Active Directory to tzw. usługa katalogowa dla systemów Windows, czyli hierarchiczna baza danych przechowująca informację o obiektach (użytkownikach komputerach, itp.) wraz z ich atrybutami (nazwa, imię, nazwisko, numer telefonu, hasła itp.). Z racji popularności systemów Windows Active Directory jest bardzo często wykorzystywane w firmach do zarządzania użytkownikami i jako podstawowa baza danych o użytkownikach, z której czerpią inne systemy (np. poczta elektroniczna, wewnętrzne aplikacje komunikacyjne itp.). AD służy także do autoryzacji i autentykacji użytkowników w firmowej sieci.

Możliwość wykorzystania Active Directory jako centralnego źródła danych redukuje ryzyko niespójności danych o użytkownikach wykorzystywanych w różnych systemach. To znaczne ułatwienie pracy administratorów – wystarczy nowe dane wprowadzić tylko raz do AD (np. dane nowego pracownika lub nowy nr telefonu, hasło domenowe itp.), a będą one dostępne dla wszystkich podpiętych systemów.

Active Directory dla SAP

Konsola Active Directory jest w firmach także wykorzystywana jako źródło danych o użytkownikach SAP. Duża część informacji wprowadzanych do systemów SAP (zarówno w części ABAP, jak i JAVA) podczas tworzenia użytkowników jest już dostępna w Active Directory.

SAP udostępnia standardowe mechanizmy do integracji AD ze swoimi systemami. Jednak w przypadku złożonych pejzaży informatycznych, składających się z wielu powiązanych ze sobą systemów SAP, podstawowym problemem jest zachowanie we wszystkich systemach tej samej nazwy użytkownika. Wynika to przede wszystkim z maksymalnej liczby znaków, jaką może mieć użytkownik w rozwiązaniach opartych na ABAP (zaledwie 12 znaków).

AD extension for SAP to przygotowane przez BCC (aktualnie All for One Poland) rozszerzenie konsoli Microsoft do zarządzania użytkownikami w Active Directory. Rozwiązanie to pozwala na efektywne powiązanie stosowanego w firmie Active Directory z systemem SAP, co znacznie redukuje liczbę operacji, które administrator musi wykonać, zakładając, blokując lub usuwając użytkowników czy też przy okazji innych czynności administracyjnych.

W ramach rozwiązania standardowa struktura Active Directory została rozszerzona o atrybuty, które będą wykorzystywane przez systemy SAP, w tym atrybut określający nazwę użytkownika w systemach SAP. Wdrożenie AD extension for SAP pozwala m.in. wyeliminować problem związany z ograniczeniem długości nazwy użytkownika w SAP (w domenach Windows nazwa użytkownika jest często dłuższa niż zakładane w SAP 12 znaków).

Zachowanie spójnego nazewnictwa użytkowników w ramach wszystkich systemów SAP daje nam możliwość łatwej konfiguracji powszechnie wykorzystywanych mechanizmów SSO (Single Sign On), np. między SAP NetWeaver Portal a systemem BW (Business Warehouse).

Do obsługi dodatkowych atrybutów przygotowano rozszerzenie do standardowej konsoli MMC Active Directory Users and Computers Management w postaci zakładki, na której możemy wprowadzać informacje wykorzystywane do zarządzania użytkownikami SAP i integracji z SAP. Wykorzystanie dedykowanych atrybutów, w odróżnieniu od korzystania z już istniejących, pozwala uniezależnić się od potencjalnych zmian AD w przyszłości.

Ponadto takie rozwiązanie pozwala na łatwe dodanie kolejnych atrybutów w ramach już istniejącego rozszerzenia (np. dodatkowe pola określające takie cechy użytkownika, które nie istnieją w ramach standardowej struktury AD).

Dodane do AD atrybuty możemy powiązać (zmapować) z odpowiednimi polami systemu SAP, korzystając z mechanizmów dostępnych w poszczególnych systemach SAP (UME dla systemów Java, LDAP Connector dla systemów ABAP). W ten sposób użytkownik w systemie SAP będzie posiadał login wprowadzony na dedykowanej zakładce AD.

Oprócz nazwy użytkownika na zakładce możemy umieścić inne pola (atrybuty), które mogą zostać wykorzystane przez systemy SAP, np. nazwy systemów, aby administrator mógł łatwo wskazać, na którym systemie użytkownik ma zostać założony. W ten sposób na etapie wdrożenia rozwiązania możliwe jest jego optymalne dopasowanie do potrzeb firmy.

Jedna nazwa, jeden punkt dostępu

Przedstawiony mechanizm zarządzania użytkownikami w AD może zostać wykorzystany tylko dla wybranych systemów, np. SAP Enterprise Portal, podczas gdy w pozostałych systemach użytkownicy będą zarządzani lokalnie w każdym systemie. Możliwe jest również powiązanie kilku mechanizmów, takich jak przedstawiona integracja z AD oraz CUA (Central User Management) dla systemów ABAP.

Dzięki wykorzystaniu jednego źródła danych, wszystkie nazwy użytkowników w całym pejzażu systemów będą takie same, co da nam możliwość łatwej konfiguracji mechanizmu SSO Single Sign On. Korzystając z SSO, użytkownicy nie będą musieli wprowadzać nazwy użytkownika i hasła przy logowaniu się do systemu. W przypadku systemów ABAP możemy skonfigurować SSO w oparciu o SNC, natomiast dla systemów JAVA (w tym SAP Enterprise Portal) należy wykorzystać moduł SPNego.

Rozwiązanie zostało przygotowane z myślą o firmach zainteresowanych uproszczeniem procedur zarządzania użytkownikami, które korzystają z rozwiązania Active Directory (Microsoft). Im większa liczba użytkowników SAP w firmie, tym większe korzyści wynikające z wdrożenia AD extension for SAP. Podstawowe to spójne nazewnictwo użytkowników we wszystkich systemach oraz ograniczenie pracochłonności zarządzania użytkownikami, a także niższe ryzyko błędów podczas tego procesu.