私は大企業で働いており、内部セキュリティ標準のベスト プラクティスに関心があります。SAP には多額 (5 億ドル以上) の投資があり、社内環境には .Net と Java EE が少しあります。
MS と SAP のドキュメントをいくつか見つけましたが、それは時代遅れであまり具体的ではありません。
これまでのところ、すべての非 SAP アプリケーションの標準ユーザー ストアとして Active Directory を使用し、SAP アプリケーションの場合は SAP CUA / ポータルを使用することになる可能性があるようです。
ADについて私が持っているいくつかの懸念は次のとおりです。
共有コンピューター上のアプリケーションを積極的にタイムアウトできるようにする (少数のアプリケーションは、限られた数の共有マシンを持つ地方のリモート オフィスで実行されます。これらの場合、「パワー ユーザー」特権を持つスーパーバイザーがアプリケーションを使用できます。 、その後、基本的な特権のみを持つはずの店員がすぐに同じマシンを使用できました)
ユーザーのワークステーションから資格情報を読み取るだけでなく、ユーザーにユーザー名とパスワードの入力を強制できる - デスクトップと電子メールで同じ資格情報を取得しているため、現在はユーザーにログインを求めません。共有コンピュータ上のアプリケーションについても同様です。(前の箇条書きの説明を参照)
AD と CUA の同期に関しては、非常に慎重に取り組みたいと考えています。予算は限られていますが、店舗を同期させるために何かを配置することになった場合、それが売れ行きが良く、優れた価値を提供することを確認したいと考えています. このようなものが見つからない場合は、店舗を独立したままにすることをお勧めします. SSO は理想的ですが、私は SAML よりも前に SSO アプリケーションを立ち上げようとしましたが、うまくいきませんでした。
頭字語:
SSO: シングル サインオン SAML: セキュリティ
アサーション マークアップ言語
CUA: 集中ユーザー管理 (SAP 用)