PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

"Lepszy Biznes" to magazyn klientów SNP. Czytaj setki artykułów, przydatnych w przygotowaniu i realizacji projektów IT.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Uprawnienia dynamiczne w SAP

Trzeci wymiar uprawnień

Udostępnij
Drukuj:
Zapewnienie bezpieczeństwa danych stało się dużym wyzwaniem we współczesnym globalnym biznesie. Wysokie wymagania wynikają bezpośrednio z regulacji prawnych czy tajemnicy handlowej zgodnej z zasadami korporacji. Obecnie największe firmy wyznaczają standardy dostępności i wymiany dokumentów, informacji niejawnej oraz bezpieczeństwa transakcji biznesowych. Nie mniej ważna jest ochrona własności intelektualnej produktu. Wiele organizacji wymaga przestrzegania standardów takich jak: CWC, GDA 21, CFR Part 11, ITAR, EAR, BAFA, DOE 810, NERC/CIP i innych.
 

Sprostanie wysokim wymaganiom dotyczącym kompleksowej ochrony informacji zmusza właścicieli informacji oraz komórki dbające o ich bezpieczeństwo i zarządzenie nimi do opracowania szczegółowych reguł postępowania: dostępu do informacji oraz bezpiecznego przechowywania danych. Jednym z najważniejszych aspektów tych reguł jest kontrola dostępu uwzględniająca sposoby identyfikacji potencjalnych oraz różnorodnych źródeł wypływu poufnych danych.

Nieautoryzowany wypływ danych najczęściej następuje w fazie projektowania i wytwarzania produktu w wielu rozproszonych lokalizacjach, gdy dane współdzielone są między zespołami projektowymi i/lub partnerami zewnętrznymi. W takich sytuacjach dane przenoszone są często na niezabezpieczonych nośnikach lub urządzeniach przenośnych. Poniżej prezentujemy cechy i zadania funkcjonalnego oraz technicznego bezpieczeństwa danych w pejzażu systemów SAP.

Scenariusz biznesowy wielu organizacji wymaga współdzielenia danych oraz współpracy z wieloma partnerami technologicznymi czy handlowymi. Podczas projektowania zasad bezpieczeństwa informacji muszą być uwzględniane atrybuty określające żądanie dostępu do danych, jak np. lokalizacja żądającego, czas dnia, licencje eksportowe, obywatelstwo czy przypisanie do projektu. Regułą może być na przykład wymóg, by do danych ITAR w SAP miały dostęp tylko osoby, które w danej chwili przebywają na terenie Stanów Zjednoczonych. Nawet gdy taka osoba pojawi się w zagranicznym oddziale własnej organizacji, np. w Europie, podczas próby dostępu do danych np. materiałowych, rysunków CAD lub BOM-ów przechowywanych w SAP nastąpi naruszenie ITAR, a tym samych dostęp nie zostanie udzielony.

Podobne działanie może mieć miejsce, gdy nie dopuszczamy dostępu do danych w oparciu o niezabezpieczone urządzenia, w szczególności mobilne, np. tablety czy smartfony. W takim wypadku w SAP zadziała kontrola dostępu oparta na trójwymiarowym modelu bezpieczeństwa systemu, bazującym na kontroli funkcjonalnej dostępu do danych oraz reguł zarządczych.

Kontrola dostępu oparta na koncepcji ról

Tradycyjna kontrola dostępu w SAP została zaprojektowana w oparciu o koncepcję ról bazujących na rolach użytkowników w procesie biznesowym tzw. Role-based Access Control (RBAC).

Architektura standardu bazuje na pięciowarstwowym modelu (Użytkownik, Profil, Autoryzacja, Obiekt autoryzacji, Klasa obiektu) i wspiera kontrolę funkcjonalnego dostępu do systemu. Użytkownik może być przypisany do jednego lub większej liczby profili związanych z regułami odpowiedzialności nadanymi mu wewnątrz organizacji, np. „zakupowiec” lub płatnik.

Profil zakupowca może posiadać autoryzacje do wykonywania zakupów dla zakładu „100” do wartości 100 tys. zł. Płatnik może posiadać autoryzację do przeprowadzania płatności za faktury od dostawców dla tego samego zakładu do wartości 50 tys. zł. Reguły zarządzania uprawnieniami określone w organizacji oraz dobre praktyki mogą stanowić, że ten sam użytkownik nie powinien posiadać obu profili, aby uniknąć ryzyka defraudacji.

