Durante este artículo, vamos a analizar las capacidades relacionadas con ARM fuera del proceso de aprovisionamiento de usuarios, que sería el objetivo principal de la herramienta de Gestión de Solicitudes de Acceso.
Aprovisionamiento de usuarios para acceso de emergencia
El módulo ARM se puede conectar a la herramienta EAM para ejecutar el proceso de aprovisionamiento de emergencia. Esta característica admite tanto el acceso de emergencia como el aprovisionamiento de usuarios:
- Acceso de emergencia vía Firefighter ID Esta opción permite el uso del acceso de emergencia con un ID de usuario de SAP© diferente.
- Acceso de emergencia a través del rol Firefighter Esta opción permite la asignación de un rol Firefighter a un usuario.
Tipos de solicitud adicionales para el aprovisionamiento de usuarios
La implementación estándar de ARM permite un conjunto de tipos de solicitud predeterminadas. Sin embargo, SAP© ofrece una alternativa para crear un tipo de solicitud nuevo. Esto es importante cuando se necesita crear diferentes variantes del mismo proceso de aprovisionamiento. Por ejemplo, al utilizar desencadenadores de HR, interesa definir diferentes escenarios al cambiar el Infotipo 0000 para detectar promociones, cambios de departamento, bajas por enfermedad u otras actividades que puedan afectar al Área de Gestión de Usuarios.
Si en función de los requisitos de la organización, es necesario agregar un nuevo tipo de solicitud personalizada, es importante comprender que se requiere crear un iniciador GRC personalizado y eliminar el predeterminado que aparece dentro de las reglas globales de la configuración MSMP.
Conexión con Active Directory
El módulo ARM se puede conectar a Active Directory para obtener una fuente de datos de información del usuario. Esta capacidad se describió en un artículo anterior “Active Directory como origen de datos de usuario para SAP© GRC” que se publicó anteriormente.
Desencadenadores HR con HCM o Success Factors
Esta funcionalidad es realmente recomendable si tiene una aplicación HCM o Success Factor System. El propósito de esta característica es crear una solicitud ARM basada en lo que está sucediendo internamente con la aplicación HCM/Success Factors. Por ejemplo, si hay un nuevo empleado que se está creando en HCM o Success Factors, el módulo ARM puede generar automáticamente una solicitud para la creación del ID del usuario en SAP©. Esta capacidad ahorrará mucho esfuerzo en el proceso de aprovisionamiento de usuarios, hará que la organización sea más eficiente ya que no es necesario ningún requisito para la creación de la solicitud de ARM cuando se tiene esta herramienta disponible. Por otro lado, los desencadenadores de HR harán que el proceso de bajas sea mucho más robusto. La eliminación del ID de usuario de SAP© de una baja se puede realizar automáticamente utilizando esta funcionalidad. El departamento de HR marcará al empleado como “Baja” y el sistema GRC eliminará automáticamente la cuenta de los sistemas SAP© de la organización. Esta característica permitirá reducir el riesgo de tener cuentas SAP aún activas dentro del sistema SAP© para una persona que ya dejó la organización.
Aplicación de inicio de sesión del usuario final
El módulo ARM proporciona una aplicación que eliminará el requisito de tener una cuenta de usuario SAP© dentro del sistema GRC para crear una solicitud de ARM.
Es importante tener en cuenta que no todas las opciones disponibles dentro de la NWBC están incluidas en esta aplicación. Las opciones de acceso de emergencia, análisis de riesgos de acceso o las funcionalidades de aprovisionamiento de roles no están disponibles dentro de la aplicación de inicio de sesión del usuario final.
Asignación de licencias SAP© a través de la aplicación ARM
El módulo ARM puede realizar la asignación de la licencia SAP© a un ID de usuario de SAP©. Esta función debe ejecutarse definiendo un nuevo campo personalizado como parte de la plantilla de solicitud de acceso.
