Manual SAP ADM900 131

Lección: La aplicación de inicio de sesión único (SSO) en Sistemas SAP
SAP de sesión único proporciona un acceso sencillo y seguro a las aplicaciones de TI para usuarios de negocios, cifra los datos de la
empresa y proporciona seguridad avanzada para proteger opcionalmente aplicaciones de negocio importantes.
Autenticación de usuario y SSO

El servidor de aplicaciones ABAP (AS ABAP) y el Servidor de aplicaciones Java (Java AS) son las tecnologías subyacentes
para la autenticación de usuarios con SAP NetWeaver. La siguiente tabla proporciona una visión general de los mecanismos
disponibles para cada servidor de aplicaciones e indica si el mecanismo se utiliza directamente para la autenticación de usuario
o para SSO:
Tabla 12: Resumen de los Mecanismos de Application Server
Mecanismo Autenticacion de SSO AS ABAP AS Java

usuario
ID de usuario y X X X X
contraseña
de trabajo Net- X X X
comu- nicaciones
seguros (SNC); por
ejemplo con SAP
NetWea- ver SSO
Entradas SAP X X X
Logon
Asegure Sock- et X X X X
Layer (SSL) y
certificados de
cliente X. 509
SAML SAML 1.x X X
SAML 2.0 X A partir de la liberación A partir de la liberación
7.02 7.20
nológica de Java X X X
autenti- and
Authorization
Service (JAAS)
Nota:
SAP recomienda que los clientes no implementan soluciones individuales de sesión nueva para el usuario final en base a
entradas SAP Logon.
Los clientes deben reemplazar la tecnología de SAP Logon Ticket con estándares de la industria y la tecnología como Kerberos
/ SPNEGO, certificados X.509, y la aserción de seguridad Markup Language (SAML) fichas siempre que sea técnicamente
posible.
© Derecho de Autor. Todos los derechos reservados. 123

Unidad 3: Seguridad Infraestructura
SAP individuales Características de sesión
SAP características Single Sign-On incluyen:
● Integración
- clientes nativos de SAP
- Web y móvil de SSO
- Nube y toda la compañía
● Soporte de estándares públicos
- Kerberos / SPNEGO
- SAML y la federación de identidades
- certificados X.509
● la autenticación segura
- Autenticación de dos factores
- autenticación basada en riesgos con las políticas de acceso
- identificación de usuario basada en RFID
● Seguridad avanzada
- el soporte para módulos de seguridad de hardware (HSM)
- criptografía de curva elíptica
Single Sign-On para nuevos clientes de SAP
configuración de la interfaz de usuario de SAP proporciona lo siguiente:
● Proporciona interfaces de usuario con un uso muy flexible,
● Es compatible con los nuevos clientes de SAP fuera de la caja
- SAP Business Client
- SAP las Personas de pantalla
RFID * -Based identificación de los usuarios
* RFID de identificación de los usuarios basada en ofrecer las siguientes características:
● Identificar a los usuarios con la tecnología RFID * tokens
- identificación de usuario instantáneo
- Sobre la base de los certificados X.509
● escenarios de uso
- Almacén y producción escenarios
- Quiosco / ordenadores terminales
● Soporte adicional
124 © Derecho de Autor. Todos los derechos reservados.

- Configuración simplificada basada en Microsoft Active Directory
- Soporte para RFID adicional * dispositivos de lectura
Autenticación de dos factores con el autenticador SAP
SAP autenticador de autenticación de dos factores proporciona las siguientes características:
● Autenticación con contraseñas de un solo uso
- Recomendado para el aumento de escenarios de seguridad
- Autenticación requiere dos medios de identificación: el conocimiento de una contraseña habitual y la posesión de un
dispositivo móvil que genera una contraseña de una sola vez
● aplicación móvil de autenticación SAP
- Una sola vez la contraseña generada por la aplicación
- Disponible para iOS y Android
- RFC 6238 compatibles
- Disponible nivel de protección adicional para el inicio de sesión único escenarios basados en certificados X.509 y
SAML
- Integrado con Secure Login Server y proveedor de identidad
Figura 63: basado en el riesgo de autenticación por medio de políticas de acceso y autenticación de dos factores
la autenticación de dos factores con autenticador SAP
Tenga en cuenta lo siguiente acerca de la autenticación con contraseñas de un solo uso:

● Recomendado para el aumento de escenarios de seguridad
● Autenticación requiere dos medios de identificación
- El conocimiento de la contraseña habitual
- La posesión de dispositivo móvil que genera la sola vez la contraseña
● aplicación SAP Mobile Authenticator
- Una contraseña de tiempo generado por aplicación
- Disponible para iOS y Android
- RFC 6238 compatibles
- Disponible nivel de protección adicional para el inicio de sesión único escenarios basados en certificados X.509 y
SAML
- Integrado con Secure Login Server y proveedor de identidad
● autenticación basada en riesgos
- autoridad central para aceptar o denegar el acceso a la infraestructura de TI, basado en contexto
- la aplicación basada en el riesgo de autenticación de dos factores
Móvil de sesión
Tenga en cuenta lo siguiente acerca de inicio de sesión en el móvil:
● aplicaciones SAP Authenticator
- Las aplicaciones móviles para iOS y Android
- SAP autenticador calcula sola vez las contraseñas que se utilizan para la autenticación
- Aplicaciones permiten al usuario registrar las aplicaciones web que se ejecutan en SAP NetWeaver AS Java
- Cuando el usuario lanza una aplicación web de aplicación, nombre de usuario y una sola vez en contraseña se proporcionan de forma
automática para la autenticación
Soporte de hardware Módulo de Seguridad
el soporte para módulos de seguridad de hardware para la firma digital incluye las siguientes características:
● Almacenar las claves privadas en el hardware
- Proteger Secure Login autoridad de certificación del servidor
- Proteger las claves privadas de firma digital (almacenamiento seguro y hacia adelante)
- Performance Acceleration

de inicio de sesión de entradas
Figura 64: Logon Ticket
En el volumen de suministro, el AS Java utiliza entradas de inicio de sesión en el procedimiento de inicio de sesión. El procedimiento
para iniciar sesión en un sistema es el siguiente:
1. El billete pila de autenticación utiliza cheques por un billete válido de inicio de sesión
( EvaluateTicketLoginModule).
2. Si no hay un billete válido de inicio de sesión, el usuario debe introducir su ID de usuario y la contraseña
( BasicPasswordLoginModule).
3. Un billete de inicio de sesión se emite si las entradas son correctas ( CreateTicketLoginModule).
4. El billete de inicio de sesión se envía desde el navegador del sistema estándar para cada solicitud. Esta
billete de inicio de sesión va al dominio del sistema de emisión y por lo tanto se puede utilizar para iniciar una sesión en otros sistemas
(SSO).

Nota:
Entradas SAP Logon ya no se consideran una tecnología estratégica para SAP. Ellos han hecho la
transición a modo de mantenimiento y no se extenderá o mejorado. Los clientes deben reemplazar la
tecnología de SAP Logon Ticket con estándares de la industria y la tecnología, como Kerberos /
SPNEGO, certificados X.509, y la aserción de seguridad Markup Language (SAML) fichas siempre que
sea técnicamente posible.
Los clientes pueden utilizar la solución de inicio de sesión único de SAP que soporta estas normas.
Consulte la nota SAP: 2117110 - recomendación de sustituir Entradas conexión SAP con SAP Solution
único inicio de sesión.
Precaución:
Si se utilizan las entradas de inicio de sesión como un procedimiento de inicio de sesión o de inicio de sesión único, debe asegurarse
de que el billete de inicio de sesión no puede ser rastreado o trasladada. Por lo tanto, el cifrado es altamente recomendada para este
tipo de casos.
Técnicamente, el billete de inicio de sesión es una cookie de sesión. Esto significa que la cookie no se guarda; más bien, sólo se mantiene
en la memoria de trabajo. Se elimina cuando termina la sesión del navegador.
Contenido de inicio de sesión de entradas
Un billete de inicio de sesión contiene los siguientes datos:
● ID de usuario
● ID de usuario asignada
● Momento de la emisión
● período de validez
● esquema de autenticación más alto
● sistema de emisión
● Firma digital
El requisito previo para SSO con el billete de inicio de sesión es un identificador de usuario idénticos en el sistema de emisión y de
aceptar. Debe configurar el sistema de aceptación de tal manera que se acepta el billete de inicio de sesión del sistema de emisión. El uso
de la firma digital, el sistema de emisión puede ser identificada y la integridad del billete de inicio de sesión puede ser verificada.

Autenticación de cliente X.509
Figura 65: Single Sign-On X.509
Los siguientes procesos se producen en los certificados de cliente X.509:
● La autenticación se realiza mediante SSL con autenticación mutua
● El usuario posee un par y la clave de certificado de clave pública privada y pública
● sistemas de acceso a los sistemas SAP basadas en la Web, por ejemplo, el SAP NetWeaver AS o no SAP que soportan
SSL
● Junto con un socio de producto (SNC), SAP GUI para Windows puede usar X.509 Si usted quiere llevar su proyecto de inicio
de sesión único un paso más y cubrir SAP, así como aplicaciones que no son de SAP, x.509 certificados digitales podría ser su
tecnología preferida. Este estándar de Internet probada es apoyada por la mayoría de los sistemas y aplicaciones.
Aquellas empresas que han creado su propia infraestructura de clave pública o PKI, puede simplemente re-utilizarlo con SAP
NetWeaver inicio de sesión único. Los que no tienen una PKI puede hacer uso de un SAP característica especial NetWeaver
Single Sign-On ofertas: El componente Secure Login Server puede emitir certificados de corta duración para la autenticación,
por lo que la sobrecarga de una PKI tradicional obsoleta sin sacrificar la seguridad de su certificados. tipos de autenticación
adicionales están disponibles para aumentar la flexibilidad o cubrir los requisitos de seguridad más altos. Para implementar
esta solución, instalar el cliente de seguro de inicio de sesión, el servidor de inicio de sesión seguro, y componentes de la
biblioteca de acceso seguro de SAP NetWeaver Single Sign-On. Puede volver a utilizar el primer inicio de sesión de Windows
para Microsoft Active Directory. Otra opción es integrar otros mecanismos de autenticación para la emisión de los certificados
X.509;

Esto es beneficioso porque X.509 es un estándar ampliamente utilizado Internet abierta desde hace mucho tiempo y es compatible con la
mayoría de las plataformas. Lo recomendamos especialmente para escenarios heterogéneos e intranet.
La autenticación mutua se lleva a cabo mediante SSL.
certificados de cliente X.509 se pueden utilizar para acceder a los siguientes sistemas SAP:
● SAP NetWeaver AS ABAP, aplicaciones Web
● SAP NetWeaver AS ABAP, SAP GUI para Windows (con el producto pareja)
● SAP NetWeaver AS Java
● SAP Transacción Servidor de Internet (ITS)
certificados de cliente X.509 también se pueden utilizar para acceder a los sistemas no SAP que soportan SSL. Por otra parte, se
puede utilizar para Internet o Intranet.
La autenticación se realiza con cada petición. No se requiere la intervención del usuario para el inicio de sesión múltiple.
SAML 2.0
Figura 66: SAML 2.0
SAML versión 2.0 es un estándar para la comunicación de las afirmaciones acerca de las entidades, por lo general los usuarios.
La afirmación puede incluir los medios por los que haya sido autenticado un sujeto, los atributos asociados con el sujeto, y una
decisión de autorización para un recurso dado. Los principales componentes de un paisaje SAML 2.0 son los siguientes:
● Proveedor de servicio
El proveedor de servicios es una entidad del sistema que proporciona un conjunto de aplicaciones web para la gestión común de sesión,
gestión de identidades y gestión de la confianza. Los proveedores de servicios de externalizar el trabajo de la autenticación del usuario
al proveedor de identidad.
● proveedor de identidad
El proveedor de identidad es una entidad del sistema que gestiona la información de identidad para los directores y proporciona servicios
de autenticación a otros proveedores de servicios de confianza.

El proveedor de identidad mantiene la lista de proveedores de servicios donde el usuario está conectado y transmite las solicitudes de
cierre de sesión a los proveedores de servicios. El cliente que está tratando de acceder al recurso debe ser compatible con HTTP. Los
beneficios de SAML 2.0 son los siguientes:
● SSO
SAML proporciona un estándar para entre dominios SSO. Otros métodos también existen para permitir que entre dominios de SSO,
pero requieren soluciones propietarias para pasar información de autenticación entre dominios. SAML 2.0 soporta identidad iniciadas
por el proveedor SSO, como en SAML 1.x. SAML 2.0 también es compatible con iniciada por el proveedor de servicios de SSO.
● Individual Log-Out (SLO)
SLO permite a los usuarios cerrar todas sus sesiones en un paisaje SAML al mismo tiempo, incluso a través de dominios. SLO
no sólo ahorra recursos del sistema que de otro modo permanecerían reservados hasta el momento en las sesiones, pero
también mitiga el riesgo de que el secuestro de sesiones desatendidas.
● La federación de identidades
La federación de identidades proporciona los medios para compartir información de identidad entre los socios. Para compartir información acerca
de un usuario, los socios deben ser capaces de identificar al usuario, a pesar de que pueden utilizar diferentes identificadores para el mismo
usuario.
El estándar SAML 2.0 define el identificador de nombre (nombre ID) como un medio para establecer un identificador común.
Cuando se establece el ID de nombre, se dice que el usuario tenga una identidad federada.
SSO con SAML 2.0
SAML 2.0 soporta identidad iniciada por el proveedor SSO como en SAML 1.x. SAML 2.0 también es compatible con iniciada por el
proveedor de servicios de SSO. Cuando el proveedor de identidad inicia SSO, debe mantener enlaces en el sistema de proveedor de
identidad a los recursos protegidos en los proveedores de servicios. Al proteger los recursos con SAML en un proveedor de servicios, el
proveedor de servicios está configurado para solicitar autenticación desde el proveedor de identidad.