W opisanym przypadku model uprawnień SAP wystarcza do wdrożenia systemu kontroli dostępu ograniczającej użytkownikowi prawa do działań funkcjonalnych. W takim przypadku uprawnienia pozwalają użytkownikowi na uruchomienie wybranych transakcji, programów lub usług. Kluczowe w tym wypadku jest wykorzystanie prostego w użyciu systemu administracji uprawnieniami użytkownika.

Problemy z zarządzaniem uprawnieniami w oparciu o model SAP-a pojawiają się wraz ze wzrostem skali prowadzonej działalności biznesowej. W przypadku gdy nasza organizacja rozrasta się do dziesiątek zakładów działających w oparciu o przepisy różnych krajów, w różnych lokalizacjach, występuje efekt skali. Rozrasta się liczba ról w systemie opisujących dostęp funkcjonalny użytkowników. Automatycznie pojawiają się problemy z przestrzeganiem reguł SoD w trakcie projektowania uprawnień oraz problemy techniczne z obsługą takiej liczby ról, a nawet z przypisaniem zbyt dużej liczby ról użytkownikowi końcowemu – co ogranicza techniczne możliwości zarządzania uprawnieniami użytkownika.

W trzecim wymiarze

Gdy zarządzanie uprawnieniami w organizacji staje się techniczne trudne, a przede wszystkim nieefektywne, menedżerowie obszarów zaczynają poszukiwać innych rozwiązań wspierających proces kontroli dostępu. Odpowiedzią na rosnące wymagania jest zastosowanie modelu uprawnień dynamicznych SAP w oparciu o rozwiązanie partnera SAP, firmy NextLabs. Rozwiązanie wprowadza do systemu SAP kontrolę uprawnień w oparciu o trzeci wymiar, bazujący w całości na atrybutach określających kryteria dostępu do danych, tzw. Attribute-base Access Control (ABAC).

Korzyści ze stosowania modelu ABAC

  • Ułatwia bezpieczną współpracę w sieci biznesowej
  • Dostarcza spójnych reguł kontroli dostępu w aplikacjach SAP, dostępnych dla całej organizacji
  • Poprawia bezpieczeństwo informatyczne środowiska SAP
  • Ułatwia osiągnięcie zgodności z przepisami i regułami dostępu do informacji funkcjonującymi w organizacji
  • Ułatwia raportowanie sytuacji naruszenia zasad bezpieczeństwa
  • Udostępnia polisy bezpieczeństwa, które mogą być zarządzane i administrowane przez właścicieli obszaru biznesowego, bez udziału administratorów
  • Zmienione reguły dostępów mogą być natychmiast wprowadzane do środowiska biznesowego
  • Nie wpływa znacząco na wydajność środowiska autoryzacji SAP

Jedną z najważniejszych cech produktu jest wysoka skalowalność w tworzeniu uprawnień w oparciu o atrybuty dostępu do danych. Rozwiązanie pozwala w prosty sposób tworzyć rozszerzone reguły uprawnień w oparciu o eXtensible Access Control Markup Language (XACML), dostarczając konfiguratora znacznie zmniejszającego zaangażowanie programistów modeli bezpieczeństwa. Głównymi elementami rozwiązania są dobrze znane standardy architektury bezpieczeństwa, bazujące na Policy Administration Point (PAP), Policy Decision Point (PDP), Policy Enforcement Point (PEP) oraz Policy Information Point (PIP). Takie podejście zapewnia możliwość szybkiej aktualizacji reguł dostępu, a tym samym redukcji czasu konserwacji systemu.

W przypadku gdy zostaną zaktualizowane reguły biznesowe lub środowiskowe, osoba odpowiedzialna za zarządzanie nimi musi tylko zaktualizować atrybuty w PAP. Wprowadzane zmiany mają charakter dynamiczny, dlatego nie wymagają żadnych dodatkowych czynności po stronie środowiska SAP, a tym samym doskonale nadają się do adaptacji i optymalizacji reguł kontroli dostępu.

Ilekroć punkt egzekwowania polityki PEP wykryje zdarzenie, które ma być objęte kontrolą wdrożonej polityki, wysyła żądanie do kontrolera, który działa jako punkt podjęcia decyzji (PDP). Kontroler przetwarza wszystkie dostępne informacje na temat zdarzenia i podejmuje decyzję o regułach i sposobie zastosowania. Wybrana reguła jest powrotnie przekazywana do PEP wraz z sposobem wykonania. Następnie PEP przekazuje instrukcje postępowania do aplikacji SAP.

