Sap secure login client что это
SAP что это за программа и ее описание
Для того чтобы бизнес развивался наилучшим образом, необходимо автоматизировать бухгалтерский учет на предприятиях независимо от их размеров и форм собственности.
Также это необходимо для руководителей компании, которые могут оперативно вносить корректирующие изменения, позволяющие достичь оптимальных показателей. 
Для автоматизации бухгалтерского учета на отечественных предприятиях сегодня существуют множества различных предложений, таких как:
До недавнего времени на отечественных предприятиях использовали «1 С: Бухгалтерия». Но уже с 1992 года все чаще на крупных, а также средних предприятиях устанавливают немецкую программу SAP.
Клиентами этого программного обеспечения являются такие огромные предприятия как акционерные общества «Газпром» и «Газпром Нефть», «Лукойл» и «ТНК», алмазная компания «Алроса» и многие другие гигантские корпорации.
Видео: Обзор приложения
Что такое программа SAP
Бухгалтерская программа SAP является автоматизированной системой, позволяющей планировать ресурсы крупных предприятий, которая позволяет рассчитывать все до мелочей, а также формирует единое информационное пространство.
Благодаря модульному принципу, по которому функционирует система ERP, появилась возможность использования не только отдельных компонентов системы SAP, а также их комбинации.
Самый максимальный эффект от использования системы можно достичь только в том случае, если предприятие выполняет все операции в единой информационной среде. Система SAP® ERP позволяет незамедлительно актуализировать и проводить данные, которые тот час поступают ко всем необходимым отделам предприятия.
Система использует модель, состоящую из трех звеньев:
Конечный потребитель предполагает, что бухгалтерская система объединила основные функции в двух областях:
История появления
В 1972 году в Германии была основана компания, создающая программное обеспечение и предоставляющая услуги консалтинга для организаций. Ее создали пятеро сотрудников немецкого происхождения, которые уволились из корпорации IBM.
Аббревиатура названия компании переводится на русский язык как «Системный анализ и разработка программного обеспечения». Достаточно быстро она стала пользоваться успехом и спросом у всемирно известных компаний, чье управление считалось наиболее эффективным.
С самого начала компания SAP специализировалась на разработках автоматизированных систем, которые позволяли управлять процессами внутри предприятия, к ним относится не только бухгалтерский учет, а также производственные процессы и торговые операции. К ним также относятся управление персоналом и складским оборотом.
Высокое качество продукта, постоянные инновации, а также способность предвидеть позволили компании SAP уже с 2009 года стать одним из четырех мировых лидеров по созданию программ, используемых на крупных предприятиях.
С 2007 года корпорация начала слияние, выкупая компании, производящие программное обеспечение по предсказательной аналитики, анализу и обработки данных, контролирующее качество и процессы производства на промышленных предприятиях, а также управляющие человеческим капиталом.
Корпорация SAP разрабатывает систему, приложения которой адаптируются, учитывая правовой контекст отдельно взятой страны. Также компания помогает внедрять свою систему в качестве дополнительных услуг. Для этого она разработала собственную методику, имеющую название ValueSAP.
Самый известный продукт
Популярнейшим продуктом считается ERP система, которая позволяет управлять всеми ресурсами как внутренними, так и внешними. Она формирует единое информационное пространство для ввода, обработки и получения информации о деятельности внутри предприятия.
Благодаря продукту SAP R/3, предназначенному в качестве комплексной автоматизации на крупных предприятиях, корпорация быстро поднялась на уровень мировых лидеров и стала всемирно известным производителем ПО, позволяющего все процедуры автоматизировать, с помощью которых образуются бизнес-процессы.
В 2004 году компанией SAP была представлена программная платформа, называющаяся SAP NetWeaver 2004, в которую вошли следующие продукты:
Описание бухгалтерской программы SAP
Бухгалтерская программа SAP устанавливается только на предприятия крупного бизнеса, так как стоимость программного обеспечения иногда достигает 5% или 10% годового оборота компании, услуги по внедрению системы также достаточно высоки. И все же не смотря ни на что, крупнейшие корпорации предпочитают устанавливать именно эту систему.