Figura 67: SSO y la federación de identidades basado en SAML
Para aquellos que están buscando para ampliar su solución de inicio de sesión único en la nube o cubrir escenarios cruzada de
empresa, única federación de sesión y la identidad basada en la aserción de seguridad Markup Language (SAML corta) proporciona una
solución de sonido. SAML es un estándar de Internet que proporciona una gran flexibilidad de tecnología de sesión único que es
especialmente adecuado para entornos de varios dominios.
Para implementar esta solución, hay que instalar el componente proveedor de identidad de SAP NetWeaver Single Sign-On.
Microsoft Active Directory, un servidor LDAP, u otros módulos de inicio de sesión se pueden utilizar para la autenticación en
conjunción con el token de SAML. Recomendamos este escenario para los escenarios de extranet y empresas que desean
integrar socios en sus procesos de negocio.
SAML proporciona las siguientes opciones para pasar mensajes SAML de ida y vuelta entre el proveedor de identidad y el
proveedor de servicios:
● canal delantero
En canal delantero, los mensajes SAML se pasan adelante y atrás sobre el agente de usuario con los métodos de redireccionamiento
HTTP o POST HTTP.
Puede proteger la comunicación frontal canales con cifrado y firmas digitales.
● canal de retorno
En canal de retorno, el proveedor de servicio de proveedor de identidad y única bolsa de artefactos SAML sobre el agente de usuario.
Cuando un proveedor recibe un artefacto, una consulta al otro proveedor directamente sobre SOAP.
la comunicación de canal de retorno proporciona seguridad adicional al asegurar que los posibles fisgones del agente de
usuario únicos artefactos SAML de acceso. Sin embargo, de nuevo canal de comunicación requiere de ida y vuelta adicionales
para resolver una solicitud de autenticación. También se pueden mezclar las opciones de comunicación, si es necesario.

Flujo del proceso para el canal frontal SSO con SAML 2.0
Figura 68: flujo de proceso para Front-Channel SSO con SAML 2.0
La figura ilustra servicio iniciada por el proveedor SSO con comunicación frontal canales. Los siguientes pasos
explican el flujo del proceso de la SSO front-canal:
1. Un usuario intenta acceder a un recurso protegido por SAML 2.0.
2. El proveedor de servicios redirige al usuario a un proveedor de identidad para la autentificación.
3. El proveedor de identidad consulta al usuario las credenciales de autenticación.
4. El agente de usuario o usuario presenta las credenciales solicitadas.
5. El proveedor de identidades devuelve al usuario a los proveedores de servicios con una autenticación
respuesta.
6. El proveedor de servicios presenta el recurso solicitado para el usuario.

Flujo del proceso para el canal de retorno SSO con SAML 2.0
Figura 69: flujo de proceso para Back-Channel SSO con SAML 2.0
La figura ilustra servicio iniciada por el proveedor SSO con la comunicación canal de retorno. Los siguientes pasos
explican el flujo del proceso de la SSO de canal de retorno:
1. Un usuario intenta acceder a un recurso protegido por SAML 2.0.
2. El proveedor de servicios redirige al usuario a un proveedor de identidad e incluye una SAML

artefacto en referencia a la solicitud de autenticación.
3. El proveedor de identidad obtiene la solicitud de autenticación del proveedor de servicios a través de una
canal SOAP.
4. El proveedor de identidad consulta al usuario las credenciales de autenticación.
5. El agente de usuario o usuario presenta las credenciales solicitadas.
6. El proveedor de identidades devuelve al usuario a los proveedores de servicios con un artefacto SAML
en referencia a la respuesta de autenticación.
7. El proveedor de servicios recibe la respuesta de autenticación del proveedor de identidad a través de una
canal SOAP.
8. El proveedor de servicios presenta el recurso solicitado para el usuario.

SLO con SAML 2.0
Figura 70: Flujo de proceso para SLO con SAML 2.0
Individual Log-Out (SLO) permite a los usuarios cerrar todas sus sesiones en un paisaje SAML limpia, incluso a través de los dominios.
Esto no sólo ahorrar recursos del sistema que de otro modo permanecerían reservados hasta el momento en las sesiones, pero
también mitiga el riesgo de que el secuestro de sesiones desatendidas.
La figura ilustra que SLO se inicia en el proveedor de servicios sobre un canal delante de unión, tales como redireccionamiento HTTP.
La figura también muestra SLO entre el proveedor de identidad y los otros proveedores de servicios más de un canal de retorno de
unión, tales como SOAP sobre HTTP. Los siguientes pasos explican el flujo de proceso para SLO con SAML 2.0:
1. El usuario inicia una solicitud de cierre de sesión a un proveedor de servicios.
2. El proveedor de servicios envía esta solicitud a un proveedor de identidad.
3. Después de que el proveedor de identidad valida la solicitud, envía nuevas peticiones de cierre de sesión a todos los demás
los proveedores de servicios con los que el usuario tiene una sesión de seguridad que el proveedor de identidad es consciente.
4. Los proveedores de servicios de validación de la solicitud, destruyen cualquier información de sesión para el usuario,
y enviar una respuesta de cierre de sesión para el proveedor de identidad.
5. El proveedor de identidad destruye sesiones del usuario y envía una respuesta a la original
proveedor de servicio.
6. El proveedor de servicio original informa al usuario de que él o ella ha sido cerrada.
Federación de identidad
La federación de identidades proporciona los medios para compartir información de identidad entre los socios. Para compartir información acerca
de un usuario, los socios deben ser capaces de identificar al usuario, a pesar de que

pueden utilizar diferentes identificadores para el mismo usuario. El estándar SAML 2.0 define el identificador de nombre (nombre identificación)
como los medios para establecer un identificador común. Una vez que se ha establecido el ID de nombre, el usuario tiene una identidad federada. El
estándar SAML 2.0 define una serie de formatos de nombre de identificación.
SAML describe los siguientes tipos de federación:
● Fuera de la banda de cuenta de la vinculación
La identidad de un usuario en el sistema A y el sistema B son identificados y acordados de antemano entre los administradores de
los dos sistemas. Este tipo de acuerdo también es apoyado por SAML 1.x El administrador del proveedor de identidad y el proveedor
de servicios de acuerdo en cómo el identificador de nombre que se utiliza para el usuario en el proveedor de identidad se asigna al
usuario en el proveedor de servicios.
Utilice este tipo de federación para apoyar la mayoría de los escenarios en los que será necesario asignar identidades de los usuarios a
través de dominios.
● identificadores seudónimo transitorios
Federación con los ID de nombres transitorios crea una federación con un usuario temporal en el proveedor de servicios y un
usuario permanente en el proveedor de identidad. Esta federación existe sólo mientras exista la sesión de seguridad con el
proveedor de servicios. El proveedor de servicios no persiste datos sobre el usuario que visita. atributos de usuario y derechos de
acceso se generan sobre la base de reglas que se aplican a los atributos enviados en mensajes de SAML.
Utilice este tipo de federación cuando el proveedor de servicio no necesita registrar información acerca de los usuarios o no
necesita cuentas de usuario local.
● identificadores seudónimo persistentes
Federación con los ID de nombre persistentes establece una relación permanente entre un usuario en un proveedor de identidad y un usuario
en un proveedor de servicios o usuarios de una asociación de proveedores de servicios. La persistencia de nombre de ID es utilizado por un
proveedor de identidad y un proveedor de servicios como un nombre común para un usuario. Si este nombre de ID para un usuario es el
mismo para varios proveedores de servicios, los proveedores de servicios se dice que están afiliados o de pertenecer a un grupo de afiliados.
Utilice este tipo de federación para vincular cuentas fuera de banda, pero sin el uso de identificadores que se remontan a un usuario
específico. Esto aumenta la seguridad de sus sistemas de prevención de intrusos de la determinación de las identidades sobre la base de
formatos nombre de identificación que pasan los ID de inicio de sesión o direcciones de correo electrónico. Se requiere que usted para
establecer el seudónimo en ambos proveedores antes de tiempo.

Cuenta con Vinculación persistente identificación del nombre
Figura 71: SAML 2.0 con componentes de SAP
La figura muestra el papel de los componentes de SAP en un escenario SAML 2.0.
Figura 72: Cuenta Vinculación con persistente Nombre ID - Un Ejemplo

La figura ilustra un ejemplo de las cuentas de Laurent Becker, que tienen un atributo para un ID de nombre persistente y
nombrado opaco ID. El valor a utilizar aquí puede ser acordada de antemano por los dos administradores del sistema o
generados por el proveedor de identidad y distribuido al proveedor de servicios.
Cuando Laurent Becker se autentica en el proveedor de identidad, el proveedor de servicios recibe la aserción SAML con el
identificador opaco como el sujeto. El proveedor de servicios busca para el usuario basado en el ID opaco y permite que el
usuario inicie sesión.
Puede asegurarse de que los datos sensibles se cifran cuando dos sistemas comparten dicha información. El uso de los formatos de
nombre seudónimo de identificación (transitorios y persistentes) asegura la privacidad y el anonimato entre dos socios (proveedores de
identidad y proveedores de servicios). Los socios no tienen que ser conscientes del nombre de cuenta local utilizado por la otra parte, por lo
tanto, la protección de la privacidad del usuario.
SAML 2.0 con componentes de SAP
Gestión de la sesión
aplicaciones web con estado almacenan el estado de la aplicación en el servidor de aplicaciones. Durante la comunicación, sólo la clave de
este estado, también llamado identificador de sesión o el ID de sesión corta, se incluye con cada solicitud. En general, el ID de sesión puede
transferirse como una galleta, a través de parámetro URL, o como un campo de formulario oculto.
Además del estado de la aplicación, pueden existir un estado de seguridad (o una sesión de seguridad). Una sesión de seguridad comienza
con el inicio de sesión en el sistema y termina con el cierre de sesión del sistema. ID de sesión de seguridad de SAP sólo se transmiten
utilizando cookies no persistentes.
Un atacante que pueda obtener el identificador de sesión válida de la víctima puede atacar el sistema de la víctima utilizando el conjunto completo de las
autorizaciones de la víctima.
Los siguientes tipos de ataques pueden aprovechar las vulnerabilidades de gestión sesiones:
● Secuestro de sesión
En un ataque de secuestro de sesión, el atacante roba válida ID de sesión de la víctima y envía una solicitud con este ID de sesión al
servidor. El atacante puede robar el ID, por ejemplo, por olfateando el tráfico de red. En algunos casos, el identificador de sesión es una
parte de la de URL. La URL puede ser secuestrado si la víctima almacena en sus marcadores o lo envía a través del correo electrónico.
Suponiendo que el identificador de sesión sigue siendo válida, el atacante puede actuar con el conjunto completo de las autorizaciones
de la víctima.
● la fijación de sesión
En un ataque de fijación de sesión, el atacante establece el identificador de sesión para un determinado usuario antes de que el usuario se
autentica con la aplicación. Esto se puede hacer mediante la manipulación de la URL que se utiliza por el usuario para acceder a la aplicación
web. Como resultado, después de la autenticación del usuario, tanto el atacante como la víctima conoce el identificador de sesión y pueden
trabajar en el sistema bajo el ID de usuario de la víctima.
● montar sesión
En un ataque de montar la sesión, el atacante hace que el agente de usuario las solicitudes de emisión víctima de un servidor de
aplicaciones, lo que resulta en acciones no deseadas y potencialmente dañinos. Se recomienda encarecidamente que implemente los
siguientes ajustes en los sistemas productivos para mejorar la seguridad de sesión:

Tabla 13: Configuración de sistema productivo
version del producto Medida
AS ABAP 6.10 y superiores login / ticket_only_by_https = 1; consulte la nota SAP

1.531.399.
AS ABAP 7.02, 7.20 y superiores Gestión de Seguridad de la sesión HTTP; consulte la nota SAP
1.322.944.
AS ABAP 7.01, 7.10, 7.11 Habilitar reautenticación; consulte la nota SAP

