Es posible que esté iniciando sesión en SAP ingresando el nombre de usuario y la contraseña. Lo estuve haciendo durante los últimos 20 años. Sin embargo, algunos de los sistemas cliente tienen habilitado el inicio de sesión único, que iniciará sesión sin ingresar una contraseña y accederá a los sistemas SAP con un concepto llamado tokenización.
Durante más de dos décadas, he iniciado sesión en SAP utilizando el método convencional de ingresar un nombre de usuario y contraseña. Sin embargo, ciertos sistemas cliente tienen habilitada la función de inicio de sesión único (SSO) que elimina la necesidad de una contraseña.
El inicio de sesión único (SSO) simplifica la autenticación de usuarios al permitir que las personas accedan a las aplicaciones de SAP sin la necesidad de ingresar repetidamente sus credenciales.
El usuario inicia sesión en el sistema Windows utilizando credenciales de Active Directory (AD) y posteriormente inicia la aplicación SAP GUI o Web GUI. La aplicación SAP/Web GUI obtiene el nombre SNC e inicia la generación de una solicitud de certificado, transmitiendo tanto las credenciales del usuario como la solicitud de certificado al servidor de inicio de sesión seguro (SLS). El SLS lleva a cabo una verificación de validación de la legitimidad del usuario en varios sistemas como AD, LDAP, RSA y otros, que culmina con la generación de un certificado de usuario como parte de la respuesta del certificado.
Luego, el Cliente de inicio de sesión seguro proporciona a SAP o Web GUI el certificado de usuario X.509, lo que facilita el establecimiento de una conexión segura con el sistema SAP. Eche un vistazo a la imagen a continuación que detalla el proceso:
Fuente – blog de Tom Cenens
Puede obtener información más detallada sobre el producto SAP Single Sign On 3.0, los pasos para configurar SSO en SAP S/4 HANA y otros detalles se describen en el blog de Tom Cenens: Haga clic aquí para leer.
¡Eso suena fantástico! ¿Está satisfecho con esto o estaría dispuesto a llevarlo al siguiente nivel?
Explorar el concepto de autenticación sin contraseña añade una dimensión intrigante a nuestras discusiones sobre seguridad, ¿no crees? La autenticación sin contraseña no sólo es conveniente para los usuarios, sino que también brinda alta seguridad. Eche un vistazo a la imagen a continuación que destaca las distintas opciones:
Fuente – Aprendizaje de Microsoft
En esta publicación de blog, nos centraremos en las opciones disponibles para SAP. Si bien no entraré en detalles esenciales de implementación y configuración en esta discusión, brindaré una descripción general de las diversas opciones y compartiré recursos relevantes.
A continuación describí siete posibles opciones sin contraseña. Puede seleccionar el que mejor se alinee con su negocio y sus requisitos de TI, y continuar con su implementación.
1. Autenticación biométrica:
¿Has oído hablar de la autenticación biométrica FIDO2? FIDO2 es el estándar abierto Fast IDentity Online 2 para la autenticación de usuarios que tiene como objetivo fortalecer la forma en que las personas inician sesión en servicios en línea para aumentar la confianza general.
Al configurar la autenticación biométrica FIDO2, los usuarios pueden iniciar sesión en aplicaciones con su información biométrica, como huellas dactilares, escaneo facial o Windows Hello, sin la necesidad de proporcionar un nombre de usuario y contraseña.
Para obtener más detalles sobre cómo configurar FIDO2, visite el Documentación de ayuda de SAP.
Si está utilizando Fiori o SAP BTP, puede consultar otros blogs y enlaces relevantes:
2. Contraseñas de un solo uso (OTP):
Para implementar OTP, puede utilizar las soluciones de autenticación multifactor (MFA) de SAP o integrarlas con proveedores de MFA externos. SAP admite varios métodos MFA, incluidas las OTP. Configure los ajustes de MFA en SAP NetWeaver o SAP Fiori para habilitar las OTP.
Puede utilizar soluciones como SSO de SAP. Muchas de estas soluciones admiten inicios de sesión basados en Web GUI y Fiori, pero para SAP GUI, soluciones como UserSentry de ToggleNow se puede utilizar para habilitar rápidamente 2FA o MFA.
3. Fichas de seguridad:
La integración de tokens de seguridad implica configurar SAP para que reconozca y valide tokens como RSA. Es posible que deba configurar SAP Single Sign-On (SSO) con soporte para tokens de seguridad. Por lo general, existen cuatro tipos de tokens que se utilizan con prudencia:
Estos tokens se pueden integrar con SAP utilizando varios métodos/protocolos, como Restful API, tokens oAUTH y muchos más. Los tokens se pueden utilizar a nivel de inicio de sesión o a nivel de datos específicos.