Una vez que el campo personalizado está disponible dentro de la solicitud de ARM, es necesario relacionarlo con el campo de licencia que existe dentro del sistema SAP. Esta configuración debe realizarse dentro de la “Asignación de mantenimiento para acciones y grupo de conectores” que existe dentro de la configuración de la transacción SPRO:
Roles predeterminados
El módulo ARM proporciona una característica donde puedes establecer un grupo específico de roles que se incluirán dentro de una solicitud ARM tan pronto se hayan cumplido los criterios establecidos.
En algunas organizaciones hay un grupo específico de roles que deben asignarse a cada ID de usuario de SAP©, por lo tanto, esta característica es adecuada para ese tipo de escenarios. Sin embargo, esta opción es más flexible y puede establecer condiciones a través de los siguientes atributos con el fin de reducir el esfuerzo en la creación de solicitudes en ARM y también para estandarizar la selección de roles en función de criterios predefinidos:
Esta opción de “Roles predeterminados” se establece dentro de la configuración NWBC:
Información del tipo de solicitud
Hay un tipo de solicitud específica que forma parte de las solicitudes predeterminadas creadas por SAP©, que se puede utilizar de una manera más genérica. La mayoría de los requisitos que forman parte de los tipos de solicitud predeterminados están relacionados con actividades de aprovisionamiento (por ejemplo, creación, modificación, eliminación, bloqueo, desbloqueo…), pero como este es informativo no realizará ninguna acción dentro del sistema Plug-In.
El uso de este tipo de solicitud ARM podría estar relacionado con otro proceso, como la confirmación de una matriz de autorización, la confirmación de la asignación de los niveles de liberación de compras…
Valores predeterminados del usuario
Esta característica es realmente interesante para las organizaciones que trabajan en diferentes países donde se use la notación decimal, el formato de fecha, las impresoras o el idioma de inicio de sesión y estos difieran para cada usuario.
La aplicación permite definir un criterio que, al obtenerse, el sistema establecerá automáticamente el valor de Notación Decimal, Formato de Fecha y los demás atributos anteriores que se describieron en el párrafo anterior. La configuración de esta característica debe realizarse a través de BRF Rules y SAP© está entregando una regla SAP© estándar para ella:
Por ejemplo, puede automatizar el aprovisionamiento de cuentas SAP© que operan en Estados Unidos, donde la notación decimal difiere respecto al europeo. Además, también puede establecer el dispositivo de salida predeterminado para cada uno de los usuarios de SAP© basándose, por ejemplo, en el grupo de usuarios al que está asignado el usuario.
Puntos clave
Como resumen, a continuación, dispondremos los siete puntos clave para con respecto a las características adicionales del módulo de gestión de solicitudes de acceso (ARM):
- El módulo de solicitud ARM se puede conectar a EAM para evitar la asignación manual de Firefighter ID a los usuarios de SAP©.
- Hay que utilizar el tipo de solicitud de forma precisa, ya que ayudará a especificar el escenario. Por ejemplo, se pueden crear diferentes tipos de escenarios utilizando los desencadenadores de HR para clasificar cambios en los datos maestros. Adicionalmente, puedes clasificar acciones de modificación parecidas como lo pueden ser una promoción o un cambio de departamento.
- La aplicación End Login ayudará a los usuarios finales a crear una solicitud ARM, evitando el requisito de tener una cuenta SAP© en el sistema GRC.
- ARM se puede configurar para aprovisionar también licencias de usuario en SAP©; por lo tanto, no es necesario mantenerlo manualmente a través de la transacción SU01.
- Hay muchas características dentro del módulo ARM para reducir el esfuerzo en el aprovisionamiento de usuarios a través de la automatización (valores predeterminados de usuario, roles predeterminados, desencadenadores de HR…)
- Hay una solicitud de información que podría usarse para otras actividades de control interno (confirmación de matriz de autorización).
- Los valores predeterminados de usuarios ayudarán a estandarizar la configuración del usuario en función de criterios predefinidos.