MIM 2016 & SAP

mim_sapTravaillant actuellement sur un projet implémentant la gestion du cycle de vie des utilisateurs SAP et des rôles SAP depuis MIM, il me semblait intéressant de créer un article court pour rappeler les possibilités de gestion des objets SAP via MIM.

Pour appel, SAP possède sa propre base de compte utilisateurs, lorsque un utilisateur final utilise l’interface web ou le GUI lourd SAP pour se connecter à l’instance SAP, il doit utiliser un compte étant dans cette base. Cette base permet aussi de gérer la partie SoD et la partie RBAC au niveau de SAP lui-même.

Même si cela ne rentre pas dans le cadre de cet article, rappelons que MIM ne permet pas de faire du SSO, mais éventuellement du CSO au niveau de l’authentification SAP, et à minima de gérer le cycle de vie des comptes, voir de créer les “triggers” qui vont bien au niveau de la base SAP pour assurer les mécanismes SoD & RBAC propres à SAP. En effet, le “connecteur” MIM pour SAP intègre maintenant la gestion des rôles au sens SAP du terme.

Si vous recherchez à faire du SSO sur SAP, je ne saurais que trop vous conseiller de réaliser cela en utilisant le protocole Kerberos, de cette façon vous aurez un système fiable, intégré à Active Directory et générique à l’échelle de votre SI. Juste une information importante, utiliser Kerberos pour gérer l’authentification sur la base SAP ne vous épargne pas de devoir créer les comptes utilisateurs dans la base propriétaire SAP, donc SSO ou pas SSO, MIM vous sera utile.

Si vous utilisez SAP sur un serveur Windows et que vous désirez faire du SSO, je vous conseille cette vidéo:

Si vous utilisez SAP sur un serveur Unix/Linux et que vous désirez faire du SSO, je vous conseille cette vidéo:

Mais revenons à nos moutons, le gestion de cycle de vie des utilisateurs dans la base SAP.

Depuis FIM 2010, et donc pour MIM 2016, le connecteur pour SAP est un connecteur générique utilisant des Web Service. Le connecteur SAP pour MIM 2016 est compatible avec les versions SAP ECC 5 & ECC 6.

Tout d’abord il faut télécharger le connecteur web services pour MIM 2016, il est accessible [ ICI ]

La documentation pour le connecteur Web Service est accessible [ ICI ] – A vérifier, mais il ne me semble pas avoir vu une documentation mise à jour spécifiquement pour MIM 2016

De plus, dans le package des connecteurs web services, Microsoft fournit un outil supplémentaire, le “Web Service Configuration Tool” permettant de créer un projet .wsconfig qui pourra être publié directement dans le répertoire \Synchronization Service\Extensions\

Exemple de configuration d’un projet sur un web service intégrant un WorkFLow via le Web Service Configuration Tool:

mim_web_service_configuration_tool

La documentation décrit les différents templates utilisables au travers des web services, pour SAP, il s’agit notamment des objet User SAP, Group SAP et Role SAP. La documentation Microsoft aborde les aspects FIM/MIM mais très peu les prérequis ou la configuration côté SAP, quand on est pas un spécialiste SAP, et je suis très loin d’être un spécialiste SAP, la documentation est un peu juste sur ce point – mieux vaut être accompagné par un “vrai” architecte SAP sur le projet afin de bien comprendre le modèle de données et les particularités des services web sur cette plateforme.

Pour compléter la documentation Microsoft, je vous conseille fortement de lire les articles suivants:

Integrate SAP HR and Active Directory using Forefront Identity Manager (FIM) SAP Connector for WS – article écrit par Salvatore Pellitteri, MVP Microsoft lui aussi, et qui a l’avantage de réaliser un step by step très complet.

#  Integrating SAP Web Services with MIM – (part 1) – article écrit par Ingólfur Arnar Stangeland, consultant travaillant sur les technologies de sécurité proposées par Microsoft, cet article est le premier d’une série et possède l’avantage d’être récent et focus sur la version MIM 2016.

How to Create a Web Service Connector for SAP in FIM/MIM – (part 1) – et How to Create a Web Service Connector for SAP in FIM/MIM – (part 2)  – série de deux articles écrite par Tracy Yu, employé de Microsoft – ces articles font le focus sur la version MIM 2016.