Функциональные области программы SAP состоят из следующих модулей:
Дополнения к пакету
Так как компания всегда старается вводить новшества, она предоставила следующие дополнения к пакету:
Видео: меню SAP ERP
Этапы внедрения
Внедрением называется процесс, позволяющий изменять деятельность предприятия, при этом он должен достичь поставленных целей в ограниченный период времени.
Обычно цели включают в себя:
Этапы внедрения подразумевают следующие действия:
Несмотря на то, что программа SAP чрезвычайно сложная, многие руководители огромных предприятий оценили ее по достоинству. Система SAP является не просто программой, она помогает принимать решения, позволяющие менять бизнес-процессы, что в свою очередь приводит к значительному увеличению прибыли.
Благодаря инновациям, компания SAP разрабатывает программные продукты, которыми могут пользоваться не только компании крупного бизнеса, а также средние и малые формы хозяйства. На платформе SAP для них разработаны приложения Business One и Business All-in-One, которые вполне удовлетворят их потребности.
Что такое SAP?
И как получилось, что 77% мировой торговли, в том числе 78% поставок продуктов питания, проходит через программы SAP?
ERP — то место, где компании хранят основные операционные данные. Мы говорим о прогнозах продаж, заказах на покупку, складских запасах, а также о процессах, которые срабатывают на основе этих данных (например, выплаты поставщикам при оформлении заказов). В некотором смысле ERP является «мозгом» компании — она хранит все важные данные и все действия, которые инициируются этими данными в рабочих процессах.
Но прежде чем полностью захватить современный мир бизнеса, как вообще появилось это программное обеспечение? История ERP начинается с серьёзной работы по автоматизации офисной деятельности в 1960-е годы. Ранее, в 40-е и 50-е годы происходила главным образом автоматизация механической работы «синих воротничков» — вспомните General Motors, создавшую свой отдел автоматизации в 1947 году. А вот автоматизация работы «белых воротничков» (часто с помощью компьютеров!) началась в 60-е.
Автоматизация 60-х: появление компьютеров
Первыми бизнес-процессами, которые автоматизировали с помощью компьютеров, стали расчёт зарплаты и выставление счетов. Раньше целые армии офисных работников вручную подсчитывали часы работы сотрудников в бухгалтерских книгах, умножали на почасовую ставку, затем вручную вычитали налоги, вычеты на пособия и так далее… всё это только для того, чтобы посчитать зарплату за один месяц! Этот трудоёмкий, повторяющийся процесс был подвержен человеческим ошибкам, при этом он идеально подходит для компьютерной автоматизации.
К 60-м годам многие компании для автоматизации расчёта зарплаты и выставления счетов использовали компьютеры IBM. Процессинг данных —устаревший термин, от которого осталась только компания Automatic Data Processing, Inc. Вместо него сегодня мы говорим «ИТ». Тогда ещё не сформировалась отрасль разработки программного обеспечения, поэтому в отделы ИТ часто брали аналитиков и учили их программировать на месте. Первый в США факультет Computer Science открыл университет Пердью в 1962 году, а первый выпуск по специальности состоялся спустя несколько лет.
Написание программ для автоматизации/обработки данных в 60-е годы было сложной задачей из-за ограничений памяти. Не было ни языков высокого уровня, ни стандартизированных операционных систем, ни персональных компьютеров — только большие дорогие мейнфреймы с небольшим объёмом памяти, где программы запускались на катушках магнитной ленты! Программисты часто работали с компьютером по ночам, когда он был свободен. Для компаний вроде General Motors обычным делом было писать собственные операционные системы, чтобы получить максимальную отдачу от своих мейнфреймов.
Cегодня мы запускаем прикладное программное обеспечение в нескольких стандартных операционных системах, но такого не было до 1990-х гг. В средневековую эпоху мейнфреймов 90% всего программного обеспечения писалось на заказ, и только 10% продавалось в готовом виде.