1.277.022.
AS ABAP 6,40, 7,00 Habilitar reautenticación; consulte la nota SAP

1.266.780.
AS Java 6.40 y superiores SessionIdRegenerationEnabled = true; consulte la nota

SAP 1310561. SystemCookiesHTTP- SProtection = true;
consulte la nota SAP
1.449.940.
Un servidor de aplicaciones basadas en ABAP utiliza la cookie de savia ContextID para identificar tanto, la sesión de aplicación y la sesión
de la seguridad. Para evitar la fijación de sesión y ataques de secuestro de sesión, se aplican las medidas de seguridad de sesión.
Reautenticación se realiza con SAP NetWeaver 6.40, 7.00, 7.01, 7.10, y 7.11. Con reautenticación activa, la cookie de savia
ContextID no es suficiente para entrar en una sesión. Las credenciales de autenticación se comprueban cada ida y vuelta.
Las notas de SAP para varias versiones de SAP NetWeaver son los siguientes:
● Para las versiones 6.40 y 7.00 de SAP NetWeaver, véase la nota SAP 1.266.780.
● Para las versiones 7.01 y superiores de SAP NetWeaver, consulte Notas SAP 1277022 o 1322944.
● Para las versiones 7.01, 7.10 y 7.11 de SAP NetWeaver, consulte la nota SAP 1.277.022.
● Para las versiones 7.02, 7.20, y más alta de SAP NetWeaver, se refiere a la nota SAP 1322944. Aunque el procedimiento
proporcionado con SAP Nota 1.277.022 seguirá funcionando con la NetWeaver SAP comunicados de 7,02, 7,20, y más arriba, la nota SAP
1322944 describe un nuevo mecanismo de protección desarrollado para nuevas versiones de SAP NetWeaver.
Cookies para mejorar la seguridad de sesión
Gestión de sesiones HTTP de seguridad utiliza una nueva cookie separada para identificar la sesión de seguridad
(SAP_SESSIONID_ <sid> _ <cliente>). Un identificador de sesión de seguridad y el valor de la cookie de SAP_SESSIONID_
<sid> _ <cliente> cambio en la autenticación y la reautenticación programática. Para obtener más información, consulte la nota
SAP 1322944 y SAP NetWeaver Biblioteca. Antes de activar la gestión de sesiones HTTP de seguridad en un sistema basado
en ABAP que se accede desde el SAP NetWeaver Portal, debe aplicar la nota SAP 1.471.069 al portal.
AS Java utiliza el JSESSIONID cookie de sesión para identificar la aplicación y sesiones de seguridad. Un mecanismo de
protección específica añade un identificador de sesión adicional denominado JSESSIONMARKID. Si se activa este mecanismo de
seguridad, la sesión de seguridad se identifica usando la cookie no persistente adicional denominado JSESSIONMARKID.
JSESSIONMARKID cambia después de la autenticación y la reautenticación programática, que contrarresta los ataques de fijación
de sesión y secuestro. SAP NetWeaver 6.40 proporciona parámetros de Java

SessionIdRegenerationEnabled. Este parámetro requiere un cierto nivel de paquete de apoyo. Esto puede requerir la actualización de
los sistemas como se menciona en la nota SAP 1310561. Algunas aplicaciones requieren configuraciones adicionales, como el
funcionamiento de un centro de interacción con la gestión de relaciones con la aplicación SAP con clientes (CRM). Consulte la SAP
Notas 1420203 y 1532777.
Se recomienda encarecidamente el uso de HTTPS para todos los accesos de navegador de los usuarios finales de los sistemas de
software de SAP para evitar el riesgo de cookies de sesión se secuestraron en la red. Para evitar la transmisión de un navegador una
cookie de sesión a través de una vía de comunicación HTTP sin cifrar, el atributo de galletas seguro deberá ser ajustado a las cookies de
sesión. Para obtener más información acerca de cómo establecer el SystemCookiesHTTPSProtection atributo para Java, consulte la nota
SAP 1449940 y SAP NetWeaver OLibrary.
Estos ajustes están disponibles a partir de la versión 6.40 de SAP NetWeaver y requieren un cierto nivel de soporte de la serie. Es
posible que tenga que actualizar sus sistemas a nivel de la versión mencionada. Para los sistemas de ABAP, parámetro establecido login
/ ticket_only_by_https = 1. Este parámetro está disponible desde la versión 6.10 de SAP NetWeaver AS. Después de habilitar este
atributo, las conexiones HTTP plano ya no funciona, si se requieren las cookies del sistema para hacer el trabajo de aplicación.
Consulte la nota SAP 1531399 para las mejores prácticas sobre cómo activar el manejo sesión segura recomendada. Después de
aplicar la seguridad de sesión y las medidas de protección HTTPS, cuidadosas pruebas de regresión tienen que ser realizadas para los
programas de SAP modificados y aplicaciones personalizadas.
La experiencia de SSO se proporciona mediante el uso de las entradas de inicio de sesión con los siguientes inconvenientes conocidos:
● Temas de seguridad
- URL que contengan la cookie de savia ContextID permiten el acceso a los recursos protegidos (secuestro de sesión).
- Un billete de inicio de sesión robado (la cookie llamada MYSAPSSO2) permite a un atacante crear una nueva sesión - incluso
después de que el usuario legítimo se ha conectado con éxito.
● aspectos funcionales
- No cierre de sesión automático (tiempo de espera de inactividad) es posible.
- Validez de los billetes de inicio de sesión se fija (definida por emisor de billetes, el tiempo predeterminado es de 8 horas).
- Las sesiones no pueden ser terminados en el lado del servidor (por ejemplo, por un administrador).
- opción de cierre de sesión se proporciona únicamente por SAP NetWeaver Portal (DSM Terminator).
● robustez
- Conflictos con otros sistemas y en el establecimiento de la MYSAPSSO2 galletas (cookie se establece dominio de ancho, con
el mismo nombre).

Sesiones de Seguridad HTTP
Figura 73: HTTP Sesiones de Seguridad
El propósito de las sesiones HTTP de seguridad es separar las sesiones de seguridad de las sesiones de aplicaciones. sesiones de aplicación sólo son
necesarios para las operaciones con estado (estado del servidor unilateral). sesiones de seguridad se crean durante el inicio de sesión y se eliminan
durante el cierre de sesión.
Además, el identificador de sesión está separado del contexto de sesión. El contexto de la sesión se mantiene en el lado del servidor
(estado de seguridad). El identificador de sesión es sólo una referencia al contexto de sesión, transmitida a través de la galleta.
Se activa sesiones de seguridad HTTP utilizando el siguiente procedimiento:
1. Iniciar la gestión de sesiones HTTP (transacción SICF_SESSIONS). Una lista de todos los clientes
que existe en el sistema aparece.
2. Seleccione la línea correspondiente y seleccione Activar.
3. sesiones de visualización en la transacción SM05.
Insinuación:
El registro de auditoría de seguridad registra esta activación o desactivación de gestión de sesiones HTTP de
seguridad.
sesiones HTTP de seguridad tienen el siguiente impacto:

● URL que contengan la cookie llamada SAP-ContextID ya no son suficientes para tener acceso a los recursos protegidos.
En cambio, la cookie llamada SAP_SESSIONID_ <sid> _ <cliente> se requiere para ser transmitida con la misma petición
HTTP.
● Algunos plug-ins y applets pueden experimentar problemas; consulte la nota SAP 1317545 para más detalles.
● Para la comunicación HTTP saliente, debe modificar la configuración predeterminada de un destino (transacción SM59) para
aceptar cookies.
● servicios y servicios públicos con identidad configurada nunca evaluar o crear sesiones de seguridad (no en modo
mixto).
● Seguridad de la sesión ID cookie es huésped específico. Por lo tanto, se requiere un equilibrador de carga. Con sesiones HTTP de seguridad, una
sesión de inactividad tiempo de espera se introduce de la siguiente manera:
● La ausencia de comunicación HTTP se trata como inactividad.
● El procesamiento de solicitudes HTTP entrantes se actualizará una marca de tiempo menos utilizada recientemente (LRU).
● Por motivos de rendimiento, la marca de tiempo LRU se implementa mediante una caché específica del servidor.
● Después de cada 60 segundos, la memoria caché se analizan en busca de las sesiones inactivas y caducados (por servidor).
● sesiones inactivas y expirados y todos los contextos de aplicación asociados (incluyendo los recursos de los servidores asignados) se
terminan. Otros nodos de servidor son notificados de este caso. Sin embargo, en el caso de las sesiones de SAML asociadas, ninguna
notificación se envía al proveedor de identidad SAML.
● En situaciones en las que la memoria caché está llena, el sistema crea sesiones de seguridad con un período de validez fijo. Esta es una
respuesta de emergencia por el sistema y los resultados en las entradas del registro del sistema.
● Durante la puesta en marcha y parada controlada, cada instancia de servidor suprime sus propios contextos de seguridad (tabla
SEC_CONTEXT_COPY); el último servidor desencadena la terminación de todo el sistema del contexto de seguridad (tabla
SECURITY_CONTEXT).
Administrador de contraseñas
Figura 74: Password Manager

Incluso en el más sofisticado paisaje de sesión único, algunas aplicaciones por lo general permanecen eso no puede utilizar su
tecnología de inicio de sesión único de elección. Estos son por lo general los sistemas de legado o de cosecha propia. El componente
de administrador de contraseñas ofrece una posibilidad sencilla de sesión, seguro individual para estas aplicaciones.
Para implementar esta solución, se instala el componente gestor de contraseñas de SAP NetWeaver inicio de sesión único, el cual es un
componente autónomo, que no requiere conexión a un dispositivo de autenticación por separado. La autenticación se basa en el nombre de
usuario y contraseña. administrador de contraseñas ofrece un almacenamiento seguro para todas las contraseñas que quedan en los
clientes locales. También proporciona la captura automática de datos de acceso.
Para la autenticación de un SAP NetWeaver AS que permite SSO para otros sistemas, puede hacer que las entradas de inicio de sesión del
sistema de emisión a los usuarios. El usuario puede acceder a otros sistemas que utilizan el billete de entrada como el token de autenticación
en lugar de tener que introducir repetidamente su ID de usuario y la contraseña.
SAML es un estándar que define un lenguaje para el intercambio de información de seguridad entre los socios. El estándar
SAML es impulsado por la Organización para el Avance de Estándares de Información Estructurada (OASIS). SAML utiliza
afirmaciones que contienen afirmaciones sobre los sujetos, autenticaciones, autorizaciones y atributos. SAML token perfil se
desarrolla por la OASIS Web de Servicios de Seguridad (WS Seguridad) Comité Técnico como un estándar para integrar y
utilizar SAML para WS Seguridad.
A pesar de que tanto el perfil token de SAML y el artefacto SAML navegador utilizan el estándar SAML para la transferencia de
información de seguridad, que se utilizan para diferentes propósitos de autenticación. SAML perfiles de fichas se utilizan para la
autenticación de acceso a nivel de WS mensaje de Protocolo simple de acceso a objetos (SOAP). artefactos SAML navegador se
utilizan para autenticar acceso basado en web desde un navegador web.
El AS Java implementa el estándar de JAAS para admitir varios métodos de autenticación. Esto le permite elegir los mecanismos de
autenticación necesarios para sus aplicaciones. Las aplicaciones que se ejecutan en el AS Java pueden utilizar la autenticación sea
declarativa o programática. Ambos tipos de autentificación se basan en la misma tecnología subyacente, módulos de registro, y las
pilas de módulos de inicio de sesión. Adicionalmente, la autenticación programática utiliza esquemas de autenticación. barcos de
inicio de sesión de SAP módulos y esquemas de autenticación para apoyar diversos mecanismos de autenticación.
Insinuación:
Tenga en cuenta que desde la versión 3.0, SSL también se llama TLS (Transport Layer Security).


Unidad 3
Ejercicio 6
Conectarse a Java utilizando SSO
Ejemplo de negocios
Su asesor le dijo Single-Sign On fue instalado en el servidor de SAP NetWeaver Java Application. ¿Quieres probar el inicio de
sesión único características de su JAS para verificar la configuración.
1. Iniciar sesión en el ADM-WTS usando tren-## y inicial e iniciar el Ingreso de cliente seguro.
2. Prueba de la conexión segura a la consola de administración UME utilizando la URL https: //

smhost.wdf.sap.corp: 59001 / UserAdmin.

Unidad 3
Solución 6
Conectarse a Java utilizando SSO
Ejemplo de negocios
Su asesor le dijo Single-Sign On fue instalado en el servidor de SAP NetWeaver Java Application. ¿Quieres probar el inicio de
sesión único características de su JAS para verificar la configuración.
1. Iniciar sesión en el ADM-WTS usando tren-## y inicial e iniciar el Ingreso de cliente seguro.
una) Iniciar el Secure Login Cliente en la bandeja de Windows.
segundo) Si no hay entrada de SAP como la autenticación de Java aparece, seleccione Expediente → Opciones.
do) En la ficha Grupos de directivas proporcionar los siguientes URL https: //smhost.wdf.sap.corp:
59001 y seleccione Refrescar.
re) Botón derecho del ratón SAP Java Authentication AS y elige Iniciar sesión.
2. Prueba de la conexión segura a la consola de administración UME utilizando la URL https: //

smhost.wdf.sap.corp: 59001 / UserAdmin.
una) Abra un navegador y escriba la dirección URL: https: //smhost.wdf.sap.corp: 59001 /

UserAdmin.

