для критичных ролей портала, таким как роли супер-администраторов, администраторов пользователей и администраторов содержимого;
отчетность в реальном времени посредством стандартных функций отчетности SAP BusinessObjects Access Control, знакомых группам внутреннего контроля и безопасности.

Оформите подписку sappro и получите полный доступ к материалам SAPPRO

У вас уже есть подписка?

Войти