Siłą rozwiązania jest rozszerzenie uprawnień o trzeci wymiar kontroli, pozwalający ograniczyć dostęp do danych objętych ograniczeniami nawet użytkownikom posiadającym profil „SAP ALL”. Oznacza to, że użytkownicy administracyjni, często posiadający ten profil, nie będą mogli uzyskać dostępu do danych, materiałów czy dokumentów objętych kontrolą rozszerzoną. Jednocześnie nie wpłynie to na uprawnienia techniczne tych użytkowników w systemie.

Powody stosowania ABAC

  • Kontrolowany i bezpieczny dostęp do danych wrażliwych i krytycznych
  • Globalne współdzielenie informacji niezbędnych do efektywnego prowadzenia współpracy, w tym procesów projektowania i wdrożenia produktów
  • Bezpieczna ochrona istotnej korporacyjnej własności intelektualnej, przy jednoczesnym spełnieniu wymogów regulacyjnych

Model ABAC może być określany przez atrybuty użytkownika, np. użytkownik, typ urządzenia (komputer, tablet, smartfon), czy dane specyficzne dla aplikacji, jak również atrybuty środowiskowe, np. czas, typ połączenia, poziom zagrożenia, czy wreszcie własności źródła danych, np. wartość danych, klasyfikacja oraz zawartość danych.

Główną cechą skalowalności rozwiązania jest możliwość stosowania dowolnej kombinacji atrybutów podczas definiowania reguł dostępu do informacji oraz łatwego rozszerzenia standardu SAP.

W rozwiązaniu proponowanym dla SAP, Entitlement Manager for SAP stanowi punkt wykonywania decyzji (PEP) przechwytujący wszelkie żądania użytkowników w dostępie do danych z wybranych rozwiązań SAP, np. SAP ECC, SAP PLM, SAP Easy DMS oraz SAP cFolders. Podczas żądania dostępu do danych lub wykonania na nich wybranych operacji produkt NextLabs przeprowadza pełną procedurę potwierdzającą zgodność żądania użytkownika z politykami dostępu.

Wszelkie akcje użytkownika związane z dostępem do dokumentów lub dostępem do informacji są monitorowane i odnotowywane przez kontroler reguł. Działanie jest podejmowane nawet wtedy, gdy użytkownik nie narusza zasad bezpieczeństwa. Takie postępowanie dostarcza administratorom bezpieczeństwa danych pełnej wiedzy o dostępie do informacji podlegającej regułom kontroli dostępu, czyli: kto, kiedy i w jaki sposób uzyskał dostęp do danych.

Podejście mieszane

Uprawnienia ABAC mogą być stosowane hybrydowo wraz ze statycznymi uprawnieniami bazującymi na rolach, rozszerzając w znacznym stopniu elastyczność rozwiązania podczas projektowania i wdrażania reguł kontroli dostępu. Mieszane podejście do autoryzacji udostępnia administratorom danych narzędzi do prostego implementowania reguł podstawowych, koniecznych do realizacji zadań przez każdego użytkownika, jednocześnie dostarczając mechanizm uprawnień dynamicznych bazujących na regułach, ograniczających te dostępy, gdy użytkownik działa w środowisku niesprzyjającym zachowaniu poufności, np., podczas pracy spoza biura lub z lokalizacji objętymi embargiem prawnym lub biznesowym.

Wraz z metodą wdrożenia dynamicznych uprawnień dostarczanych przez NextLabs uzyskujemy mechanizmy kontroli dostępu do danych wrażliwych w całym środowisku SAP, niezależnie od tego, czy dostęp do danych jest uzyskiwany z poziomu transakcji, czy z poziomu komunikacji między systemami SAP.

Oprogramowanie pozwala współdzielić krytyczne informacje między pracownikami czy zewnętrznymi partnerami, podnosząc poziom bezpieczeństwa oraz produktywność współpracy. Jednocześnie pozwala zachować zgodność z regułami kontroli dostępu, udostępniając narzędzia scentralizowanego modułu zarządzania oraz automatyzacji procesu.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Nasze referencje

Poradniki

Aktualności

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00