Resumen de la lección
Ahora debería ser capaz de:
● Utilizar inicio de sesión único (SSO) en los sistemas SAP


Unidad 3
Evaluación del aprendizaje
1. Cuál de las siguientes se combina a menudo con la capa de transporte y es conocido por establecer y
mantener canal de comunicación?
Escoja la respuesta correcta.
X UNA Capa de aplicación
X segundo Capa de presentación
X do Capa de red
X re capa de sesión
2. Cuando se habilita la comunicación de red segura (SNC) en SAP NetWeaver AS, el SECUDIR variable de
entorno se debe establecer en la ubicación del billete licencia.
Determinar si esta afirmación es cierta o falsa.
X Cierto
X Falso
3. ¿Cuál de los siguientes tipos de Secure Socket Layer (SSL) del servidor de seguridad personal Entornos (PSE) puede ser
utilizado por los ejércitos?
Escoge las respuestas correctas.
X UNA Estándar
X segundo Anónimo
X do Individual
X re Compartido

Unidad 3: Evaluación del Aprendizaje
4. ¿Cuál de los siguientes módulos de registro Java Application Server (AS Java) se utiliza para el inicio de sesión único (SSO) con
autenticación Kerberos?
X UNA BasicPasswordLoginModule
X segundo CreateTicketLoginModule
X do SPNegoLoginModule
X re ClientCertificateLoginModule

Unidad 3
Evaluación del Aprendizaje - Respuestas
1. Cuál de las siguientes se combina a menudo con la capa de transporte y es conocido por establecer y
mantener canal de comunicación?
X UNA Capa de aplicación
X segundo Capa de presentación
X do Capa de red
X re capa de sesión
2. Cuando se habilita la comunicación de red segura (SNC) en SAP NetWeaver AS, el SECUDIR variable de
entorno se debe establecer en la ubicación del billete licencia.
Determinar si esta afirmación es cierta o falsa.
X Cierto
X Falso
3. ¿Cuál de los siguientes tipos de Secure Socket Layer (SSL) del servidor de seguridad personal Entornos (PSE) puede ser
utilizado por los ejércitos?
Escoge las respuestas correctas.
X UNA Estándar
X segundo Anónimo
X do Individual
X re Compartido

Unidad 3: Evaluación de Aprendizaje - Respuestas
4. ¿Cuál de los siguientes módulos de registro Java Application Server (AS Java) se utiliza para el inicio de sesión único (SSO) con
autenticación Kerberos?
X UNA BasicPasswordLoginModule
X segundo CreateTicketLoginModule
X do SPNegoLoginModule
X re ClientCertificateLoginModule

UNIDAD 4 Cumplimiento y Aprovisionamiento
Las aplicaciones de SAP
Lección 1
Explicando GRC de SAP 154
Lección 2
Describiendo GRC de SAP 169

Ejercicio 7: Asignación de Control de Acceso Propietario Tipos a los aprobadores 195
Ejercicio 8: aprovisionar a los usuarios con herramientas de control de acceso 197
Ejercicio 9: Informes de análisis de riesgos Run 203
Lección 3
El uso de SAP Gestión de Identidad 207

Ejercicio 10: aprovisionar a los usuarios con la administración de identidades SAP 223
Lección 4
La implementación de administración de usuarios central (CUA) 227

Ejercicio 11: Distribución de datos de usuarios con CUA 249
lección 5
Al explicar los servicios de directorio 255
OBJETIVOS DE LA UNIDAD
● Explicar SAP GRC
● Explicar SAP Gobierno, Riesgo y Cumplimiento 10.x (GRC)
● Explicar el propósito de Gestión de Identidad SAP
● Utilice SAP Gestión de Identidad para aprovisionar a los usuarios
● Explicar Administración de usuarios central (CUA)
● Establecer una administración de usuarios central (CUA)
● Explicar los servicios de directorio

Unidad 4
Lección 1
Explicando GRC de SAP
En esta lección, aprenderá sobre SAP GRC.
OBJETIVOS DE LA LECCIÓN
Después de completar esta lección, usted será capaz de:
SAP GRC general
Figura 75: Soluciones para SAP de GRC - suite integrada
soluciones de cumplimiento (GRC) de SAP Gobierno, Riesgo y proporcionan a las organizaciones con un enfoque preventivo, en tiempo
real para SAP GRC en entornos heterogéneos, lo que permite una visión completa en las iniciativas de riesgo y cumplimiento, una mayor
eficiencia y una respuesta más rápida a las cambiantes condiciones del negocio.
El área de GRC en la Comunidad SCN (http://scn.sap.com/community/grc) tiene como objetivo ser un foro de expertos en procesos de
negocio que están utilizando o tienen la intención de utilizar las soluciones SAP GRC. Eso

Lección: Explicar GRC de SAP
También presenta las mejores prácticas y la metodología detrás de estas soluciones y demuestra la forma en que se utilizan en
una variedad de industrias y áreas de soluciones de negocio. El SAP GRC soluciones hoja de ruta comprende varias aplicaciones,
incluyendo SAP de control de acceso, que permite a todas las partes interesadas de cumplimiento corporativo para controlar el
acceso y prevenir el fraude en todo el control de la empresa y SAP Proceso, que proporciona a las organizaciones de vigilancia de
control continuo.
Dirección de Auditoría SAP es una parte de la suite integrada de soluciones SAP para GRC. La cartera de
SAP GRC incluye lo siguiente:
● Seis soluciones básicas y 3 aplicaciones móviles.
● Presentación de informes y una licencia de tiempo de ejecución para el estándar BOBJ informes como informes y cuadros de mando. Cientos
de informes predefinidos están disponibles a través de estas soluciones para proporcionar información clave para las partes interesadas, así
como propietarios de los procesos y de los auditores.
● La integración nativa de SAP que se puede extender a los no-SAP y una variedad de sistemas heredados a través de nuestro
socio Greenlight Technologies. Algunos de los conectores de Greenlight están disponibles fuera de la caja, incluyendo
dispositivos de conexión a Oracle y Peoplesoft con acceso y control de procesos, mientras que otros son soluciones
avaladas-SAP como el Greenlight RTA Design Studio (que permite a los clientes aprovechar conectores predefinidos a otros
sistemas ERP de SAP comercial o construir nuevos conectores, incluyendo al legado o “cosecha propia” soluciones).
Figura 76: La suite de aplicaciones de SAP GRC
Control de Acceso SAP
SAP de control de acceso permite a los clientes gestionar el riesgo de acceso y prevenir el fraude. La automatización es clave aquí.
analizar el riesgo
Analizar el riesgo, encontrar una segregación de remediación de los deberes (SOD) y violaciónes de acceso crítico. La automatización es clave -
muchos clientes tienen una matriz de reglas de separación de tareas, pero la aplicación es completamente manual.

Unidad 4: Cumplimiento y de aprovisionamiento de aplicaciones SAP
● Control de Acceso SAP viene con un conjunto de reglas predefinidas sobre la base de experiencias de mejores prácticas.
● La automatización permite el análisis en tiempo real de los sistemas SAP y no SAP. Para aquellos que lo deseen, la presentación de informes
en línea también está disponible.
● Tomar medidas para remediar violaciónes de riesgo de acceso con funcionalidad para la mitigación de los controles
● Simular los cambios a los usuarios, roles, perfiles u objetos HR para evitar violaciónes de ser asignado.
administrar el acceso
Administrar el acceso, automatizar la solicitud y asignación de usuarios y roles a través de los sistemas SAP y no-SAP.
● Flujo de trabajo impulsado proceso de solicitud y aprobación con capacidades de autoservicio
● Forzar el análisis de riesgos y remediación antes de la asignación de funciones a los usuarios para mantener ambiente limpio
● Se integra con las soluciones de gestión de identidad de terceros SAP NetWeaver y para la gestión de identidades
compatible para toda la empresa
● Las conexiones a las versiones de Oracle, JD Edwards, PeopleSoft y se entregan con la licencia de control de acceso
de SAP
mantener Roles
Definir y mantener roles en términos de negocio
● metodología para la definición de función configurable y mantenimiento, con la integración del flujo de trabajo para la
aprobación de rol
● Definir las funciones en términos de negocio y el lenguaje que es familiar para el negocio, conduciendo la propiedad del negocio
● Analizar y optimizar las asignaciones de funciones con informes integrados y la Analítica de rol aplicación de control de acceso
de SAP
Certificar autorizaciones
Mantener los ambientes limpios con reseñas de usuarios periódicas y certificaciones de rol
● opiniones de acceso de usuarios
● La segregación de funciones críticas de riesgo
● Las confirmaciones de rol
Los privilegios del monitor
Mantener los ambientes limpios con la supervisión adicional de los privilegios de acceso de los usuarios y de emergencia
● proceso de acceso de emergencia en bucle cerrado
● Recogida y presentación de informes sobre usuarios y roles detalles de uso de transacciones
● Las notificaciones de alerta basados en el uso de la acción conflictiva o sensible

● Cuadros de mando e informes con SAP BusinessObjects soluciones de informes, así como extensiones para
informes personalizados
Control de Procesos SAP
SAP Process Control proporciona integral, de extremo a extremo de gestión de cumplimiento y controles incluidos los
siguientes:
Documento
Mantener su cumplimiento y las estructuras de control, que incluye la creación de organizaciones, procesos de negocio,
riesgos y controles. Establecer las regulaciones e iniciativas internas, además de las políticas relevantes de la compañía.
Determinar qué estructuras se comparten a través de regulaciones ya través de GRC. Utilizar reglas para acceder a los
sistemas SAP y no SAP para pruebas y monitoreo automatizado.
Alcance
Realizar análisis de materialidad y evaluar riesgos para determinar las organizaciones y procesos en-ámbito de aplicación. Usar la
información resultante para determinar el nivel de evidencia y prueba estrategias que aseguren ni por encima de la prueba (costosa)
ni los controles bajo prueba (poco fiables). Identificar el alcance de las políticas y métodos de aceptación de las políticas.
Evaluar
Horario de extremo a extremo, pruebas de flujo de trabajo impulsado, evaluaciones y actividades de supervisión para ejecutar sus estrategias de
prueba. Todas las cuestiones planteadas (durante las evaluaciones automatizadas o manuales) se realiza un seguimiento hasta la finalización de
las actividades de remediación y cierre de edición. También, distribuir las políticas, a continuación, recibir y aceptaciones de política documento.
Monitor
automatización, control de palanca y backend de integración para realizar un seguimiento y revisar las excepciones
señaladas por los procesos de monitoreo continuo.
Informe
Use incrustado análisis e informes que proporcionan información continua sobre el estado de cumplimiento y controles basados
en datos fiables y auditables. Aprovechar la muestra jerárquica de certificaciones para documentar la aceptación de la
responsabilidad de los controles internos y para congelar el estado de los datos para garantizar una información histórica real
sin la necesidad de archivar.
SAP Gestión de Riesgos
SAP Gestión de Riesgos proporciona una solución integral para la gestión de todos los riesgos y la conducción de la
colaboración y la coherencia en toda la organización, incluyendo las siguientes:
Plan
Asegúrese de que su iniciativa de gestión del riesgo comienza con la comprensión completa de un contexto: ¿Qué impulsa
el valor del negocio? ¿Cuál es el nivel de riesgo? ¿Cuáles son los objetivos que están tratando de lograr? RM proporciona
la capacidad para representar y describir los elementos esenciales del contexto de la gestión de riesgos de su
organización. ¿Qué significa esto para ti? Esto significa que usted puede enfocar su aplicación de gestión de riesgos en lo
que es más relevante para su negocio.
Enlazar
Seleccionar y / o crear y conectar los elementos pertinentes y la información asociada al contexto de la organización.
Entender cómo los riesgos están relacionados con las organizaciones, los objetivos y procesos.