Такая ситуация глубоко повлияла на то, как компании развивали свои технологии. Некоторые предполагали, что будущее за стандартизированным оборудованием с неизменной ОС и языком программирования, как система SABRE для авиационной промышленности (которая используется до сих пор!) Большинство компаний продолжали создавать собственное полностью изолированное программное обеспечение, часто изобретая велосипед.
Рождение стандартного программного обеспечения: расширяемая программа SAP
В 1972 году пять инженеров уволились из IBM, чтобы заключить контракт на поставку программного обеспечения с крупной химической фирмой под названием ICI. Они основали новую компанию под названием SAP (Systemanalyse und Programmentwicklung или «системный анализ и разработка программ»). Как и большинство разработчиков программного обеспечения в то время, они в основном занимались консалтингом. Сотрудники SAP приходили в офисы клиентов и разрабатывали софт на их компьютерах, в основном, для управления логистикой.
Но самое главное, программное обеспечение SAP изначально создавалось расширяемым. В первоначальном контракте с ICI компания SAP не создавала программное обеспечение с нуля, как было принято в то время, а писала код поверх предыдущего проекта. Когда SAP выпустила своё программное обеспечение для финансового учёта в 1974 году, то изначально планировала в будущем писать поверх него дополнительные программные модули и продавать их. Такая расширяемость стала определяющей особенностью SAP. В то время взаимодействие между клиентскими контекстами считалось радикальной инновацией. Программы писались с нуля для каждого клиента.
Важность интеграции
Когда SAP представила свой второй программный модуль для производства в дополнение к первому финансовому модулю, эти два модуля смогли легко взаимодействовать друг с другом, поскольку у них была общая база данных. Такая интеграция сделала сочетание модулей значительно более ценным, чем просто две программы по отдельности.
Поскольку ПО автоматизировало определённые бизнес-процессы, его влияние в значительной степени зависело от доступа к данным. Данные заказа на закупку хранятся в модуле продаж, данные по запасам продукции хранятся в модуле склада и т. д. И поскольку эти системы не взаимодействуют, их регулярно нужно синхронизировать, то есть сотрудник вручную копировал данные из одной базы в другую.
Интегрированное ПО решает эту проблему, облегчая коммуникацию между системами компании и позволяя новые виды автоматизации. Такого рода интеграция — между различными бизнес-процессами, а также источниками данных — является ключевой особенностью ERP-систем. Это стало особенно важным по мере развития аппаратного обеспечения, что открывало новые возможности автоматизации — и системы ERP процветали.
Скорость доступа к информации в интегрированном ПО позволяет компаниям полностью изменить свои бизнес-модели. Компания Compaq с помощью ERP внедрила новую модель «производство по заказу» (то есть сборка компьютера только после явного получения заказа). Эта модель экономит деньги, уменьшая складские запасы, полагаясь на быстрый оборот — именно то, в чём помогает грамотная ERP. Когда IBM последовала тому же примеру, то сократила время доставки комплектующих с 22-х до трёх дней.
Как на самом деле выглядит ERP
Слова «корпоративное программное обеспечение» никак не ассоциируется с модным и удобным интерфейсом, и SAP не исключение. Базовая установка SAP содержит 20 000 таблиц БД, 3000 из которых являются таблицами конфигурации. В этих таблицах около 8000 конфигурационных решений, которые нужно принять ещё до начала работы программы. Вот почему SAP Configuration Specialist — это реальная профессия!
Несмотря на сложность настройки, программное обеспечение SAP ERP обеспечивает ключевую ценность — широкую интеграцию между собой нескольких бизнес-процессов. Эта интеграция приводит к тысячам вариантов использования в организации. SAP организует эти варианты использования в «транзакциях», которые представляют собой бизнес-действия. Некоторые примеры транзакций включают «создание заказа» и «отображение клиента». Эти транзакции организованы в формате вложенного каталога. Таким образом, чтобы найти транзакцию «Создать заказ на продажу», вы идёте в каталог «Логистика», затем «Продажи», затем «Заказ», и там найдёте фактическую транзакцию.