4. Autenticación de dispositivo móvil:
Otra estrategia eficaz es la adopción de herramientas de autenticación de dispositivos móviles como SAP Authenticator, Google Authenticator, Microsoft Authenticator o Cisco Duo (también pueden ser otras). Estas implementaciones a menudo requieren la configuración de SAML y SSO, lo que agrega una capa adicional de seguridad al proceso de autenticación. La autenticación de dispositivos móviles se puede integrar perfectamente en el nivel primario o secundario. En un proyecto reciente, incorporé con éxito Cisco Duo para la autenticación secundaria basada en aplicaciones en dispositivos móviles. Esta integración cubrió varias interfaces, incluida Web GUI, Fiori Launchpad y varias aplicaciones en la nube, como Success Factors y Ariba.
5. Notificaciones automáticas:
Configure SAP para enviar notificaciones automáticas a los dispositivos móviles de los usuarios como parte del proceso de autenticación. Esto a menudo implica una integración perfecta con Latlongs para mejorar las capacidades de seguridad y administración. Cuando SAP detecta un intento de inicio de sesión desde una nueva ubicación geográfica, dispositivo o dirección IP, se activa una notificación del dispositivo móvil al número de móvil almacenado en la información personal SU01 del usuario. El usuario debe reconocer o autenticar la solicitud de inicio de sesión.
Este tipo de autenticación está ganando prevalencia en varias aplicaciones debido a sus características de seguridad mejoradas. Si bien este método se puede utilizar para la autenticación primaria, recomiendo implementarlo en el nivel secundario para obtener medidas de seguridad óptimas.
He implementado con éxito esta importante mejora para varios clientes, brindando una capa adicional de protección contra posibles robos de identidad o apropiaciones del sistema y observo un mayor beneficio. Utilicé las API de ubicación de Google Geo para determinar la latitud y longitud del usuario y agregué una capa adicional de precisión para los sistemas críticos del negocio.
6. Autenticación de código QR:
Aunque todavía existe una opción para habilitar la autenticación basada en códigos QR a través del servicio de autenticación de dos factores TOTP, no se adopta ampliamente. Generar múltiples códigos QR es una tarea tediosa (incluso con integración API) y se usa en áreas donde la generación es menor. Por ejemplo: en módulos de almacenamiento para identificación de contenedores y pilas, pero su uso es limitado en autenticación debido a varias limitaciones.
7. Enlaces mágicos:
Los enlaces mágicos suelen implicar el envío de enlaces de autenticación por correo electrónico. Puede configurarlos para generar y enviar enlaces mágicos a las direcciones de correo electrónico registradas de los usuarios. El enlace será válido por un breve período y otorgará acceso al hacer clic.
Beneficios:
Estos son algunos de los beneficios de utilizar la autenticación sin contraseña:
Además, verifique haveibeenpwned.com con su ID de correo electrónico y sabrá cuántas violaciones de datos tiene su ID de correo electrónico. Si está utilizando la misma contraseña para su ID de correo electrónico y SAP, entonces es hora de cambiar 😊
Recuerde, la única contraseña segura es la que no recuerda. De lo contrario, adopte los métodos «sin contraseña».
Configurar procesos de registro e inicio de sesión sin contraseña en aplicaciones como SAP Customer Data Cloud (CDC) es relativamente sencillo. Recomiendo encarecidamente consultar la serie de blogs de Suresh Musham que proporciona una guía interesante y detallada sobre la implementación de estas capacidades con SAP CTD. Puedes explorar la serie en este enlace.
Es importante señalar que muchas de las soluciones de SAP no están completamente disponibles para su integración, especialmente las aplicaciones basadas en NetWeaver en este momento. A medida que la tecnología evoluciona, es posible que estas características se adopten e integren más ampliamente en varias aplicaciones de SAP, proporcionando seguridad y experiencia de usuario mejoradas en todo el ecosistema de SAP. Manténgase informado sobre las actualizaciones y avances en las funciones de autenticación y seguridad de SAP para posibles implementaciones futuras en aplicaciones NetWeaver.
Al comprender e integrar estas opciones de autenticación sin contraseña, las organizaciones pueden fortalecer sus defensas cibernéticas, garantizar el cumplimiento de regulaciones cada vez más estrictas y mejorar la experiencia del usuario final.
La autenticación sin contraseña es una tecnología prometedora que tiene el potencial de hacer que la autenticación en línea sea más segura y conveniente. Si está buscando una manera de mejorar la seguridad de las cuentas en línea de su organización, la autenticación sin contraseña es una buena opción.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073