Analizar
Analizar los riesgos de entender su comportamiento, las tendencias y los impactos que causan el fin de orientar las decisiones de gestión
de riesgos. ¿Cómo las variables, los conductores de riesgo, controles, etc. impactos se comportan en combinación y con el tiempo.
Responder
Considere una amplia gama de respuestas a los riesgos, incluyendo la integración con la administración de directivas de PC o
capacidad de control automatizado. SAP proporciona contenido relevante para las respuestas al riesgo y se integra tanto con control de
acceso y control de procesos para los controles.
Supervisar e informar
Los riesgos están cambiando constantemente y deben ser controlados continuamente. propietarios de los riesgos y otras partes
interesadas necesitan saber el marco de gestión de riesgos está funcionando eficazmente. Los informes incluyen varios mapas de
calor y alertas.
Gestión de Fraude SAP
SAP Gestión de Fraude incluye las siguientes características:
● Detectar el fraude en tiempo real dentro de los procesos de negocio y por detección de masas mediante estrategias múltiples de reglas
● Investigar las transacciones fraudulentas de manera eficiente con las capacidades de gestión de alertas y herramienta de analizador de redes
● Evitar el fraude al detener las transacciones comerciales fraudulentas y la optimización de procesos
● Reducir los falsos positivos de calibración en tiempo real y simulación en los datos actuales e históricos
● Con tecnología de SAP HANA, un alto rendimiento, configurable y escalable solución estándar
Auditoría de Gestión SAP
Auditoría de Gestión SAP le permite completar el siguiente:
● Crear un universo de auditoría completo, centrar los esfuerzos en lo que es más importante, aprovechar la integración de la
Dirección de Auditoría con la Gestión de Riesgo de SAP, y asegurar la cobertura de las áreas críticas
● Automatizar el proceso y aprovechar la integración con las aplicaciones de GRC y en los procesos empresariales críticos, para
una visión precisa y oportuna, y la presentación de informes y comunicación de resultados eficaces
● Con flujos de trabajo de mejores prácticas para la emisión y gestión de planes de acción, que trabajan en sinergia con la Gestión
de Riesgos y Control de Procesos SAP, para la mejora continua de la mitigación del riesgo y el rendimiento empresarial
- Alinear las auditorías y priorizar los recursos en función de la exposición al riesgo (riesgos evaluados en la Gestión del Riesgo de SAP o
dentro de Gestión de Auditoría)
- Optimizar la planificación de auditoría y automatizar las actividades clave de auditoría, para aumentar la eficacia y reducir el esfuerzo y
el coste
- Mejorar la información y la comunicación a la empresa, mediante el aprovechamiento de la tecnología de SAP
BusinessObjects y potentes herramientas de análisis

- Aproveche la integración con Control de Procesos SAP para comprobar la eficacia de control de llaves a través de los procesos de negocio
de extremo a extremo y gestionar los problemas compartidos
- Proteger el valor de negocio a través de la detección y el análisis de los fallos e ineficiencias, y mejor, una acción más rápida
- Gestionar mejor emisión y planes de acción y monitorear el progreso, también aprovechando la integración con Control de Procesos
SAP para problemas comunes.
- GTS permite una mejor gestión de las operaciones comerciales globales mediante la automatización de muchos procesos comerciales
críticos y también integrar directamente con la cadena de suministro
Global Trade Services
La solución Global Trade Services ayuda a las empresas a automatizar el cumplimiento del comercio y lograr tres objetivos
principales:
● Permite una mejor gestión de las operaciones comerciales globales mediante la automatización de muchos procesos comerciales críticos y también
integrar directamente con los sistemas de la cadena de suministro. El resultado: el cumplimiento continuo comercio a un menor esfuerzo, tiempo y
costo.
● Ayuda a las empresas para asegurar el cumplimiento continuo, proporcionando una solución de cumplimiento de comercio
mundial global e integrada. capacidades críticas están incorporados, como la detección lista-parte sancionada para evitar el
comercio inapropiada e ilegal y la capacidad de gestionar múltiples programas de cumplimiento de comercio mundial cohesiva.
● Permite a las empresas a optimizar la cadena de suministro transfronterizo mediante la automatización y la optimización de las actividades
de comercio para acelerar las transacciones y satisfacer consistentemente compromisos con los clientes.
Riesgos
Existen los siguientes tipos de riesgo:
● riesgos estratégicos
● Riesgo operacional
● Riesgo financiero
● Riesgo de fraude
● Riesgo de cumplimiento
● Riesgo reputacional
● riesgo de la cadena de suministro
Las empresas con una perspectiva avanzada de las prácticas de gestión de riesgos y madura reconocen que el
riesgo está presente en todo su negocio.
Las empresas tienen que darse cuenta de que los riesgos pueden tener un impacto negativo en el rendimiento. Ellos deben
entender la relación entre el riesgo y el rendimiento, y también entender cómo optimizar sus negocios a la luz de los riesgos a los
que están expuestos. Las soluciones de GRC ayudar a las empresas a prevenir, gestionar y responder a los riesgos.
Aplicaciones SAP GRC para dispositivos móviles
Las aplicaciones de SAP GRC están disponibles como aplicaciones para teléfonos inteligentes. Las aplicaciones de SAP GRC permiten a los usuarios, tales
como gerentes, para llevar a cabo lo siguiente:

● Revisar y aprobar las solicitudes de acceso sensibles al tiempo y operativa-críticos.
● Permitir a los empleados autorizados obtener acceso a los sistemas.
● sistemas de acceso que utilizan los teléfonos inteligentes.
● Asistir a su trabajo de una manera oportuna.
● Muestran listas de peticiones de acceso de usuario y bombero.
● Revisar las solicitudes de acceso de los usuarios y los bomberos, con datos de acceso.
● Revisar los riesgos asociados a una solicitud (si el análisis de riesgo ya se ha realizado).
● Llame o usuarios de correo electrónico para solicitar información adicional.
● Añadir comentarios antes de aprobar o rechazar las solicitudes.
● es necesario transmitir las peticiones a las personas en su lista de contactos en caso de un mayor análisis y simulación.
El uso de las aplicaciones, los usuarios, tales como gerentes, pueden revisar los riesgos asociados a la solicitud de acceso y añadir
comentarios antes de aprobar o rechazar la solicitud, según el caso. La integración con la aplicación de contactos integrada hace que sea
rápido y fácil de contactar con los usuarios para obtener información adicional o para reenviar solicitudes a los colegas para su posterior
análisis.
SAP Fiori Launchpad
Figura 77: SAP Fiori Launchpad
SAP Fiori plataforma de lanzamiento es un tiempo real, contextual, basada en roles y punto de agregación personalizada para las aplicaciones
empresariales planificados para ser desplegados en múltiples plataformas - ABAP (disponible en la actualidad), SAP Portal, Portal de la nube y SAP
HANA. Se ejecuta en múltiples tipos de dispositivos y proporciona

un único punto de acceso para las aplicaciones empresariales tales como transaccionales, informativa, inteligentes, aplicaciones de
negocios analíticos y otros.
Los beneficios de SAP Fiori Launchpad
SAP Fiori LAUNCHPAD beneficios clave:
● experiencia de usuario intuitiva, fácil y coherente - Simple
● basado en roles - de navegación simplificado, basado papel y acceso a las funciones de negocio
● Contextuales - en tiempo real, contextual y acceso personalizado
● Responsive - consumo a través de dispositivos, versiones y canales con una sola experiencia de usuario
● Multiplataforma - planeado estar en ejecución en múltiples plataformas - ABAP (disponible en la actualidad), SAP Portal, SAP
HANA Portal de la nube y SAP HANA
SAP Fiori Launchpad se ejecuta en múltiples dispositivos, utilizando un diseño de la tela, y se puede desplegar en múltiples plataformas.
SAP Fiori apoya estableció tecnologías de interfaz de usuario.
La plataforma de lanzamiento de SAP Fiori proporciona un único punto de entrada para el usuario final que simplifica el acceso a las tareas y datos de
aplicaciones críticas para el negocio. SAP Fiori UX es compatible con una variedad de papeles en las líneas de negocio, incluyendo recursos
humanos, finanzas, fabricación, adquisición y ventas. Hay más de 360 aplicaciones basadas en funciones que se aplican al SAP Fiori UX, lo que
aumenta la productividad del usuario y personalización para los clientes que utilizan SAP Business Suite en cualquier base de datos y Suite de SAP
Business powered by SAP HANA.
Características SAP Fiori Launchpad
SAP Fiori plataforma de lanzamiento incluye las siguientes características:
● basado en roles único punto de entrada
● Noticias y alimenta para apoyar la colaboración
● organización de contenido personalizado
● Buscar a través de múltiples aplicaciones
● alertas de color codificado
● Acceso SAP Jam
● En tiempo real, gráficos dinámicos
Punto de entrada
SAP comprende la necesidad de una rápida aceleración para los usuarios finales y facilidad de uso para todos los usuarios. También hay una
necesidad de coherencia de las interfaces a través de dispositivos (PC, tableta, y los dispositivos móviles). SAP Fiori y la más reciente de SAP
interfaces de usuario demuestran el compromiso de SAP para la simplicidad en el uso del software.
Tipos de aplicaciones

Figura 78: SAP Tipos Fiori App
Los siguientes tipos de aplicaciones están disponibles en SAP Fiori:
● aplicaciones de transacción - permite a los usuarios realizar tareas de transacción. aplicaciones transaccionales funcionan con cualquier base de datos
de SAP apoyado, incluyendo SAP HANA.
● aplicaciones analíticas - proporciona a los usuarios una visión basada en roles en indicadores clave de rendimiento. aplicaciones analíticas
requieren SAP HANA.
● Informativa de apps- muestra información contextual y datos clave acerca de los objetos centrales utilizados en operaciones comerciales. Hoja
informativa aplicaciones requieren SAP HANA.
Arquitectura y Paisaje

Figura 79: SAP paisaje Fiori
De Alto Nivel de SAP paisaje Fiori para Aplicaciones
Un paisaje de alto nivel típico para aplicaciones SAP Fiori incluiría los siguientes componentes:
● Reverse servidor proxy: el punto de entrada para las solicitudes HTTP, rechaza o acepta solicitudes y decide qué solicitudes
aceptadas servidor deben ser enviados
● ABAP servidor front-end - contiene todos los componentes de interfaz de usuario y SAP NetWeaver Portal
● servidor backend ABAP - contiene la suite de negocios de back-end y el modelo de búsqueda de hojas de datos
● SAP HANA XS motor - se usa para todas las aplicaciones analíticas
El despachador Web SAP es el punto de entrada para HTTP (S) peticiones. Se puede rechazar o aceptar conexiones. Cuando se
acepta una conexión, selecciona un servidor de aplicaciones apropiado y equilibra la carga para asegurar una distribución uniforme a
través de los servidores.
El servidor de extremo frontal contiene la capa de interfaz de usuario completa que consiste en los siguientes componentes:
● IU central complemento - contiene la biblioteca de control de SAP UI5 y la plataforma de lanzamiento de SAP Fiori
● Productos específicos de interfaz de usuario complementos - contiene desarrollos de interfaz de usuario para el producto Business Suite respectiva, tales
como ERP-FIN, ERP-SD, MM-ERP, CRM o SCM
● SAP NetWeaver Gateway - proporciona un marco de desarrollo, que ofrece herramientas de desarrollo y de generación
para crear servicios OData a una variedad de herramientas de desarrollo de cliente. Este marco establece una conexión
entre los datos de SAP Business Suite y clientes objetivo, plataformas y marco de programación.
● SAP Fiori Supportpacks - contiene nuevas aplicaciones liberadas así como de bugs / parches para aplicaciones existentes

● ABAP servidor de back-end - contiene la lógica de negocio y datos de back-end
● servicios y datos OData modelo - incluye el paquete de mejora Business Suite por producto
● HANA XS Motor - contiene el contenido de la aplicación SAP Fiori y el contenido VDM reutilización. Este contenido es
proporcionado a través de SAP HANA en vivo, que se incluye con SAP HANA como un paquete separado.
SAP Fiori componentes del paisaje
Dependiendo de la infraestructura del sistema, se utilizan los siguientes componentes:
Cliente
Para ser capaz de ejecutar aplicaciones SAP Fiori, el entorno de ejecución (por ejemplo, el navegador del cliente) debe ser compatible con
HTML5.
ABAP servidor de aplicaciones para
El servidor de aplicaciones ABAP contiene todos los componentes de la infraestructura para generar una interfaz de usuario de la aplicación
específica de SAP Fiori para el cliente y para comunicarse con los sistemas de back-end de SAP Business Suite. Los componentes de interfaz de
usuario y la puerta de entrada se basan en la plataforma SAP NetWeaver. Típicamente, ambos se despliegan en el mismo servidor.
El componente central de la interfaz de usuario es un marco que proporciona la infraestructura común para todas las aplicaciones de SAP Fiori. SAP
Fiori plataforma de lanzamiento es la base de toda SAP Fiori interfaces de usuario y proporciona funciones fundamentales para SAP Fiori aplicaciones
como inicio de sesión, el encolado superficial, la navegación entre aplicaciones y los catálogos de aplicaciones con base de roles. Los usuarios finales
acceden al SAP Fiori Aplicaciones de la plataforma de lanzamiento de SAP Fiori.
Las interfaces de usuario específicas para las aplicaciones se entregan como la interfaz de usuario específica del producto productos
complementarios de SAP Business Suite, que deben ser instalados, además, en el servidor front-end. SAP puerta de enlace se encarga
de la comunicación entre el cliente y el SAP Business Suite back-end.
SAP Gateway utiliza los servicios OData para proporcionar datos y funciones de back-end, y procesa las solicitudes
HTTPS para los servicios OData. Las aplicaciones transaccionales, que se actualizan los datos en los sistemas de SAP
Business Suite, utilizan este canal de comunicación.
ABAP servidor back-end
En el servidor back-end de ABAP, los productos de SAP Business Suite están instalados, que proporcionan la lógica de
negocio y los datos de back-end, incluidos los usuarios, roles y autorizaciones. Los complementos para las aplicaciones SAP
Fiori se liberan de forma continua en módulos de apoyo. El servidor back-end se basa en SAP NetWeaver.
Base de datos
SAP HANA es una plataforma de base de datos en memoria que se puede utilizar para analizar grandes volúmenes de datos en tiempo real.
anyDB significa cualquier base de datos que almacena los datos del servidor back-end. Para aplicaciones transaccionales, cualquier base de
datos se puede implementar en lugar de SAP HANA.
Requisitos previos para la implementación de SAP Fiori
Todos los sistemas de SAP ABAP requieren los mismos componentes estándar incluidng SAP_BASIS, SAP_ABAP, y así
sucesivamente. sistemas SAP Fiori requerirán los mismos componentes técnicos estándar, además de los siguientes
componentes adicionales para ejecutar SAP Fiori:
● SAP_GWFND
● SAP_UI

● UIGRC001
● NetWeaver puerta de enlace 2,0
● Tecnologías de interfaz de usuario
● SAP Fiori para soluciones SAP para GRC 1,0
SAP ABAP front-end opciones de implementación del servidor
Figura 80: Opciones de implementación de SAP ABAP servidor cliente
Para ejecutar aplicaciones SAP Fiori, recomendamos que utilice un concentrador central de despliegue de SAP Gateway. Para
una implementación de cubo central, instalar SAP pasarela independiente de las tecnologías de consumo en un sistema
autónomo, ya sea delante o detrás del firewall. Esto separa los componentes de back-end de los componentes front-end. No
recomendamos la opción de despliegue incorporado.
La activación de SAP Fiori
La activación de los modelos de servicios requeridos se requiere que los datos se recuperan de un sistema SAP Business Suite, tales
como un sistema de back-end. Es necesario mantener los servicios específicos de GRC para su uso por el SAP GRC Fiori Aplicaciones.
Utilizar estos estándares de nomenclatura que ayudan a identificar los servicios específicos requeridos: GRAC y GRC. Los siguientes son
ejemplos de esta convención de nomenclatura:
● GRAC_GW_VIOLSUMM_REM_SRV
● GRC_ACCESSREQ_COMPLIANCE_APPROVE
SAP GRC Fiori ofrece una variedad de aplicaciones para el Control de Acceso SAP GRC. Estos incluyen aplicaciones transaccionales,
aplicaciones analíticas y hojas de datos.