Если назвать ERP «браузером транзакций», то это будет удивительно точным описанием. Он очень похож на браузере, тут есть кнопка «Назад», кнопки зуммирования и текстовое поле для кодов “TCodes”, эквивалент адресной строки в браузере. SAP поддерживает более 16 000 типов транзакций, поэтому навигация по дереву транзакций может быть сложной без этих кодов.
Несмотря на головокружительное количество доступных конфигураций и транзакций, у компаний всё равно встречаются уникальные варианты использования, им нужно тонко настраивать свои действия. Для обработки таких уникальных рабочих процессов у SAP есть встроенная среда программирования. Вот как работает каждая часть:
Данные
В интерфейсе SAP разработчики могут создавать собственные таблицы БД. Это реляционные таблицы как обычные базы SQL: столбцы различных типов, внешние ключи, ограничения значений, а также разрешения на чтение/запись.
Логика
SAP разработала язык под названием ABAP (Advanced Business Application Programming, первоначально Allgemeiner Berichts-Aufbereitungs-Prozessor, по-немецки «общий процессор создания отчётов»). Он позволяет разработчикам запускать индивидуальную бизнес-логику в ответ на определённые события или по расписанию. ABAP — это язык с богатым синтаксисом, здесь примерно втрое больше ключевых слов, чем в JavaScript (см. реализацию игры 2048 на языке ABAP). Когда вы написали свою программу (в SAP есть встроенный редактор для программирования), то публикуете её как собственную транзакцию, вместе с индивидуальным кодом TCode. Можете настроить существующее поведение с помощью обширной системы хуков, которые называются «бизнес-надстройками» (add-ins), где программа настраивается для запуска при выполнении определённой транзакции — аналогично триггерам SQL.
SAP также поставляется с конструктором для создания UI. Он поддерживает драг-н-дроп и поставляется с удобными функциями, такими как сгенерированные формы на основе таблицы БД. Несмотря на это, его довольно трудно использовать. Моя любимая часть конструктора — рисование столбцов таблицы:
Трудности внедрения ERP
Интегрированная природа ERP означает, что для её внедрения требуются усилия компании целиком. А поскольку компании получают выгоду только после повсеместного внедрения, это особенно рискованно! Внедрение ERP — не просто решение о покупке: это обязательство изменить свои методы управления операциями. Установка программного обеспечения — это легко, перенастройка рабочего процесса всей компании — вот где основная работа.
Для внедрения у себя ERP-системы клиенты часто нанимает консалтинговую фирму, такую как Accenture, и платят ей миллионы долларов за работу с отдельными бизнес-подразделениями. Аналитики определяют, как интегрировать ERP в процессы компании. И как только интеграция начинается, компания должна начать обучение всех сотрудников, как использовать систему. Gartner рекомендует резервировать 17% бюджета только на обучение!
Современная индустрия ERP
Крупнейшими игроками являются Oracle и SAP. Хотя обе являются лидерами рынка, их ERP-продукты удивительно отличаются. Продукт SAP был в основном построен внутри компании, в то время как Oracle агрессивно скупила конкурентов, таких как PeopleSoft и NetSuite.
Oracle и SAP настолько доминируют, что даже Microsoft использует SAP вместо своего собственного ERP-продукта Microsoft Dynamics.
Поскольку в большинстве отраслей довольно специфические потребности в ERP, у Oracle и SAP есть готовые конфигурации для многих отраслей, таких как пищевая, автомобильная и химическая, а также вертикальные конфигурации, такие как процессы организации продаж. Тем не менее, всегда остаётся место для нишевых игроков, которые, как правило, ориентируются на конкретную вертикаль:
Однако специализация — не единственная возможность найти свою нишу на рынке. Некоторые стартапы пытаются вывести на рынок более современные программные платформы. Примером может служить Zuora: она предлагает возможность интеграции (с разными ERP!) по подписке. Стартапы вроде Anaplan и Zoho предлагают то же самое.
ERP на подъёме?
В 2019 году SAP чувствует себя прекрасно: в прошлом году выручка составила €24,7 млрд, а рыночная капитализация сейчас превысила €150 млрд. Но мир программного обеспечения уже не тот, что раньше. Когда SAP впервые появилась, данные были изолированы и трудно интегрировались, так что хранение всего этого в SAP казалось очевидным ответом.