Il ne me souhaite plus qu’à vous souhaiter bonne lecture – je devrais poster dans les mois qui viennent un complément à cet article avec un step by step en Fr sur la partie MIM/SAP.

 

 

XACML is dead or not ?

xacml.plain.logo

 

Depuis maintenant plusieurs années, je m’intéresse à l’évolution du “standard” XACML, en me posant bcp de questions… En effet, d’un point de vue technologique, je pense qu’il s’agit d’une excellente manière de gérer les rôles applicatifs au sein des grandes entreprise. Pour faire simple, XACML est plutôt un langage structuré (basé sur XML) qui permet de décrire des rôles et surtout des politique de contrôle d’accès – ces politiques peuvent être simples, très complexes et peuvent se baser sur des éléments dynamiques ou contextuels: par exemple mes “droits” définis dans le code XACML peuvent s’adapter en fonction de l’adresse IP que j’ai, ce qui permettrait d’adapter mes droits si je suis sur le LAN ou depuis un VPN, etc. Encore une fois, d’un point de vue technique, je pense que c’est le top, c’est un peu monolithiques, mais au final on peut gérer des cas très complexes – le problème est que l’adoption (en tout cas en France) de ce standard est très faible – il y a peu de changements depuis 4 ans, quelques POC, mais pas de mise en production – en effet, le problème majeure est qu’il faut écrire une partie des applications “in house” pour bénéficier de XACML, il y a déjà peu d’entreprises qui font du profiling applicatif dans un annuaire LDAP, alors XACML…on imagine… Je suis retombé sur un article d’un consultant Forester qui date maintenant de 3 ans, voir: http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead – ce qui est amusant c’est que l’on pourrait avoir écrit l’article hier 😉 Les commentaires sont extrêmement intéressants également, un peu partisans, mais intéressants !

Donc que conseiller ? XACML or not XACML ? et bien je ne sais pas… Je pense que je conseillerais à une entreprise (à partir de 50 000 users) d’au moins faire un POC de la technologie, et de comparer avec le mode de profiling et de contrôle d’accès actuel. De plus, je pense que nous ne verrons jamais des plug-in applicatifs “sur étagère” (ce qui est bien dommage…) genre un plug-in XACML pour SharePoint, pour SAP, pour Apache, etc… ce qui sous-entend que chaque entreprise devra écrire et maintenir le module XACML pour chaque application importante.

Quels liens pour aller plus loin:

https://en.wikipedia.org/wiki/XACML

https://www.axiomatics.com/ (pour moi le seul fournisseur XACML qui respectent vraiment les standards OASIS avec Oracle)

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

 

www.identity-management.fr – un nouveau blog en Français sur l’identity management

im_fr Une belle initiative de monsieur Paul Baas de la société Tools4ever, qui propose un nouveau blog en français sur l’Identity Management. Avec www.iamthefrenchblog.com il s’agit d’une nouvelle brique permettant de fournir des éclaircissements ( en français ! ) sur une technologie et des principes qui ne sont pas toujours bien compris par les administrateur système ou même par les consultants infrastructure. Gageons que ce nouveau blog soit plein de vie et de nouveautés dans les semaines, mois et années à venir.

Un nouveau blog dédié au “group management”

getgroupblog Un nouveau blog vient d’apparaitre dans la blogosphère de la gestion de l’identité et des accès. Il s’agit du get-group blog [ http://blog.imanami.com/] – La particularité de ce blog est de réaliser un focus sur la méthode du Group Based Access Control (GBAC), méthode dérivée du RBAC qui permet de construire une méthode de contrôle d’accès basée sur les groupes et non pas sur les rôles. Cette méthode à l’avantage de la simplicité comparée à une méthode classique de RBAC, mais doit être complétée par une méthode d’audit des groupes pour être efficace en terme de reporting. Néanmoins, il s’agit d’une méthode tout à fait adaptée aux entreprise qui ne souhaitent pas investir dans le RBAC. Ce Blog est donc une initiative interressante pour tout consultant travaillant dans le monde des annuaires ou de l’IAM.