SAP Patchday, keine Cloud-Trail mit NEO mehr, SuccessFactors mit AzureAD | RZ10 Live vom 12.08.2020

Livestream auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Oder als Podcast:

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

Themen der Woche

SAP Security Patchday im August

Wie jeden zweiten Dienstag im Monat, fand auch in diesem Monat der SAP Security Patch Day für den August statt. An diesem werden Patches mit einer besonderen Relevanz für die Sicherheit vorgestellt. SAP teilt Die News werden dabei nach low, medium, high und hot geordnet, je nachdem wie wichtig sie sind. In diesen Monat gab 16 neue Patches, 2 davon waren „Hot News“.

Die erste “Hot News” ist eine 10/10 auf der von SAP ausgegebene Skala CVSS. Dabei geht es um die Sicherheitslücke RECON, die mehrere Schwachstellen im SAP NetWeaver AS JAVA beschreibt. Für diese Lücke gibt es nun ein Update. Weiterhin können alle ungepatchten JAVA Systeme ohne Passwortabfrage hochgenommen werden. Daher ist die dringende Empfehlung: Patchen und interimsmäßig die Applikation gemäß den Hinweisen deaktivieren!

Eine weitere Hotnews mit einer 9/10 auf der Skala ist die XSS-Schwachstelle im SAP NetWeaver Knowledge Management. Dabei handelt es sich um eine Cross-site Scripting Schwachstelle. Im Klartext heißt das, dass Skripte so hochgeladen werden können, dass diese im Kontext eines Users, wie z.B. eines Admins, ausgeführt werden. Damit wäre dann im schlimmsten Fall sogar eine Übernahme möglich. Diese Schwachstelle tritt bei allen gängigen NetWeaver Releases von 7.3 – 7.5 auf. Bei der Verwendung des SAP NetWeaver Knowledge Managements sollte dringend gepatcht werden.

Keine Cloud-Trail mit NEO mehr

Dadurch dass die SAP ihre Multi-Cloud-Strategie weiterhin nach vorne treiben möchte, ergibt sich eine weitere Neuerung. Die SAP-Cloud Platform-Testversion wird nun auch auf Multi-Cloud umgestellt und ausschließlich in der Cloud Foundry-Umgebung angeboten. Ab morgen, also dem 13. August 2020 werden neue Testkonten nur auf Multi-Cloud-Basis erstellt. Dadurch soll der Zugriff auf die neuesten Innovationen und Services sichergestellt werden. Bis zum 13. November 2020 bleiben bestehende Testkonten auf der SAP-Cloud Platform, NEO-Umgebung, aktiv.

Die Nutzer der SAP-Cloud Platform, NEO-Umgebung, müssen sich aber keine Sorgen machen, dass nun auch die Wartung eingestellt wird. SAP hat noch kein Datum für das Ende der Wartung festgelegt und auch die Verträge werden verlängert. Es kann also weiterhin genutzt werden, aber es nicht mehr ganz up-to-date. SAP hat angekündigt, in den kommenden Jahren weitere Services einführen, um unser Angebot weiter zu verbessern. Allerdings werden diese Dienste dann nur in unserer Multi-Cloud-Umgebung bereitgestellt.

SuccessFactors mit AzureAD

Viele Unternehmen setzen derzeit AzureAD für das Usermanagement der Cloud Produkte ein, da einige Kunden eine enge Kopplung zu ihren Verzeichnisstrukturen innerhalb des Unternehmens und kein SAP-Identity im Einsatz haben wollen. Die SAP wollte in der vergangenen Zeit, dass am besten ihre eigenen Identity Services genutzt werden sollten. Nun wurde jedoch angekündigt, dass AzureAD native auch SuccessFactors unterstützt – mit SAP-Support natürlich.

Die Kopplung erfolgt dabei über ein Native – die Enterprise Apps. Diese sind zugleich die Connectoren zu anderen Cloud Applikationen in AzureAD. Von AzureAD können Unternehmen also eine Enterprise App hinzufügen, die die Anbindung zu den SuccessFactors regelt. Dadurch wird das User Provisionierung inkl. dem Zurückschreiben von Telefonnummern, Username und Logins ermöglicht.

Mit dem erweiterten Attribut Support können Unternehmen jetzt alle SAP SuccessFactors Employee Central-Attribute, die Personen-, Beschäftigungs- und Foundation- Objekten zugeordnet sind, in Ihre Bereitstellungsregeln und Attributzuordnungen aufnehmen. Zudem ist es mithilfe flexibler Zuordnungsregeln möglich, verschiedene HR-Szenarien wie Worker Conversion, Rehire sowie gleichzeitige und globale Zuweisung zu verarbeiten.

Eure Fragen

Wie könnte man ein Key User Konzept erstellen und wie geht man vor?

Allgemein kann ich diese Frage nicht beantworten. Aber wenn SAP in einem Unternehmen eingeführt werden soll, ist die intensive Zusammenarbeit zwischen IT-Fachleuten und Vertretern der Fachabteilungen entscheidend. Die Fachabteilungen sollten in den Kreisen des Projektteams aber auch als KeyUser vertreten sein. Der KeyUser ist dabei ein auf eine Software spezialisierter Anwender. Bei der SAP ist dies meist ein einzelnes Modul, wie etwa die Buchhaltung.

Wer sollte nun dieser KeyUser sein? Grundsätzlich gilt, dass der KeyUser aufgeschlossen sein sollte für Neuerungen. Er ist der Stellvertreter und Botschafter für den Prozess und für den Fachbereich, aber auch für die Veränderung. Bei Berechtigungsprojekten kann dieser dann als Schnittstelle zwischen dem Berater und dem Fachbereich dienen und so ein Projekt voranbringen. Wenn es keine KeyUSer gibt, haben die Mitarbeiter oft Angst vor der Verantwortung und der “Schuld”, wenn es nicht funktioniert. Es kann auch hilfreich sein, einen Experten des Faches für diesen Prozess zuständig zu machen, wenn kein klares KeyUser-Konzept festgelegt werden soll. Wichtig: Zuständig ist nicht gleich verantwortlich!

Frage von Mario: Wie steht ihr zu dem Thema, dass Google Chrome TLS 1.2. verlangt? Wir haben viele Portale und SAP-Produkte im internen Einsatz nicht zwingend verschlüsselt und auch nicht TLS 1.0 und 1.1. unterbunden. Was kann man da machen?

Die “eigentlich richtige” Antwort ist: die TLS Versionen hochziehen. Fairerweise möchten einige Unternehmen dafür aber nicht mehr viel investieren, da Risiko und Nutzen nicht im Verhältnis zum Aufwand stehen. Für diese Unternehmen ist die Empfehlung den SAP Web Dispatcher einzusetzen. Dieser fungiert dann als Reverse-Proxy, “hängt” zwischen dem Client und Server und nimmt die TLS-terminierung vor. Dabei kann dann höchstens der Weg zwischen Webdispatcher und Server im Serversegment angegriffen werden.

Der Vorteil ist, dass man sich dann viele Updates sparen kann und Chrome trotzdem nicht meckert. Zwar ist es dann auch möglich, intern ohne Verschlüsselung zu arbeiten, das sollte man aber lieber unterlassen, da alles verschlüsselt sein sollte.

Letzte Chance aufs Webinar

Heute ist die letzte Chance, sich bei unserem Webinar “Live-Webinar: SAP ERP und S/4HANA Systeme besser berechtigen und schützen” anzumelden.

Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.

Alle Videos und alle Streams auch auf unserem YouTube-Kanal.