Но теперь ситуация быстро меняется. У большинства современных корпоративных программ (например, Salesforce, Jira и т. д.) есть бэкенд с хорошими API для экспорта данных. Формируются озёра данных: например, Presto облегчает соединение между собой баз данных, невозможное всего несколько лет назад.
Проект по внедрению Single Sign On в SAP
Конец года, все потихоньку подводят итоги.
Для меня этот год запомнился проектом внедрения Single Sign On (SSO) между SAP и Windows. В этой статье расскажу об опыте внедрения и проектного менеджмента, подводных камнях, находках и выводах.
Компания — крупное транспортное предприятие в Бельгии, объединяющее метро, трамвай и автобус. Сотрудников более 10 тысяч, из них почти две тысячи это backoffice, использующий много инструментов: корпоративный сайт, почту, службу заявок, sharepoint, архивариус и, конечно, SAP.
SAP повсюду: от бухгалтерии и HR до регистрации движения транспортных единиц, документации аварий, аналитики, закупок, складирования и т.д.
Проблема:
Задача: внедрить SSO между Windows и SAP, чтобы, заходя в свою учётную запись на PC, пользователь мог залогиниться в SAP не вводя пароль.
Если вы не имеете дела с SAP вам будет интересна эта статья с точки зрения менеджмента проекта, для сапёров тех детали будут приведены (в скобках).
Введение
Забегая вперёд, если вы не горите желанием набивать стандартные шишки, вот список вопросов, которые вы должны прояснить для себя в самом начале проекта:
У нас состав участников проекта менялся несколько раз: сначала это был только отдел авторизации в SAP и отдел администраторов (Basic Components). Затем к ним присоединились отдел занимающийся авторизацией в Windows (Active Directory, AD) и отдел внедрения обновлений (Packaging), затем отдел баз данных и отдел мобильных приложений, и т.д.
Для технической стороны дела был приглашён внешний консультант, а Project Manager (ПМ) стала я, как человек занимающийся авторизациями в SAP (поэтому деталей по авторизациям в SAP в этой статье будет больше, чем других).
Важное уточнение: весь доступ, который мы даём в SAP, кастомизирован. Мы не пользуемся стандартными ролями, которые предлагает система, а создаём новые, под отдел, под позиции, под функции. На сегодняшний день у нас нет синхронизации между пользователями SAP и Windows AD. Например, если у вас пользователь обладает правами администратора в локальной сети, то это не значит, что он также администратор в SAP.
1. Scope
1.1 Scope Люди
Люди в нашей компании пользуются SAPом через приложение на личном компьютере (тонкий клиент — SAP Logon GUI), но не только. Как считать пользователей, попадающих под раздачу?
Мы взяли за основу всех, кто ежедневно подключается через SAP Logon (SAP user type Dialogue) с ноутбуков. В этой категории весь backoffice — сотрудники администрации, бухи, ичары, разработчики, тестировщики, логистика и т.д.
1.2 Scope Systems
В нашей компании в SAPе используются шесть активных landscapes (ECC, BI, SRM, Netweaver, PI, Solution manager), не считая песочниц. У каждой из них свои DEV, ACC, PRD — т.е. фактически это 6*3 = 18 систем.
Гласным голосованием было решено взять только первые четыре landscapes. PI и SM используются узким кругом администраторов и требуют обновления самой системы (по крайней мере обновления SAP_BASIS component до версии 740). Иначе транзакция sncwizard не поддерживается, а вручную это делать слишком хлопотно ради 10-20 человек.
2. Компоненты
Люди, интересующиеся тех деталями, найдут на сайте SAP пошаговую инструкцию, так же как и различные доступные способы (мы выбрали SSO based on Kerberos, но это не всегда очевидный вариант).
С очень упрощенной точки зрения (моей), SSO это надстройка в SAP, позволяющая вам заходить в систему, используя свою учётную запись Windows. Вы включаете компьютер, вводите пароль, и для того чтобы зайти в SAP вам достаточно двойного клика.
