Dentro del porfolio de soluciones de SAP® destinadas al control de accesos y de identidades, desde 2018 existe una solución llamada SAP IAG (Identity Access Governance). Esta solución, de igual manera que GRC AC, permite llevar a cabo la gestión de accesos de manera centralizada a los clientes en sus entornos SAP. No obstante, una de las principales innovaciones de esta reciente herramienta, es que es nativamente conectable a sistemas SAP On-Premise (de igual manera que GRC AC), pero también a sistemas del cloud público de SAP, tales como Ariba, Fieldglass, S/4 HANA Cloud; entre otros; mientras que GRC AC no (únicamente, como excepción, SFEC).
Centrándonos ya en SAP IAG, podemos también trazar cierta equivalencia entre los módulos de GRC AC, y los (ahora servicios) de SAP IAG. A continuación, se muestra un gráfico con las principales funcionalidades de SAP IAG:
En el presente artículo, únicamente se explicará en detalle el servicio Access Analysis, cuya finalidad es la monitorización de los riesgos de acceso presentes en los usuarios en los sistemas monitorizados, de igual modo que la mitigación y/o remediación de estos.
Lo primero que se debe entender, es que SAP IAG es un producto que existe dentro de SAP BTP (Business Technology Platform). Por ello, aquellos clientes que deseen disponer de SAP IAG, deberán tener acceso a esta plataforma.
Además, SAP IAG tiene actualmente 2 modelos de contratación:
- Como única herramienta de control de accesos (es decir, no se dispone de GRC AC).
- Como extensión de SAP GRC AC para los entornos Cloud.
En el presente artículo, únicamente vamos a tratar el primer punto, es decir, suponiendo que SAP IAG es la única herramienta destinada al control de accesos. Además, vamos a monitorizar el control de accesos en un sistema On-Premise (SAP S/4 HANA).
Antes de esto, es necesario comprender que SAP IAG, es un producto que existe en el cloud público de SAP, y que por tanto no está dentro de la red interna de los clientes.
Para poder facilitar esta tarea, se entrega a los clientes el software Cloud Connector que permite exponer aquellos módulos de funciones que serán utilizados por IAG (en este caso) para poder realizar los análisis de riesgos.
Una vez se haya instalado, y configurado el software, el siguiente paso es crear la conexión en SAP BTP, que luego será utilizada por SAP IAG. Esto es, de manera análoga a lo que se haría en SAP GRC AC, crear una conexión RFC.
Una vez completado este paso, ya se puede comenzar a realizar la configuración específica de la aplicación en la propia herramienta de SAP IAG.
Configuración AAS
Creación de aplicación
Así, el primer paso sería la creación en IAG de la aplicación que se va a monitorizar. Para ello, se puede acceder a la ruta:
Administration Applications
Se debe escoger el tipo de sistema (cómo se comentó anteriormente, será un S/4 HANA On-Premise, en este caso), y cubrir el HCP Destination, que tiene que coincidir con el conector creado en BTP anteriormente.
Creación de Business Function Groups
Otra opción de configuración es la creación de los Business Function Groups:
Administration Business Function Groups
De manera análoga a SAP GRC AC con los grupos de conectores, permite crear grupos de sistemas para agrupar las diferentes naturalezas de riesgos por aplicación. En este caso, se crearía dicho grupo, y se asociaría a la aplicación necesaria:
Niveles de riesgo y procesos de negocio
También es posible crear niveles de riesgos propios, y procesos de negocio propios en las opciones:
Administration Risk Level
Administration Business Procesess
Parámetros
También, como en GRC AC (aunque de manera considerablemente menor) existen ciertos parámetros de configuración que permiten adaptar el funcionamiento del análisis de riesgos a las necesidades de cada cliente. Esta opción puede accederse a través de la ruta:
Administration Application Parameters
Para más información a cerca de estos parámetros, puede consultarse la OSS Note: 3278498 – IAG – Optimization of Access Analysis job – SAP for Me
Una vez completados estos pasos, toda la configuración necesaria de IAG estaría lista para poder comenzar a realizar análisis de riesgos.
Matriz de Riesgos
Para poder disponer de una matriz de riesgos, es importante entender que en SAP IAG no disponemos de BC Sets como sí sucede en SAP GRC AC (SCPR20) dónde puede el propio cliente activarse para sí la matriz de riesgos. En el caso de IAG; es necesario ponerse en contacto con SAP para que ellos den de alta la matriz de riesgos en el sistema IAG del cliente. En la siguiente OSS Note, se explican los detalles: 2782388 – IAG – How to load default standard ruleset?
No obstante, un cliente también podrá igualmente editar o crear desde 0 su propia matriz de riesgos. A continuación puede verse las alternativas existentes:
Administration Rule Setup
Aquí, podrá primero descargarse las reglas y ajustarlas a las necesidades específicas de cada cliente, por grupo de conectores o directamente todas, para a continuación cargarlas de nuevo.
Es importante comprender que, una vez se carguen estas reglas, le fichero de carga debe tener una estructura predefinida.
A continuación, se muestra la configuración correcta en dónde el fichero de carga no tiene subcarpetas anidadas
Y a continuación, una manera incorrecta:
Ejecución Análisis de riesgos
Llegados a este punto, el siguiente paso, y como también sucede en SAP GRC AC, es realizar la sincronización de usuarios, roles y perfiles en SAP IAG. Esto, puede hacerse desde la opción:
Administration Job Scheduler
Se selecciona el tipo de programa (Repository Sync), el tipo de sistema (S/4 HANA On-Prem) y la aplicación a sincronizar.
Desde la opción:
Administration Job History List
Puede consultarse el resultado del job programado, marcado como “Completed” si terminó satisfactoriamente
Por último, ya sólo quedaría lanzar el análisis de riesgos, para así conocer los riesgos presentes en los usuarios en el sistema deseado. De igual manera que el job de sincronización de usuarios, roles y perfiles, esto se hace desde la opción:
Administration Job Scheduler
Aunque en este caso, el tipo de programa a lanzar será Access Analysis
Y aparecerá como completado si terminó satisfactoriamente.
Resultados Análisis de riesgos
Así, ya será posible consultar los riesgos presentes en los usuarios, y avanzar con la mitigación y/o remediación de estos. Para ello, existen informes disponibles en la sección Access Analysis.
En este caso, podemos consultar que riesgos tienen que usuarios, y a través de que permisos (roles, grupos, etc.).
En cuanto a la remediación, una de las ventajas de IAG es que propone un marco de trabajo sencillo para llevar a cabo dichas acciones de remediación. Tradicionalmente, una de las principales acciones de remediación es eliminar los riesgos presentes en usuarios que no hayan sido usados en cierto período de tiempo. IAG ya incorpora esta lógica, y propone a los usuarios de IAG la eliminación de dichos accesos, de igual modo que otra serie de condiciones para facilitar la remediación:
En caso de que no se pueda remediar el riesgo, también es posible mitigar el riesgo a través de controles mitigatorios creados en la opción:
Administration Mitigating Control
Conclusiones
A modo de resumen, se ha demostrado como SAP IAG Access Analysis Service permite, de manera análoga a SAP GRC AC ARA, realizar análisis de riesgos para poder conocer la presencia de estos en los usuarios, y poder llevar a cabo la remediación y/o mitigación.
Adicionalmente, la gran novedad de IAG es poder analizar, de manera nativa a sistemas Cloud de SAP, mientras que GRC AC sólo puede integrarse nativamente con SFEC.
Actualmente, la herramienta está en desarrollo por parte de SAP, incorporando progresivamente funcionalidades. Para consultarse, puede accederse al roadmap de la herramienta:
