Stres i ryzyko

Użytkownicy zazwyczaj wykorzystują wiele aplikacji informatycznych, wymagających logowania. Każda z nich ma zwykle inne okno uwierzytelniania i wymaga podania innego ID użytkownika i hasła. Zabiera to czas, zakłóca rytm pracy i przysparza stresu.

Często pracownicy „przytłoczeni” ilością haseł do zapamiętania, zapisują je na karteczkach, umieszczając w różnych miejscach (np. przyklejając pod klawiaturą). Inni „dla wygody” ustalają sobie takie samo hasło do wszystkich aplikacji.

Zagraża to bezpieczeństwu danych i naraża na spore ryzyko dostępu do danych przez nieuprawnione osoby.

Upiorna administracja

Administratorzy zarządzają kontami użytkowników dla każdego systemu z osobna – co przy złożonym pejzażu systemów jest dużym problemem. Co więcej, muszą to robić w sposób skoordynowany, by zapewniona była integralność systemów i zgodność z polityką bezpieczeństwa.

Przy dużej liczbie użytkowników, administratorzy są zmuszeni dokonywać zmian w systemie uprawnień nawet kilka razy dziennie. Powodów jest mnóstwo – fluktuacja kadr, zmiany w zakresie obowiązków. Wspomnijmy też zwykłe zapominalstwo użytkowników – wymagające interwencji administratora: usunięcia starego hasła i ustalenia w to miejsce nowego.

W przypadku krytycznych dla firmy systemów (jak ERP) zmiany w systemie uprawnień są wręcz koniecznością i winny być dokonywane w z góry zaplanowanych, stałych interwałach czasowych.

Rezultatem tych wszystkich operacji są rosnące koszty związane ze wsparciem i administracją systemów. Każda czynność administracyjna zabiera czas, który przekłada się na pieniądz.

Raz a dobrze

Rozwiązaniem jest wspierana przez SAP NetWeaver Portal (dawniej SAP Enterprise Portal) koncepcja Single Sign On (SSO), zapewniająca koordynację i integrację rożnych systemów, do których użytkownik powinien mieć dostęp.

Zastosowanie tej usługi powoduje, że użytkownik portalu może pracować równocześnie z wieloma systemami, bez potrzeby logowania się do każdego z nich z osobna. Wystarczy, że pracownik po przyjściu do pracy włączy komputer i zaloguje się do portalu, a uzyska automatycznie dostęp do wszystkich potrzebnych aplikacji, bez potrzeby ponownego uwierzytelniania.

Jedyne, co jest mu potrzebne, to ID użytkownika oraz hasło do portalu, oczywiście pod warunkiem, że administrator przydzielił mu uprawnienia do korzystania ze zintegrowanych z portalem systemów backendowych.

SSO jest kluczową funkcjonalnością występującą w SAP NetWeaver Portal. Umożliwia ona nie tylko automatyczne logowanie się do systemów SAP, lecz także do aplikacji innych producentów, baz danych, serwerów pocztowych czy też serwerów plików.

Można trojako

SAP NetWeaver Portal umożliwia zastosowanie trzech wariantów SSO: przy użyciu SAP Logon Ticket, ID użytkownika i hasła, lub przy wykorzystaniu certyfikatów X.509. Warianty różnią się wymogami bezpieczeństwa i wsparciem, jakiego potrzebują ze strony systemów backendowych.

Warto podkreślić, że żaden z wariantów nie wymaga jakiegokolwiek dodatkowego logowania się do połączonych z portalem systemów, oczywiście o ile proces uwierzytelniania w portalu przebiegnie pomyślnie.

W przypadku SAP Logon Ticket wykorzystywane są specjalne bilety służące logowaniu, generowane przez portal. Przy użyciu ID użytkownika i hasła dane służące logowaniu przekazywane są bezpośrednio w adresie URL, bądź też w ciele dokumentu HTML. W obu przypadkach niezbędne jest użycie bezpiecznego połączenia opartego o SSL, by uniemożliwić przechwycenie ID i haseł, przekazywanych pomiędzy systemami, przez osoby trzecie.

Wariant trzeci (użycie certyfikatów X.509) wymaga kilku dodatkowych elementów. Uwierzytelnianie użytkownika przebiega tu na serwerze sieciowym, wykorzystującym SSL. Nie następuje żadne przekazywanie haseł czy ID użytkownika. Użytkownicy uwierzytelniani są na podstawie certyfikatu podpisanego przez tzw. urząd certyfikacji.

Istnieje także możliwość wygenerowania takiego certyfikatu wewnątrz firmy, jednak jego wiarygodność nie będzie mogła być potwierdzona przez niezależny urząd certyfikacji.

Z biletem w ręce

W praktyce najczęściej wykorzystuje się wariant SSO oparty o SAP Logon Ticket, po to by uzyskać dostęp do któregoś z oferowanych przez firmę SAP systemów (choć istnieje oczywiście możliwość zastosowania tego wariantu także w odniesieniu do systemów innych producentów).

SAP Logon Tickets (bilety logowania) reprezentują dane użytkownika służące do logowania się do systemów. Przy pierwszym pomyślnym zalogowaniu się danego użytkownika do portalu, serwer portalu przydziela mu bilet logowania. Bilet ten przechowywany jest w formie plików cookie w przeglądarce użytkownika.

Za każdym razem, gdy komputer kliencki wyśle żądanie do serwera, bilet przekazywany jest do serwera, na którym znajduje się żądany system. Następnie system ten (np. mySAP ERP) wykorzystuje ten bilet, by zalogować użytkownika portalu bez dodatkowego uwierzytelniania.

SAP Logon Ticket nie przechowuje hasła, ale zawiera takie dane jak: ID użytkownika portalu i opcjonalnie ID użytkownika do systemu backendowego (o ile jest rożny od ID w portalu); okres ważności; informacje, które umożliwiają identyfikację wywoływanego systemu; podpis elektroniczny serwera portalu; schemat uwierzytelniania.

Gdy tożsamość jest podwójna

Przy próbie dostępu do zintegrowanego z portalem systemu backendowego, nazwa użytkownika w bilecie jest porównywana z nazwą użytkownika przechowywaną w systemie. Gdy nazwy w portalu i w innych aplikacjach zintegrowanych z portalem nie są tożsame, wymagane jest dodatkowe mapowanie użytkownika.

Należy wówczas zwrócić uwagę, że jeżeli portal integruje więcej niż jeden system, to logowanie do nich musi następować na podstawie identycznej nazwy użytkownika dla wszystkich systemów backendowych.