Чтобы магия сработала нужно 5 составляющих:
2.1 Изменение параметров системы (instances SAP)
В системе SAP (ECC, BI, SRM, Netweaver) нужно активировать параметр snc/enable =1. Это делается через sncwizard и включает подготовку, перезагрузку системы и окончательные шаги активации.
С параметрами до и после мы разобрались силами тех консультанта, помощи со стороны других отделов и методом проб и ошибок. Самое сложное здесь был рестарт системы.
На производстве всегда сложно перезапускать PRD, работа идёт круглосуточно. А в транспортной компании это вдвойне сложнее: транспорт двигается с пяти утра и до часу ночи, даже по выходным. Любые сложности с PRD влияют не только на сотрудников компании, но на весь город и десятки тысяч людей. Другими словами — нужно минимизировать время, когда система недоступна и по возможности совместить с другими обновлениями. При этом нельзя недооценивать бюрократию: рестарт это заранее согласованные по регламенту даты, время, продолжительность (если с первого раза параметры не сохранятся) и уведомление бизнеса.
У нас было четыре системы SAP PRD: ECC, Netweaver, SRM, BI – для перезагрузки
ECC — самая важная, на неё завязаны все данные реального времени и основной транспорт: автобусы, трамваи.
Данные системы Netweaver (аварии, мобильные приложения), как и системы ECC используются даже в 3 часа ночи — если трамваи не ходят, то ходят ремонтные бригады.
Система SRM — в основном используется для закупок и была доступна в любой день после 18:00.
С BI сложность в том, что на выходных в систему идут потоки загрузки данных из ECC, кроме того, иногда отчёты из BI, используются высшим менеджментом вне рабочих часов.
В совокупности на перезагрузки всех PRD ушло 2 недели.
P.S. Рестарту каждой из систем PRD предшествовали рестарты всех DEV и ACC, которые проще в согласовании, но также требуют планирования.
2.2 Windows Active Directory (AD)
В Active Directory требуется создание специального технического пользователя (SAP Kerberos). Этот пользователь будет связываться с Windows чтобы получить копию входного «тикета» для SAP. Достаточно одного такого сервисного пользователя AD для всех систем SAP.
Эта часть была целиком сделана нашим внешним консультантом и командой Active Directory, включала в себя несколько итераций по уточнению параметров и настройке спец.библиотеки, но для меня в большей степени осталась «чёрным ящиком».
2.3 Установка на компьютер пользователя программы SAP Secure Login Client (SLC)
Эта программа сама по себе ничего не делает. Она нужна, чтобы хранить тикет от AD, подтверждающий вашего пользователя при входе в сессию Windows, и при необходимости предоставлять этот тикет в SAP для авторизации. SLC можно установить всем пользователям сразу в начале проекта — без остальных компонентов SSO она всё равно работать не будет.
2.4 Привязка пользователя SAP к его пользователю AD
Как уже было сказано, в нашей компании нет единого управления пользователями, доступ в разных системах получают от разных команд. При этом login пользователя в SAP отличается от имени пользователя в Windows, например пользователь #45011 в AD это Иван Иванов или ИВАНОВИ. Именно эту связку и надо заполнить в SNC (через транзакцию SU01, поле SNC, p:CN=ADname@domain).
В нашей компании нет SAP Identity Management. Поэтому надо было решить две задачи: создание новых пользователей и обновление параметров существующих.
Создание новых пользователей
В основной системе (ECC) каждый рабочий день создаётся 4-6 новых логина, это за год почти 1000 новых пользователей. Процесс автоматизирован: при создании пользователя программа заполняет его адрес, имя, базовые настройки. Мы решили, что программа также должна заполнять поле SNC на этапе создания пользователя, независимо от того, потребуется ли человеку SSO в SAP впоследствии или нет.
Загвоздка была в том, что для каждого пользователя надо заполнить уникальное собственное имя в AD, т.е. это не одинаковый для всех параметр — т.е. надо чтобы программа сама искала имя пользователя в AD и заполняла его в SAP.