Figura 81: SAP Fiori UX para SAP GRC Access Control
aplicaciones de control de acceso Fiori incluyen los siguientes componentes:
● acceso aprobador
● Control de acceso de usuario
● Riesgo de acceso
● Compruebe Petición de Estado
● El cumplimiento aprobador
● control de la mitigación
● Solicitar acceso
● Petición de acceso para los Otros
● Papel
Control de acceso transaccional App
Con la aplicación transaccional acceso aprobador, puede aprobar, rechazar o solicitudes de acceso hacia adelante que se han
presentado para su aprobación. Puede ver qué solicitudes tienen riesgos y, utilizando las capacidades de análisis, explorar más
información acerca del nivel de riesgo y las acciones que creó los riesgos. También puedes dejar un comentario acerca de su decisión.
Características principales:
Características principales de la aplicación de control de acceso transaccional
La aplicación de control de acceso transaccional incluye las siguientes características principales:
● Considerando que los riesgos asociados a cada función solicitada.
● Buscar las solicitudes de acceso por número de solicitud o nombre de usuario.
● Revisar las solicitudes de acceso presentadas para su aprobación.
● Ver cuántos días la solicitud ha estado pendiente.
● Aprobar o reenviar la solicitud de acceso y añadir una razón para su decisión.
● Transmitirá la solicitud de revisión de cumplimiento si existen riesgos no mitigados en la solicitud.

● Evitar el riesgo de rechazo de una o más funciones para los casos en que se solicitan varias funciones al mismo tiempo. A
continuación, el aprobador puede aprobar todas las funciones restantes y agregar un comentario sobre la decisión.
Solicitar acceso transaccional App
Con la aplicación de solicitud transaccional Access, puede buscar y seleccionar las funciones que le permiten acceder a aplicaciones
específicas dentro de su entorno de empresa. Una vez que selecciona las funciones que desee, debe enviar su solicitud de acceso. Las
funciones se asignan a que una vez que la solicitud es aprobada.
Características principales de la solicitud de acceso transaccional App
La petición de acceso transaccional aplicación incluye las siguientes características principales:
● Búsqueda de roles por nombre de rol, descripción de la función, procesos de negocio, área funcional, la empresa y la acción.
● Sistema de Selección de papeles con 1 clic.
● Especificar un motivo de la solicitud o elegir un motivo predefinido.
● Presentar la solicitud de acceso.
● Comprobar el estado de su solicitud con la aplicación Comprobar estado.
Compruebe estado de solicitud de transacciones de aplicaciones
Con la aplicación transaccional Comprobar estado de solicitud se pueden buscar las solicitudes de acceso que se han presentado
para su aprobación por ti y por otros para los cuales se haya solicitado el acceso. Puede ver el estado de aprobación para cada
elemento de la solicitud. También puede ver a quien se encamina cada elemento.
Características principales de la comprobación de estado de solicitud de transacciones de aplicaciones
El Registro de Petición de Estado transaccional aplicación incluye las siguientes características principales:
● Búsqueda de solicitudes presentadas por mí por mí mismo.
● Buscar las solicitudes presentadas por los demás para mí.
● Buscar las solicitudes presentadas por mí para otros.
● Búsqueda de roles por número de pedido, nombre de la función, descripción de la función, y la solicitud de la razón.
● Ver el estado de cada elemento de acceso como aprobado, pendiente de aprobación, y rechazado y ver la lista de
aprobadores asignadas.
● ver la información de contacto de cada aprobador y enviar un mensaje a esa persona
Solicitud de acceso para otros transaccional App
Con la aplicación transaccional petición de acceso para otros, puede buscar y seleccionar un usuario y seleccione las funciones que permiten
que el usuario tenga acceso a aplicaciones específicas dentro de su entorno de empresa. Una vez que seleccione las funciones que desee,
enviar su solicitud de acceso. Los roles se asignan una vez que la solicitud es aprobada. Puede utilizar la aplicación Comprobar solicitud de
estado a realizar el seguimiento del estado de aprobación de la solicitud.
Características clave de la petición de acceso para la aplicación transaccional Otros
La petición de acceso para otros transaccional aplicación incluye las siguientes características principales:

● Búsqueda de usuario por su primer nombre, el apellido y el nombre de usuario o por correo electrónico, dependiendo de su configuración.
● Seleccione papeles con 1 clic.
● Especificar un motivo de la solicitud o elegir un motivo predefinido.
● Presentar la solicitud de acceso.
● Comprobar el estado de su solicitud con la aplicación de comprobación de estado de solicitud.
El cumplimiento aprobador transaccional App
Con la aplicación transaccional Cumplimiento aprobador, un funcionario de cumplimiento puede realizar análisis de riesgos antes de
decidir si aprobar, rechazar o solicitudes de acceso hacia adelante que se han presentado para su aprobación. El funcionario puede
obtener una vista previa, que se añaden o eliminan los riesgos en función de la suma o la resta o un acceso. El funcionario puede mitigar
riesgos, según sea necesario.
Características clave de la Conformidad aprobador transaccional App
La aplicación de Cumplimiento aprobador transaccional incluye las siguientes características principales:
● Considerando que los riesgos asociados con cada acceso solicitado.
● Buscar las solicitudes de acceso por número de solicitud o nombre de usuario.
● Revisar las solicitudes de acceso presentadas para su aprobación.
● Ver cuántos días la solicitud ha estado pendiente.
● Aprobar o reenviar la solicitud de acceso y añadir una razón para su decisión.
● Mitigar el riesgo si existen riesgos no mitigados en una solicitud.
● Rechazar una o más accesos, si se solicitan múltiples accesos al mismo tiempo, posiblemente para evitar riesgos.
● Aprobar todos los accesos y añadir un comentario sobre la decisión.
● Añadir comentarios a la aprobación.
Ahora debería ser capaz de:

Unidad 4
Lección 2
Describiendo GRC de SAP
Esta lección explica SAP Gobierno, Riesgo y Cumplimiento (GRC) y cómo esta solución ayuda a las empresas de forma
proactiva equilibrar el riesgo y la oportunidad. Esta lección también explica las iniciativas de cumplimiento de diversas
regiones del mundo y los beneficios de una solución integrada.
OBJETIVOS DE LA LECCIÓN
Después de completar esta lección, usted será capaz de:
● Explicar SAP Gobierno, Riesgo y Cumplimiento 10.x (GRC)
Control de Acceso SAP (CA)

Introducción a SAP Gobierno, Riesgo y Cumplimiento 10.x (GRC)
Las empresas con una perspectiva avanzada de las prácticas de gestión de riesgos y madura reconocen que el
riesgo está presente en todo su negocio.
Las empresas tienen que darse cuenta de que los riesgos pueden tener un impacto negativo en el rendimiento. Ellos deben
entender la relación entre el riesgo y el rendimiento, y también entender cómo optimizar sus negocios a la luz de los riesgos a los
que están expuestos. Las soluciones SAP GRC ayudar a las empresas a prevenir, gestionar y responder a los riesgos.
Las iniciativas de GRC de SAP
requisitos de SAP GRC son omnipresentes. Conocimiento de su negocio, los riesgos relacionados, el cumplimiento y requisitos de la política es
fundamental para todo el mundo, en todas partes. Independientemente de su industria, independientemente del lugar donde usted se sienta en la
organización, hay una serie de preguntas que usted necesita preguntarse a sí mismo.
Los costos de no conocer los diferentes riesgos
El coste operacional puede ser importante en los casos siguientes:
● Si usted no es capaz de responder a preguntas importantes sobre su negocio
● Si no se puede abordar con confianza los requerimientos regulatorios complejos y cambiantes
● Si no se puede vincular sus inversiones en programas de GRC para el desempeño
Balanza de Riesgo y Oportunidad
Las soluciones SAP GRC ayudan a las empresas para equilibrar de forma proactiva los riesgos y oportunidades a través de los siguientes objetivos:
● Los clientes pueden gestionar mejor el riesgo, cumplimiento y otras iniciativas de GRC
● Los clientes pueden proteger mejor su valor

● Las organizaciones pueden obtener mejores resultados
El objetivo de las soluciones SAP GRC es permitir a las organizaciones para ver todos los riesgos y los problemas de cumplimiento para que
puedan tomar decisiones óptimas a la luz tanto de la oportunidad por delante y los riesgos relacionados.
Figura 82: Soluciones SAP GRC Modelo de Capacidad
El modelo ilustra la amplia gama de capacidades incorporadas con las soluciones de SAP GRC.
Nota:
Este modelo de capacidad no está destinado a representar la arquitectura técnica de ninguna manera.
Las soluciones SAP GRC consisten en las siguientes áreas principales de capacidades:
● Analizar
● Gestionar
● Monitor
SAP GRC Soluciones

Lección: Al describir GRC de SAP
Figura 83: soluciones SAP GRC
soluciones SAP GRC se entregan a través de cuatro soluciones primarias, como se muestra en la figura. Estas soluciones ayudan
a los clientes a automatizar riesgo y cumplimiento, protegen su valor, y optimizar su rendimiento.
Si las empresas se centran en las tres capacidades básicas que figuran en la figura, que son capaces de construir un nivel de inteligencia de
riesgos y aprovechar esta inteligencia de riesgo para aumentar el rendimiento. Las capacidades principales de Empresa GRC incluyen los
siguientes:
● Las empresas son capaces de automatizar las actividades de gestión de riesgos y cumplimiento clave que son a menudo manual,
consume tiempo, exige muchos recursos, y costoso. La automatización permite a las empresas a ser mucho más eficiente y eficaz
en la forma en que manejan estas actividades, lo que ayuda a mejorar el rendimiento.
● Las empresas son capaces de aprovechar las capacidades de monitoreo en tiempo real para monitorear el cumplimiento de Kris y eficacia.
Esto se hace para permitir a las empresas a identificar proactivamente y responder a cualquier aumento de la exposición de riesgo o
cumplimiento violación antes de que el negocio se ve afectada negativamente. Las compañías son capaces de minimizar el impacto y la
duración de, si no evitar por completo, los eventos de riesgo y violaciónes de cumplimiento.
● Las empresas son capaces de incorporar el riesgo y el cumplimiento en los procesos de planificación estratégica y operaciones de manera
que los principales procesos empresariales se ejecutan de forma inteligente frente al riesgo.
Gestión de Riesgos de acceso
El acceso de gestión de riesgos incluye los siguientes beneficios:
● Prevenir el acceso no autorizado
● Minimizar el tiempo y el coste de la gestión de riesgos de acceso
● Lograr la visibilidad en tiempo real para acceder riesgo
El reto empresarial de hoy es que las empresas siguen luchando para administrar eficazmente el riesgo de acceso, con la separación de
funciones (SOD) y los derechos de acceso excesivos son los principales contribuyentes a los hallazgos de fraude y de auditoría. Los requisitos
reglamentarios aumentan, resultando a menudo en múltiples equipos de cumplimiento en todos los departamentos y la confianza en el
cumplimiento Manual

