Uxio Fernandez Hermo, uno de nuestros consultores SAP ha impartido un webinar sobre Introducción a SAP IAG. ¿En qué se diferencia de SAP GRC Access Control? El mismo fue impartido desde la plataforma de nuestros partners de CUVIV con dos sesiones de una hora de duración cada una. Una de ellas en horario matinal para el público residente en Europa y otra de tarde para el público de Latam.
Dirigido a usuarios con nociones de SAP, este webinar tenía como objetivo ampliar sus conocimientos y lograr la interacción con Uxío al final de cada una de las sesiones.
Funcionalidades de SAP IAG
En este punto, Uxío profundizó en Access Analysis Service, un servicio de análisis de accesos funciona de manera análoga a Access Risk Analysis en SAP GRC AC, permitiendo llevar a cabo la gestión de los riesgos de los sistemas conectados a IAG. Explicó las diferencias principales que existen con GRC AC, destacando los análisis de riesgos de sistemas Cloud de manera nativa (AC sólo permite para SuccessFactors) y que se pueden realizar, por tanto, análisis de riesgos cross-system entre aplicaciones Cloud y no Cloud.
Destacó que no se pueden obviar las ventajas de herramientas como Priviledge Access Management, una herramienta que permite la gestión de accesos de emergencia, desde la propia solicitud hasta la revisión de los cambios. Ésta se integra con Access Request Service, permitiendo solicitar accesos de emergencia a través de un flujo de aprobación. Bien configurada, es una herramienta que puede ser utilizada directamente por usuarios finales, sin necesidad de intervención de usuarios administradores. De las diferencias existentes con GRC AC, Uxío destacó que sólo puede usarse en sistemas ABAP, tiene que usarse el acceso de emergencia basado en ID y únicamente puede usarse de manera descentralizada. A mayores, PAM no requiere de una instalación de software en el sistema satélite, con ABAB es suficiente.
Posteriormente analizó las funcionalidades de Access Request Service. Esta herramienta permite centralizar la gestión de accesos en SAP, utilizando un flujo de aprobación que mejora la eficiencia y trazabilidad de los cambios. A diferencia de GRC AC, los flujos no son tan configurables. Entre las principales diferencias con GRC AC, destaca que se puede conectar tanto con sistemas On-Premise, como con sistemas Cloud. Además se pueden integrar los eventos de HR para automatizar el proceso Hire to Retire que no puede personalizarse en IAG de igual modo que con GRC AC.
Por último, dentro de las funcionalidades de IAG, tenemos Role Design Service. Se trata de un servicio que permite gestionar el ciclo de vida de los roles de los sistemas SAP. Se encarga de hacer repositorio de los roles que podrán ser añadidos en las solicitudes de acceso como parte del servicio Access Request.
Se diferencia de GRC AC en que se puede utilizar como repositorio tanto de roles de sistemas On-Premise como de sistemas Cloud, disponiendo de asistentes que ayudan a los administradores en la elaboración de Business Role y también de menos información para poder categorizar los roles.
Integraciones
¿Cuándo implantar GRC AC o IAG?
- Escenario sólo IAG: en este escenario, las empresas utilizarían IAG como única aplicación destinada al control de accesos.
- Escenario Híbrido (GRC AC + IAG): en este escenario, se utiliza SAP GRC AC como aplicación de gestión de accesos, y a través de una integración (nativa) de SAP GRC AC con IAG puede delegarse en IAG las tareas relativas a los sistemas Cloud. En este escenario destacamos el análisis de riesgos, los accesos de emergencia, las solicitudes de acceso y la gestión de roles.
Conclusiones
Como puede apreciarse a lo largo de este artículo, la mejor versión de cada herramienta puede conseguirse a través de la utilización del escenario híbrido, en el que SAP GRC AC y SAP IAG trabajan conjuntamente. La selección de un modelo únicamente Cloud (sólo IAG), un modelo mixto (IAG & GRC AC) o un modelo puramente On-Premise (GRC AC), podría resumirse de la siguiente manera:
- Solución Cloud: para organizaciones de menos de 500 usuarios, o procesos de control de accesos sencillos y estandarizados. Especialmente los relacionados con el proceso de gestión de cuentas, y que es fácilmente adaptable a alguno de los procesos entregados por defecto por SAP IAG, y que se necesita realizar control de acceso sobre sistemas tipo Cloud. Se debe tener en cuenta que el coste de licenciamiento de SAP IAG es menor que SAP GRC AC.
- Solución Híbrida: para organizaciones de más de 500 usuarios o procesos complejos. si una organización necesitase gestionar en sistemas cloud su control de accesos, y dispone de unos procesos que necesitan de un alto grado de personalización en la herramienta, esta solución sería la más adecuada, dado que la solución GRC AC permite un mayor grado de adaptabilidad, mientras que en conjunción con SAP IAG puede extender sus capacidades a sistemas Cloud.
- Solución On-Premise: Si se dispone de una organización con más de 500 usuarios en la que no se necesita gestionar los accesos en sistemas Cloud, la implementación de únicamente SAP GRC AC sería recomendable.