Разработчик быстро обновил программу. На код и базовое тестирование ушло 2 дня, но данные для проверки в ACC нам не подходили (AD не обновлялась), поэтому мы сразу отправили изменения в PRD. Там выяснилось что всё сложнее, чем мы думали. В процессе расследования пришли вот к такой схеме:
Почти две недели ушло на поиск, согласование изменений, согласование графика обновления и загрузки-выгрузки таблиц. Дело было в синхронизации — программа по созданию пользователей (пункт 6) должна строго запускаться после того, как все другие программы уже отработали и данные скопированы в таблицы. В итоге две недели мы отслеживали, когда какая программа завершилась и в какое время, и отлаживали схему.
Когда пользователи создаются с заполненным полем SNC, но без нужных AD имён, в SU01 можно увидеть всех юзеров-соратников по несчастью, привязанных к одному, несуществующему пользователю AD.
Обновление параметров существующих пользователей
Именно потому что у нас login SAP и Windows не совпадают, мы не смогли воспользоваться стандартным решением от SAP для массового заполнения поля SNC (программа RSUSR300 via SNC1).
В итоге данные 10 тысяч существующих пользователей я обновляла с помощью самодельного скрипта (SAP eCATT), выгрузив данные по пользователям вручную и создав variant. Для успеха пришлось открыть для изменений и eCATT системы в PRD и ACC и пообещать разработчикам миллионы печенек.
2.5 Модификация файла SAP logon.ini
Технически это дело 1 минуты. Надо лишь отметить в свойствах файла, что доступно подключение через SNC.
Сложность в том, что этот файлик находится локально на PC пользователя и надо поменять его у двух тысяч пользователей.
Фактически для нас финальное внедрение было моментом распределения нового файла sap.logon.ini среди пользователей, а не изменение параметров PRD. Потому что даже если первые четыре составляющие уже сделаны, а последняя пятая нет, то магия не случится.
С последним пунктом вышел небольшой казус. Я отчиталась перед руководством, что у нас 2000 пользователей, у кого будет установлено обновление, а когда пришло время внедрять, мне прислали статус, где их было 3500. Стало не по себе. Всё потому, что я со своей стороны видела только активных пользователей SAP, а в действительности обновление было отправлено на все персональные ноутбуки, которых в компании гораздо больше. Слава богу никаких багов с технической стороны не возникло.
3. Тестирование
Как тестировать SSO? Либо он работает, либо нет. Наш разработчик фыркал и говорил, что тестировать ничего не нужно, и как только всё заработает в «песочнице», нужно отсылать в продакшн. Конечно. Nobody will say he writes code with bugs.
SSO это не программа, её сложно внедрять последовательно DEV — ACC — PRD. Но тем не менее первичное тестирование необходимо, чтобы уловить всё, что потенциально может пойти не так. Тестирование в данном случае это распределение нового SAP logon.ini, когда все компоненты уже запущены. Мы тестировали DEV и ACC с разработчиками и новый SAP logon.ini c PRD c выборкой бизнес пользователей.
4. SNC это дыра в безопасности
Как быть с модификацией поля SNC?
Дело в том, что изменив поле SNC у другого пользователя (в SU01) на своё, вы можете подключиться под чужим аккаунтом, даже не меняя пароля. Система вас просто спросит какого пользователя выбрать, вашего или чужого. При этом, если вы это сделаете, завтра никто ничего не заметит, потому что пароль остался неизменным.
В любой компании есть люди, которые занимаются user management. Обычно эти люди следят за созданием пользователей (SU01) и доступа для них (PFCG), а также обновлением паролей. Совершенно логично, что они также могут заполнять поле SNC.
Проблема возникает, когда в компании надо разделять user management и просто key users. Администраторы создают пользователей, а key users при необходимости меняют их данные: параметры пользователя, его язык, его место локации и т.д.
В SAP для измененеия поля SNC нет отдельного этапа контроля. Все у кого есть права для изменения юзера (объект S_USER_GRP, ACTVT 02) также могут менять поле SNC (тогда как для изменения пароля требуется тот же объект, но c ACTVT 05).