procesos. Con miles de usuarios, funciones y procesos para poner a prueba y con varias aplicaciones cumplimiento gravar los recursos
informáticos, invierte demasiado tiempo la documentación de procesos para los auditores en lugar de centrarse en las operaciones
comerciales. Este enfoque fragmentado y costoso para la gestión del riesgo de acceso conduce a la reactiva - en lugar de proactiva - la
prevención de riesgos de acceso, los procesos de cumplimiento ineficientes, y la falta de visibilidad en tiempo real en riesgo el acceso.
La solución es SAP de control de acceso, que aborda estos desafíos permitiendo a las empresas para gestionar y reducir
el riesgo de acceso en toda la empresa con confianza. Ayuda a prevenir el acceso no autorizado incluyendo separación
de tareas y el acceso crítico, mientras que proporciona la supervisión en tiempo real del riesgo de acceso y reducir al
mínimo el tiempo y el coste de la gestión de riesgos de acceso. La aplicación de control de acceso de SAP unifica el
acceso análisis de riesgos y remediación, la administración de funciones de negocio, gestión de identidad compatible y
de privilegios de emergencia. Como resultado, esta aplicación ofrece una visión integral, de toda la empresa en tiempo
real. Puede ayudar a asegurar el cumplimiento del día a día, proporcionar una visión global de la gestión, y realizar
auditorías eficaz y completa.
Global Trade Services
Global Trade Services incluye los siguientes beneficios:
● Una mejor gestión de las operaciones comerciales globales
● Garantiza el cumplimiento de comercio en curso
● Optimiza la cadena de suministro transfronterizo
El entorno global de hoy es cada vez más dinámico e impredecible - haciendo el comercio internacional riesgoso y volátil, y
costoso. Estas realidades incluyen demandas de cumplimiento comercial complejas, la fluctuación de los costos de transporte, y el
aumento de regulaciones transfronterizas e impulsar la necesidad de soluciones comerciales globales avanzadas. La aplicación de
Servicios de Comercio Global ayuda a las empresas a automatizar el cumplimiento del comercio y lograr los siguientes objetivos:
● Global Trade Services permite un mejor manejo de las operaciones comerciales globales mediante la automatización de muchos procesos
comerciales críticos y también integrar directamente con los sistemas de la cadena de suministro. El resultado de esta acción es el cumplimiento
de comercio en curso a un nivel reducido esfuerzo, tiempo y costo.
● Global Trade Services ayuda a las empresas a asegurar el cumplimiento continuo, proporcionando una solución de
cumplimiento de comercio mundial global e integrada. capacidades críticas son incorporados, como el cribado lista-parte
sancionada (para evitar el comercio inapropiada e ilegal) y la capacidad de gestionar múltiples programas de cumplimiento de
comercio mundial cohesiva.
● Global Trade Services permite a las empresas optimizar la cadena de suministro transfronterizo mediante la automatización y la optimización de
las actividades de comercio para acelerar las transacciones y compromisos cumplir sistemáticamente con los clientes.
Monitorización continua de transacción
los Monitoreo continuo de transacciones SAP solución le permite identificar y corregir errores, mal uso, abuso, violaciones de
políticas y posibles fraudes. Estos problemas pueden ser revelados sólo a través del análisis en profundidad de las transacciones que
se registran como actividades comerciales realizadas.
Los principales beneficios de Monitoreo Continuo de transacción incluyen los siguientes:

● Los clientes pueden identificar problemas potenciales y, por lo tanto, acelerar y mejorar la calidad de los procesos de negocio.
Esto permite a los clientes para reducir el esfuerzo y el coste de la inspección y aumentar tanto el rendimiento y la precisión. Esto
también reduce el costo operacional de los procesos de negocio. Muchos clientes son capaces de corregir los problemas a
medida que ocurren. Algunos clientes van a identificar y eliminar los problemas sistémicos que conducen a las ocurrencias
repetidas.
● Los clientes son capaces de aumentar la penetración en sus actividades comerciales, lo que les permite conocer y entender lo que está
sucediendo realmente y para identificar las ocurrencias individuales de posibles violaciónes de política o procedimiento. Esto asegura
una mayor transparencia y permite a los clientes para impulsar un cambio en el comportamiento.
● Los clientes son capaces de aumentar el margen de contribución. Por ejemplo, mediante la revisión de todas las transacciones de compra, los
clientes son capaces de tomar mejores decisiones de compra. Del mismo modo, mediante la revisión de órdenes de venta, que son capaces de
tomar mejores decisiones de venta. Por lo tanto, la optimización de los descuentos, los costos y los ingresos puede ayudar a reducir el precio de
venta de los productos vendidos por la empresa.
Principales ventajas de las soluciones de SAP GRC
Las ventajas de la solución SAP GRC incluyen los siguientes:
● Integral: Riesgo, cumplimiento, auditoría, la política y la gestión de control interno
● Proactiva: monitoreo integrado
● Específicas de la industria: Soluciones a la medida que satisfacen sus necesidades Algunos de los beneficios
clave de las soluciones de GRC son los siguientes:
● Las soluciones de GRC proporcionan el conjunto más completo de las capacidades. Como se ilustra en el modelo de capacidad de
arquitectura de la solución, SAP tiene el conjunto más completo de las capacidades disponibles. SAP ofrece las capacidades más
amplias para analizar, administrar y supervisar las actividades de todo el riesgo y la gestión del cumplimiento, auditoría interna, y
gestión de las políticas que ayudan a los clientes de SAP a obtener mejores resultados a través de sistemas SAP y no SAP
● Las soluciones de GRC garantizar una supervisión proactiva a través de Kris y eficacia cumplimiento. SAP combina montoring
proactiva con capacidades de gestión integral de todo el gobierno, riesgo y cumplimiento Kris. El monitoreo proactivo en realidad
permite a los clientes para evitar un riesgo o violación que se produzcan. Los clientes de SAP están aprovechando esta
capacidad de supervisar de forma proactiva los riesgos y la eficacia del cumplimiento. Esto permite a los clientes de SAP a
concentrar su tiempo, los recursos y las inversiones en la ejecución y la gestión de sus actividades de negocio, en lugar de
reaccionar a un riesgo, violación de cumplimiento, o evento de pérdida
● Las soluciones de GRC ofrecen riesgo específico de la industria, el cumplimiento, y el contenido del proceso. Las soluciones de SAP se entregan
con el riesgo específico de la industria, el cumplimiento y contenido de los procesos para que los clientes pueden obtener rápidamente el valor de
sus inversiones de GRC y pueden manejar los riesgos y los requisitos reglamentarios específicos para ellas
● Las soluciones de GRC son probados.
Las soluciones SAP GRC están permitiendo a los clientes globales a conocer su negocio y optimizar el rendimiento en
prácticamente todos los sectores. Este se hace posible por ayudar a los clientes a gestionar mejor sus gobierno, riesgo y
programas de cumplimiento, para proteger mejor contra

eventos de riesgo, y, en definitiva, para vincular el riesgo para el rendimiento con el fin de lograr resultados notables
Gobierno, riesgo y cumplimiento procesos clave en GRC SAP

Las soluciones SAP GRC están diseñados para apoyar a las empresas en la gestión de su gobierno, riesgo y las iniciativas de
cumplimiento (GRC). SAP GRC ofrece varias soluciones que ayudarán a las empresas a cumplir con las regulaciones de cumplimiento
legal y las políticas internas de la empresa. Los procesos clave se describen aquí para mostrar cómo funcionan en las soluciones de GRC.
Productos de GRC soluciones incluyen lo siguiente:
● Control de Acceso - Gestionar separación de funciones, la función de seguridad, el acceso de usuarios y acceso de emergencia
● SAP Process Control - Revisar, supervisar los procesos y documentos y remediación de problemas
● SAP Gestión de Riesgos - Revisar, controlar y documentar los indicadores de riesgo (KRI)
● Global Trade Services - Administrar y de información comercial a nivel mundial documento; presentar la documentación para los
funcionarios de aduanas para envíos transfronterizos
● Facturación Electrónica para Brasil (Nota Fiscal Eletronica) - requisito de factura electrónica brasileña
Procesos clave
los Gestión de riesgos proceso permite a una empresa para identificar, mitigar y monitorear los riesgos críticos de negocio que pueden
tener un impacto negativo en el rendimiento, metas y objetivos de la empresa. El proceso de gestión del riesgo empresarial (ERM) a
menudo permite a la gerencia a priorizar los escasos recursos para mitigar las zonas de mayor riesgo de la empresa. los Gestión de
cumplimiento proceso que se proporciona con la documentación sobre las estructuras de cumplimiento y las iniciativas de cumplimiento
relacionados. Un enfoque basado en el riesgo de alcance ayuda a una empresa para centrarse en la evaluación del cumplimiento de las
actividades de control que son más propensos a fallar con un impacto potencialmente negativo sobre la empresa.
evaluación del cumplimiento incluye autoevaluaciones y evaluaciones de gestión (a través de encuestas definibles por el usuario), la prueba
manual (mediante planes de prueba), y pruebas automatizadas y monitoreo (usando las reglas de negocio). Si el sistema identifica
excepciones durante el proceso de evaluación, se crean problemas y les asigna para la remediación. Si se identifican los problemas, los
usuarios necesitan para revisar y determinar cómo se procesan estas cuestiones. los Dirección de auditoría proceso implica una
planificación basada en el riesgo de auditoría, preparación, trabajo de campo, ejecución y presentación de informes. Esto implica el uso de
la aplicación SAP NetWeaver Dirección de Auditoría. los Gestión de la política proceso permite la gestión de extremo a extremo de las
políticas corporativas alineadas con el riesgo y la gestión del cumplimiento, incluyendo la creación, localización, distribución, y el
reconocimiento de las políticas. los Gestión de Riesgos de acceso proceso proporciona la capacidad de gestionar y controlar los privilegios
del usuario al tiempo que garantiza el cumplimiento de las políticas de seguridad relacionados con la separación de tareas y la restricción
de permisos críticos. Usted puede prevenir, controlar y gestionar los conflictos de acceso presentes en los niveles del sistema, de
infraestructura y aplicaciones. los Gestión del comercio proceso consiste en controlar el riesgo y el costo del comercio internacional,
garantizando el cumplimiento de las regulaciones globales, la aceleración de las actividades de comercio, y la minimización de funciones.
Por ejemplo, SAP Facturación Electrónica para Brasil (Nota Fiscal Eletronica) soportes

empresas en el cumplimiento de los requisitos de las autoridades brasileñas para la facturación electrónica.
Convergencia SAP GRC

En términos de gobierno, riesgo y cumplimiento, SAP y ejecutivos de todo el mundo creen firmemente en la
convergencia.
En febrero de 2010, KPMG dio a conocer un estudio mundial sobre GRC. Trabajar con el Economist Intelligence Unit (EIU), KPMG
encuestó a 542 ejecutivos de una amplia gama de industrias y regiones, con aproximadamente una tercera parte de cada región
muy importante del mundo. Uno de los temas muy consistentes que surgieron en esta encuesta fue que casi dos tercios de los
encuestados (64%) dijeron que la convergencia GRC era una prioridad para sus organizaciones.
De acuerdo con el informe y muchos clientes de SAP, GRC es un tema que se ha vuelto demasiado difícil de manejar en la mayoría de las
organizaciones. A medida que los usuarios intentan gestionar GRC, se encuentran con que es demasiado costoso, requiere demasiados
recursos, y los deja expuestos a riesgos indebidos. Los clientes creen que la convergencia GRC les ayudará a hacer frente a estos problemas
mediante la reducción de sus costes y la exposición al riesgo y mejorar el rendimiento global de sus negocios.
Importancia de GRC Convergencia de
negocios Ejemplo:
Liderazgo establece una estrategia para aumentar la penetración en algunos de los mercados que la empresa presta
servicios. En este ejemplo, una variedad de iniciativas operativas relacionadas se puso en marcha por diferentes líneas
de negocio. Ventas y marketing analiza la demanda para establecer y aceptar un objetivo para la penetración ampliado.
El análisis se comunica a la planificación de la producción y planean aumentar la producción. El equipo de fabricación
trabaja con abastecimiento estratégico para establecer la cantidad de aumento de la oferta de materias primas. Ellos
deciden sobre dos proveedores para un componente crítico en base a los resultados conocidos y otros factores que
pueden satisfacer la demanda. La fabricación de rampas de hasta una capacidad adicional y empuja de productos de la
línea. Distribución trabaja para obtener el producto en los mercados objetivo.
La desconexión entre los riesgos, Políticas y Cumplimiento
La cuestión fundamental es cómo se puede cerrar el ciclo de rendimiento cuando hay una clara desconexión entre los riesgos, las
políticas y el cumplimiento.
Añadir a esta compleja composición de la mayoría de las empresas modernas - una multitud de procesos de negocio que abarcan las
organizaciones a través de varias regiones, junto con diferentes requisitos de cumplimiento - y la respuesta es que, por desgracia, no
se puede cerrar el ciclo de funcionamiento. Hay una gran cantidad de duplicación de esfuerzos como organizaciones tratan de resolver
este problema y, a menudo hay actividades duplicadas y tecnologías para abordar este problema. Pero aún más importante es el hecho
de que sin obtener una visión clara de estos elementos y la comprensión de ellos, la mayoría de las empresas se enfrentan a riesgos
indebidos o incluso catastróficas que no son capaces de identificar o remediar.
SAP GRC cree que la convergencia puede ayudar a resolver este problema y es el único calificado para ofrecer soluciones para
apoyar este movimiento.
Enfoque integral en GRC
La empresa GRC se refiere a una plataforma que permite a las organizaciones obtener visibilidad y administrar eficientemente la
totalidad de sus actividades de riesgo y cumplimiento en todas las disciplinas de Gestión de Riesgos, Gestión de Cumplimiento,
Gestión de Auditoría, Administración de directivas y de administración de acceso.

