La gestión del cambio de contraseñas

-






Muchas veces el cambio y/o asignación de contraseñas se pueden volver complejo y dispendioso, convirtiéndose en una tarea que genera demasiada carga administrativa, pues al verse como  una tarea muy sencilla, deriva en 2 procesos, uno en cuanto a operación y trazabilidad por aquello de mantener sentado un registro para el área de auditora, que dicho de manera concreta es mucho el protocolo que maneja, además del tiempo que conlleva y el otro el proceso en sí que en realidad no conlleva más de tres clic  exagerando.

 Para reducir un poco esa gestión y volverla más automática y ágil, existen algunas soluciones que podrían apoyarla, a saber:

  • ·         Una posible solución es utilizar la opción del CUA, pero como desventaja sigue siendo dependiente del área de TI, generando la misma carga administrativa, digamos que ayuda un poco en la gestión, ya que desde un solo sitio se pueda realizar el cambio, sin la necesidad de ingresar a cada sistema.


  • ·         Otra posible solución y muy efectiva, es realizar el cambio automático, es decir que el mismo usuario sea el que solicite el cambio, de esta manera ya deja de ser dependiente y elimina esa carga administrativa y que detallaré en que consiste a continuación.


Para desarrollar esta solución acudimos a un concepto que tiene SAP y que se denomina WEBDYNPRO, que es la forma que tiene SAP de publicar un servicio de manera pública y que lleva adjunto y embebido un programa zeta asociado a una clase y aquí estoy utilizando términos y pisando terrenos como es el área de desarrollo de SAP, que no dominio muy bien, pero que desde el punto de vista conceptual permite ser accedido a través de la intranet de la compañía. Este programa tiene en su inicio una página que como punto de entrada le solicitará el número de cedula, que es cotejado con el módulo de HR (en donde validará que exista como empleado y se encuentre activo) y si existe le permite pasar a la siguiente fase que consiste en hacerle un par de preguntas claves que deberá recordar, que serán su validación y confirmación de que el usuario es quien dice ser. Digamos que por decirlo de alguna forma será su filtro de seguridad en el momento que quiera realizar la solicitud del cambio de contraseña. La siguiente fase es presentarle los sistemas a donde tiene acceso (SAP ERP, SAP CRM, SAP BW etc), allí debe seleccionar el sistema a donde requiere del cambio y una vez confirme, el cambio le será enviado de vuelta a su correo.
Ahora desde el punto de vista técnico, el servicio opera con el registro en una tabla zeta que guarda la solicitud del cambio y que servirá como registro de auditoría, obviamente una vez haya sido validado como empleado activo en el módulo de HR, luego deberá ser dado de alta en otra tabla que guardará sus palabras claves de manera encriptada. Durante el proceso de asignación de contraseña, el programa utilizará una función que permite asignar la contraseña de manera randómica y automática que le será enviada a través del servicio del correo que tiene SAP y que deberá tener como requisito una cuenta de correo registrado en las propiedades del usuario de SAP (su01 -> sección email address). Una vez le llegue la clave la debe ingresar y si o si cambiarla, cumpliendo con las políticas de contraseña que se encuentran habilitadas en el sistema.


De esta manera de una manera automática el cambio puede realizarse y podrá el área de TI dedicar ese tiempo a otras actividades de gestión que en verdad requieran de más dedicación, que muchas se ve o se descuida por el volumen de incidentes que suelen llegar y que hacen parte del día a día.

Comentarios

Publicar un comentario

Entradas populares de este blog

Verificación de la caducidad de un rol como de la duplicidad del mismo

-
Imagen
Dentro del proceso de asignación de roles a un usuario, solemos cometer varios errores que a simple vista parece no tener ninguna repercusión pero que si lo miramos desde el punto de vista técnico y en detalle, generan una serie de eventos que suelen afectar varios elementos, entre los que se encuentran, comprometer recursos de memoria del sistema SAP, duplicidad en la asignación de roles, con fecha de caducidad diferentes, tareas de gestión que se vuelven bastante engorrosas y más cuando o se acerca la auditoria o se identifica el pecado, mediante el uso de las herramientas que los entes de auditoria suelen realizar. Lo cierto es que en últimas son sobrecostos en el que incurrimos a la hora de administrar un sistema SAP en el ámbito de los roles de seguridad y es por eso que daré algunos tips para que podamos resolverlo de una manera más ágil. Antes de mencionarlos, debo recordar algunos conceptos: ·      Entre más roles tenga asignado un usuario...
Leer más

Ventajas de activar el log de auditoria SM20 de una manera más eficiente

-
Imagen
Una de las formas de mantener un sistema bajo un control absoluto desde el punto de vista de acceso hacia el sistema junto con otras variables, es a través del log de auditoria, donde dependiendo de lo que requieras auditar o mejor de lo que el ente de auditoria te exija habilitar debes tener en cuenta y claro, ya que la forma como opera pues dependiendo de cómo lo actives y dependiendo del volumen de usuarios y el acceso simultaneo podrías llegar afectar el rendimiento del sistema. A lo largo de mi experiencia he visto que este log lo activan de manera inadecuada pues habilitan todos los eventos que en realidad lo que hacen es cargar el sistema de información innecesaria y lo peor es que casi nunca consultan. De lo que llevo con SAP, lo único valioso que he podido identificar es el acceso hacia las transacciones, aunque también podrían ser valiosos, los accesos de logon y de logoff. El punto no está en lo que brinda sino en la forma como opera, y en este ámbito nos enco...
Leer más

“Sequential read” tiene un contexto diferente a lectura secuencial en el ámbito de SAP SM50.

-
Imagen
  Muchas veces cuando monitoreamos el sistema SAP ERP y sobre todo los work process (que es en donde se procesan las peticiones que hace el usuario) a través de la transacción sm50 o en su defecto en la sm66, observamos que en la columna action, algunas veces se refleja el texto “sequential read”, tal y como se observa en la imagen siguiente: En múltiples ocasiones nos sorprendemos y caemos en lo que lo que en el ámbito de base de datos se denomina lectura secuencial, que para quienes hemos trabajados en base de datos o estudiamos en la universidad, nos enseñaron que es uno de los métodos más ineficaces e ineficientes para construir consultas. La verdad desde el punto de vista técnico, resulta ser un término muy engañoso, ya que por lo general suele ser comparado con este método ineficaz. Quiero aclarar que no obedece a lo mismo, aunque el mensaje así lo pareciese. Este método “sequential read” cuando aparece en la sm50, se refiere a todos los demás accesos a ...
Leer más