Решений может быть несколько:
Мы в итоге выбрали последний вариант, сделав custom authorisation object и завязав программу SU01 на него. Правда, как выяснилось потом, у SAP есть похожее решение — можно активировать extended maintenance (note 1882254) для отдельных полей SU01.
5. Командная работа
За время проекта я столкнулась со всеми сложностями командной работы и открыла для себя много базовых истин:
Кроме всего от настойчивости консультанта зависит многое. Кто-то один, или консультант-разработчик или ПМ должен быть как пуля дерзким и пробивать стены бюрократии. В данном случае мне отчасти повезло, наш приглашённый консультант был назойливым и порой невыносимым (сложно было заставить его что-то услышать), но своё дело знал: о любых проблемах и остановках сообщал немедленно и не успокаивался пока проблема не разрешалась.
6. Информация для бизнеса
В большой компании изменения, затрагивающие конечных пользователей, должны быть своевременно, а лучше заранее объявлены.
В нашем случае надо было проинформировать всех пользователей, что теперь им не нужен пароль для входа в SAP. Также, надо было предоставить техдокументацию для 1ой линии поддержки со всеми возможными ошибками, которые могут возникнуть после внедрения.
Надо признаться, что с коммуникацией всё что могло, пошло не так.
Во-первых, мы объявили пользователям об SSO на корпоративном сайте, а не письмом. Как часто вы читаете корпоративный сайт? Многие просто ничего не заметили до тех пор пока их SAP внезапно не перестал запрашивать пароль.
Во-вторых, девушка, ответственная за размещение инфы, заболела, перепоручила, не проверила, мне сказали подождать неделю, я отказалась (в конце концов из-за оповещения задерживать проект?) и мой текст оказался на сайте без вычитки, с кучей очепяток.
В-третьих, техподдержка написала мне в день Go Live, что они не поддерживают изменения, если документация им пришла меньше чем за неделю (я отправила документацию за 2 дня), и что в случае звонков мы будем выкручиваться сами. Хорошо что технических ошибок не было.
Проект запустился и уже вовсю шёл 5-ый день эры SSO в нашем SAP, когда мы обнаружили слона, которого никто не заметил.
В компании присутствует два языка: голландский и французский. Априори, благо компания расположена в Брюсселе — у всех стоит французский. Но тем не менее многие сотрудники подключаются через голландский или английский. В общей сложности из 2-х тысяч активных пользователей, почти 500 человек это голландско-говорящие. Раньше они сами всякий раз меняли язык в окошке подключения.
Теперь у всех по дефолту оказался французский. Причём если бы мы оставили галочку “use a default language SAP logon” пустой — никаких вопросов не возникло бы, каждый бы подключался с тем языком, какой у него отмечен в параметрах (SU01, вкладка Defaults). После внедрения посыпались звонки с просьбой «сменить пользователю SAP».
На этапе тестирования проблемы замечено не было, потому что почти все тестировщики оказались французско-говорящими, либо подключались на французском в повседневной работе.
Решили проблему отправкой инструкцией о смене языка всем нидерландо-говорящим пользователям дабы предовратить их новые звонки в техподдержку.
8. Итоги и выводы
В целом внедрить SSO — это просто, когда вы это уже сделали хотя бы один раз в жизни. Говорят, что это вопрос 1-2 недель работы, но никак не 3-х месяцев.
На деле всё сильно зависит от масштабов компании. Каждая компания имеет свои особенности и много энергии и ресурсов уходит именно на понимание этих нюансов. В нашем случае три месяца было именно столько, сколько нужно для всех встреч, согласований, изменений.
Многие вещи про SSO были, возможно, уже давно известны, как минимум, гуглу. Например про запрос сервера к AD, или поле SNC. Но есть такая вещь, как вечная нехватка времени. Как специалист вы обязаны гуглить, а как менеджер проекта (особенно если вы не можете разобраться в первые полчаса, и у вас нет профильного образования) — вы должны найти самый короткий путь к решению.