SAP se ha comprometido a permitir a los clientes a darse cuenta de la convergencia de GRC, un aspecto clave de las cuales es asegurar que
GRC está optimizado para SAP, pero no atado a SAP. Muchos clientes a mantener entornos híbridos o han optado por una plataforma de
procesos de negocio diferente. La solución SAP GRC 10.x se ha diseñado para integrarse perfectamente con SAP y también para aprovechar
los adaptadores de socios tecnológicos y APIs abiertos, tales como servicios web, para trabajar libremente con otras plataformas también.
Mientras que la pila de procesos de aplicación es importante, la colaboración con los proveedores como CA, Novell y SenSage amplía la
plataforma GRC otro lado de la pila de TI, incluyendo infraestructura y aplicaciones, junto con categorías tales como la integración de Gestión de
Identidad. El marco de contenido de la solución GRC permite trabajar de cerca con las dos integradores de sistemas y proveedores de servicios
de tecnología para proporcionar el contenido fuera de la caja. Este contenido se proporciona un punto de partida para los clientes con los
escenarios de negocio específicos. A través de la integración con Gestión del rendimiento de SAP, GRC es verdaderamente capaz de cerrar el
ciclo de funcionamiento, asegurando que los riesgos están estrechamente ligados a indicadores clave de rendimiento en el proceso de gestión
estratégica, que el riesgo influye en el proceso de la cadena de planificación o suministro, y que los controles se puede atar a la consolidación
procesos para asegurar un cierre compatible.
Las características clave de SAP GRC
A continuación se enumeran el propósito y el valor de una plataforma técnica común:
● Unifica la gestión de riesgos, control de acceso, y los modelos de datos de control de procesos en una plataforma tecnológica común
(ABAP)
● Reduce el coste total de propiedad (TCO) mediante la reducción de implementación, los costos administrativos y de
mantenimiento
La gestión unificada de SAP de riesgos, control de acceso, y el proceso de SAP modelo Los datos de control, y plataforma tecnológica
permite el intercambio opcional de riesgo seleccionado y datos de cumplimiento y sus funciones. Compartir es opcional, ya que algunos
clientes prefieren un enfoque de silos mientras que otros tratan de consolidar e integrar sus actividades de GRC.
10.x SAP GRC reduce el coste total de propiedad (TCO) debido a la menor ejecución general, administrativo, y los costes de
mantenimiento debido a que las soluciones de GRC aprovechan una tecnología de plataforma común (ABAP) y la guía de
implementación compartida apropiadamente (IMG).
Mejoras y beneficios de una plataforma técnica común

Figura 84: Mejoras y beneficios de una plataforma técnica común
Características de visualización mejorada y navegación optimizada
A continuación se enumeran el propósito y la importancia de una mayor visualización y navegación optimizada:
● Proporciona un aspecto común con configurable de acceso de usuario basada en roles para SAP GRC funciones desde el
Cliente de SAP NetWeaver Business Portal o
● Mejora la usabilidad solución con una experiencia de usuario unificada
navegación de usuario optimizada con los centros de trabajo compartidos hace hincapié en la función en lugar de los componentes. Esto reduce
significativamente la duplicación de elementos de menú (por ejemplo, una bandeja de entrada y no tres) y facilita el intercambio de datos y
funciones.
Los elementos del menú que el usuario ve individuo dentro de cada centro de trabajo son controlados por los papeles de GRC de ese usuario. Esto
también permite que los datos compartidos a través de los componentes a ser vistos de manera diferente por diferentes usuarios.
Mejoras y ventajas principales de visualización y la interfaz de usuario configurable Simplificación de
navegación
Propósito y la importancia de la interfaz de usuario configurable
Las siguientes listas el propósito y el valor de la interfaz de usuario configurable:
● Permite la personalización sin necesidad de programación para mostrar los campos de datos de componentes de regulación y
cumplimiento a través de la configuración
● Reduce el coste y el esfuerzo necesarios para gestionar y personalizar la interfaz de usuario de datos maestros
La interfaz de usuario configurable permite la configuración para determinar el estado de campo por componentes de aplicación. Por
ejemplo, el campo de la organización Costo promedio por control puede ser mostrado por los usuarios autorizados para control de
procesos SAP y ocultos a los usuarios no autorizados para el control de acceso. estados de campo (el campo requerido, el campo
opcional, el campo mostrado, o el campo oculto) se pueden seleccionar por el campo, componente, o incluso la regulación, si

aplicable. Los cambios en el estado de campo se reflejan en la interfaz de usuario sin necesidad de programación.
Mejoras y ventajas de la interfaz de usuario configurable
Figura 85: Mejoras y ventajas de la interfaz de usuario configurable
Mejoras en los informes
Propósito y la importancia de la mejora de los informes
Los siguientes listas el propósito y el valor de la mejora de los informes:
● opciones de informes mejorados para todas las soluciones SAP GRC con informes y extensiones de información a través
de soluciones de SAP BusinessObjects industria leadning
● Faculta a los usuarios de negocios con la capacidad de presentar la información en el formato deseado y reduce el tiempo dedicado a las
necesidades de informes
de informes de SAP GRC aprovecha el marco de integración de SAP -Crystal BusinessSuite List Viewer ABAP (ALV)
para presentar y personalizar informes ABAP (WebDynpro) y convertir los informes en SAP Crystal Reports. Esto reduce
el TCO y extiende los beneficios y la funcionalidad de Crystal Reports sin la necesidad de un SAP BusinessObjects
Enterprise Server independiente.
Mejoras y beneficios de la notificación

Figura 86: Mejoras y beneficios de la notificación
Los informes existentes se refinan en base a comentarios de los clientes para que sean más útiles y para facilitar la gestión de
excepciones para la monitorización continua de control. La tecnología del tablero de instrumentos permite informar a través de todos
los resultados del monitoreo continuo y las excepciones para una mejor visibilidad y facilitar la recuperación para el control continuo. El
servidor de SAP BusinessObjects Enterprise es opcional para el uso del marco de Crystal Reports.
Gestión de intensificación de la política
A continuación se enumeran el propósito y el valor de la gestión política de mejora:
● Proporciona una gestión de extremo a extremo de las políticas corporativas alineadas con el riesgo y la gestión del
cumplimiento, incluyendo la creación, localización, distribución y reconocimiento
● Mejora el gobierno corporativo con la guía de gestión de comportamiento, acciones y procesos de toma de
decisiones de la organización
Gestión de la política proporciona una gestión completa del ciclo de vida de las políticas corporativas y las políticas que se alinee
con las actividades de gestión de riesgos y cumplimiento. gestión política eficaz reduce el riesgo empresarial y mejora de
gobierno corporativo con la guía de manejo para el comportamiento, acciones y procesos de toma de decisiones de una
organización.
Mejoras y beneficios de la administración de directivas

Figura 87: Las mejoras y beneficios de la administración de directivas
Como una función común, administración de directivas está disponible para los clientes que compran SAP Process Control o Administración de
Riesgo de SAP. En un escenario de cumplimiento, una política está relacionada con las organizaciones, procesos, riesgos y controles. Como
parte de la gestión del riesgo empresarial, una política se utiliza como una respuesta al riesgo y también puede estar relacionado con las
actividades de la organización. En general, el usuario mide el cumplimiento de las políticas con acuses de recibo, encuestas o concursos.
Marco de reglas de negocio mejorada
A continuación se enumeran el propósito y el valor del marco de reglas de negocio mejorada:
● Mejora la flexibilidad de las reglas de negocio definidas por el usuario, incluyendo la capacidad de controlar los sistemas de extremo más la espalda
y para reconstruir completamente los datos de configuración y maestros para una monitorización fiable
● Más controles se pueden probar de forma automática y monitoreados, lo que lleva a pruebas de conformidad más oportunos y
confiables
El, motor de reglas configurables por el usuario mejorada ofrece a los clientes la máxima flexibilidad en la definición de sus reglas
automatizadas para la prueba y seguimiento automatizado. Puede supervisar una gama mucho más amplia de los sistemas de back-end,
consumir datos de los sistemas no SAP sin necesidad de herramientas de terceros, eventos asíncronos proceso, y analizar automáticamente
los registros de cambio de base de SAP.
Mejoras y beneficios del marco de reglas de negocios

Figura 88: Mejoras y beneficios del marco de reglas de negocios
Integración de SAP GRC

La solución SAP GRC 10.x se integra con otros sistemas y aplicaciones, tanto a través de la solución y de
componentes de la solución específicos. Las siguientes integraciones son aplicables a través de la solución de SAP
GRC:
● integraciones de soluciones SAP GRC
- Reportes de cristal
- Búsqueda de documentos usando TREX
- La inteligencia de negocios (BI)
- Business Warehouse (BW)
- Otros sistemas SAP
- sistemas no SAP
- integración con LDAP
● integraciones de Control de Acceso
- desencadenantes de recursos humanos
- Gestión de identidad
- maestra compartida puntos de integración de datos de control de proceso y el riesgo de SAP de gestión SAP
● SAP Gestión de Riesgo integraciones
- Sistema de proyectos SAP
- Mantenimiento de Plantas de SAP

- SAP Environmental Health & Safety
- Gestión de Problemas SAP
- Política de Gestión de SAP
● integraciones de control de procesos de SAP
- La integración de procesos
- la integración de separación de tareas
Integración de Control de Acceso
SAP Control de Acceso 10.x incluye capacidades para las siguientes integraciones:
● Control de Procesos SAP y la integración de Gestión de Riesgos de SAP para compartir datos maestros
● HR Activadores integración
● la integración de SAP Gestión de Identidad
Integración de acceso de control - Maestro de datos compartidos
Figura 89: Acceso Integración de control de datos compartidos Maestro
SAP Acceso Integración de control - Los disparadores de recursos humanos
El HR Disparadores funcionalidad de SAP de control de acceso 10.x permite la creación de peticiones de acceso automático, que
corresponden a los cambios en los datos maestros en sistemas de recursos humanos de SAP o no SAP. Cuando se activa un evento en el
sistema SAP HR, tales como la contratación de un nuevo empleado, las reglas se aplican y una acción correspondiente para crear una
solicitud de flujo de trabajo se inicia en la solución de control de acceso de SAP. El flujo de trabajo procesa la solicitud y disposiciones para el
sistema back-end por asignación directa o la asignación indirecta.
La configuración de HR Activadores en el SAP de control de acceso 10.x incluye la configuración de las acciones, las reglas y la
asignación de campos.
Nota:
Usuarios no tienen que completar un formulario de solicitud de acceso.

Manual SAP ADM900 131

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual SAP ADM900 131

Caricato da

Copyright:

Formati disponibili

Lección: La aplicación de inicio de sesión único (SSO) en Sistemas SAP

Autenticación de usuario y SSO

Tabla 12: Resumen de los Mecanismos de Application Server

Mecanismo Autenticacion de SSO AS ABAP AS Java

SAML SAML 1.x X X

SAML 2.0 X A partir de la liberación A partir de la liberación

© Derecho de Autor. Todos los derechos reservados. 123

SAP individuales Características de sesión

SAP características Single Sign-On incluyen:

- clientes nativos de SAP

- Web y móvil de SSO

- Nube y toda la compañía

● Soporte de estándares públicos

- SAML y la federación de identidades

- Autenticación de dos factores

- autenticación basada en riesgos con las políticas de acceso

- identificación de usuario basada en RFID

- el soporte para módulos de seguridad de hardware (HSM)

- criptografía de curva elíptica

Single Sign-On para nuevos clientes de SAP

configuración de la interfaz de usuario de SAP proporciona lo siguiente:

● Proporciona interfaces de usuario con un uso muy flexible,

● Es compatible con los nuevos clientes de SAP fuera de la caja

- SAP Business Client

- SAP las Personas de pantalla

RFID * -Based identificación de los usuarios

* RFID de identificación de los usuarios basada en ofrecer las siguientes características:

● Identificar a los usuarios con la tecnología RFID * tokens

- identificación de usuario instantáneo

- Sobre la base de los certificados X.509

- Almacén y producción escenarios

- Quiosco / ordenadores terminales

124 © Derecho de Autor. Todos los derechos reservados.

- Configuración simplificada basada en Microsoft Active Directory

- Soporte para RFID adicional * dispositivos de lectura

Autenticación de dos factores con el autenticador SAP

SAP autenticador de autenticación de dos factores proporciona las siguientes características:

● Autenticación con contraseñas de un solo uso

- Recomendado para el aumento de escenarios de seguridad

● aplicación móvil de autenticación SAP

- Una sola vez la contraseña generada por la aplicación

- Disponible para iOS y Android

- RFC 6238 compatibles

- Integrado con Secure Login Server y proveedor de identidad

la autenticación de dos factores con autenticador SAP

Tenga en cuenta lo siguiente acerca de la autenticación con contraseñas de un solo uso:

© Derecho de Autor. Todos los derechos reservados. 125

● Recomendado para el aumento de escenarios de seguridad

● Autenticación requiere dos medios de identificación

- El conocimiento de la contraseña habitual

- La posesión de dispositivo móvil que genera la sola vez la contraseña

● aplicación SAP Mobile Authenticator

- Una contraseña de tiempo generado por aplicación

- Disponible para iOS y Android

- RFC 6238 compatibles

- Integrado con Secure Login Server y proveedor de identidad

● autenticación basada en riesgos

- la aplicación basada en el riesgo de autenticación de dos factores

Tenga en cuenta lo siguiente acerca de inicio de sesión en el móvil:

● aplicaciones SAP Authenticator

- Las aplicaciones móviles para iOS y Android

automática para la autenticación

Soporte de hardware Módulo de Seguridad

● Almacenar las claves privadas en el hardware