Durante este artículo, se expondrán los beneficios y las utilidades de acometer una integración entre el sistema SAP GRC y otro externo al ecosistema del ERP como, por ejemplo, la herramienta corporativa de gestión de peticiones de empleados. A lo largo del documento se aterrizará el concepto de cara a la gestión de nuevas cuentas de forma integrada.
Sistemas implicados en un “Onboarding”
En los tiempos que corren, todas las compañías cuentan con una herramienta para la gestión de solicitudes de sus empleados, por citar algunas de las más populares: ServiceNow, Jira o 4ME. Todas ellas permiten, entre un enorme catálogo de opciones, el iniciar flujos de alta para nuevos empleados.
Estas herramientas, de forma nativa, no tienen opción de interactuar con el ecosistema productivo si este es software SAP, quedando esta comunicación en manos de equipos que la tienen que gestionar de forma manual al ser ambos sistemas nodos aislados.
En este tipo de procesos de alta se requiere la implicación de al menos dos equipos administradores: uno transmite los requisitos del nuevo empleado, y otro diferente realice el alta de las cuentas en el sistema SAP tal y como se muestra gráficamente en el siguiente esquema:
Con todo este contexto, se plantea la iniciativa de una integración entre el sistema SAP GRC y la herramienta externa de gestión de solicitudes a través de una tecnología conocida como servicios web. Esta cuenta con las siguientes características técnicas:
- Trabajan con mensajes que emplean protocolo SOAP y lenguaje de programación XML a través del estándar web HTTP.
- Permiten un canal de transmisión de datos directo entre ambos extremos.
- Comunicación en tiempo real.
Web Services en SAP GRC
Para esta tecnología de integración, el sistema SAP GRC ofrece un amplio abanico de tipologías de conexión mediante WS para diferentes funciones, las cuales dependerán del uso que se requiera en cada implementación. A continuación, se muestran los más relevantes relacionados con la gestión de usuarios.
| ID Servicio Web | Funcionalidad |
| GRAC_REQUEST_DETAILS_WS | Devuelve todos los detalles de una solicitud especifica. |
| GRAC_REQUEST_STATUS_WS | Búsqueda del estado de una solicitud especifica. |
| GRAC_USER_ACCES_WS | Crea una solicitud de ARM, devolviendo el número de la solicitud tras crearla. |
A modo de ejemplo, para un supuesto en el que se desee recibir en la herramienta de tickets una actualización del estado de una solicitud de GRC concreta, es posible emplear el WS con nombre GRAC_REQUEST_STATUS_WS.
Este necesita únicamente como valor de entrada el nº de solicitud, y en tiempo real devuelve la respuesta con el estado, de forma correlacionada a como se muestra en la siguiente tabla:
| SAP GRC Status | Web Service Status |
| Decision Pending | PENDING |
| Approved | OK |
| Cancelled | ABORTED |
| Rejected | FAILED |
Configuración y ciberseguridad del Web Service
Bajando a nivel de configuración, esta debe realizarse en ambos nodos de la comunicación para que esta funcione, tanto la herramienta externa como en el sistema SAP.
En el caso del segundo, esto se puede acometer mediante la transacción SOAMANAGER, en donde se seleccionará y parametrizará el tipo de web Service que se desee.
A su vez, también se podrán hacer ciertos ajustes a nivel de seguridad como los citados a continuación:
- Cifrado de la comunicación mediante SSL (Secure Sockets Layer).
- Protocolo web seguro HTTPS.
- Autenticación entre nodos mediante el binomio Usuario /Contraseña.
Usuario de Integración
Continuando desde el lado del sistema SAP, a mayores de la configuración del servicio web, también se requiere de un usuario de integración. Este será una cuenta local en el backend de SAP GRC, de tipo sistema, la cual deberá contar con autorizaciones específicas suficientes para poder gestionar las solicitudes de GRC (visualizar logs, lanzar nuevas peticiones, etc…).
Serán las credenciales de este usuario contra las que se haga la autenticación del servicio en cada una de las llamadas, otorgando de esta forma la vía de acceso a SAP.
Ejemplo de ejecución
De cara a mostrar un ejemplo práctico, se ha realizado la ejecución del servicio con nombre GRAC_USER_ACCES_WS, el cual permite crear solicitudes de GRC de forma externa al ecosistema SAP.
Para ello, primero será necesario construir una consulta SOAP que porte toda la información necesaria recopilada para el nuevo alta.
Esta puede obtenerse de una forma tan sencilla como facilitando un formulario al empleado solicitante en donde cubra datos básicos tales como: Nombre, correo electrónico, sistema SAP necesario, autorizaciones que necesitará, manager que haga la aprobación de la petición… etc
Una vez enviada esta consulta mediante el web service al sistema SAP, a través del usuario de integración se lanzará una nueva solicitud de GRC y se devolverá el nº de la misma al sistema que originó la consulta, en el formato mostrado en la siguiente imagen:
A partir de este punto, el flujo normal definido para cada compañía en GRC es iniciado. Una vez finalice, el usuario será creado en el sistema final y las credenciales enviadas al empleado:
Puntos Clave
- La integración entre herramientas SAP y no SAP es viable, fiable y segura.
- Aparece la tecnología Web Service como vehículo de interoperabilidad.
- El estándar de SAP GRC Access Controls contiene 16 web services principales que hacen posible esta integración.
- Solución escalable y altamente adaptable a las necesidades de cada arquitectura IT.
- Se resuelve el problema actual que tienen muchas empresas para conectar la herramienta de gestión de solicitudes de usuarios (ServiceNow, JIRA, etc.) con SAP GRC y el entorno de sistemas SAP.
- Acceso externo a cualquier funcionalidad SAP.
- Rápido retorno de inversión.
- Aportación de solución de valor.
