VPN für Fiori Apps – mit Tim Kostka
Autor: Tobias Harmes | 7. Dezember 2018
In dieser Folge spreche ich mit Tim Kostka von Mission-Mobile. Es geht um die Frage, wie VPN für Fiori Apps funktioniert und welche Vorteile mir die In-App VPN-Lösung bietet.
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Welche Vorteile hat der Einsatz von VPN für Fiori Apps?
Der Vorteil von VPN für Fiori Apps kann man zum Beispiel beim Thema „Ablösung von Papierprozesse im Bereich Instandhaltung (PM)“ zeigen. Das kann man sich so vorstellen, dass früher beispielsweise ein Monteur am Tagesanfang seine Aufträge in Papierform bekommen hat und ist diese dann abgefahren. Die Kollegen bauen für solche Einsatzgebiete Apps, die mehrere Vorteile haben:
- Ich kann direkt Arbeit direkt zurückmelden
- Fotos dokumentieren
- Kundenunterschriften dokumentieren
Aber die Herausforderung ist, wie komme ich nun von meinem Mobilgerät auf mein SAP System rein?
Normalerweise muss die SAP-Basis das SAP-Gateway hierfür aufmachen, damit über LTE darauf zugegriffen werden kann. Nur ein Gateway öffentlich nach außen zugänglich machen – das möchte kaum einer aus der SAP Basis machen. Dafür haben gibt es dann genau die Lösung: Ein In-App VPN.
Wann sollte ich die App über eine VPN-Lösung anbinden?
Dies ist der Fall, wenn es eine App gibt, die außerhalb des WLAN des Unternehmens betrieben werden soll und nicht vorgesehen ist, dass das Gateway von außen erreichbar ist. In dem Fall sollte über die VPN Lösung nachgedacht werden. Es handelt sich also um eine App, die zwar mobil eingesetzt werden soll, aber nicht öffentlich ist. Ich kann die App auf bestimmte Geräte einschränken. Dies sind die Funktionen, die mit einer Enterprise Mobility Lösung umsetzbar sind. Jetzt kann man sich die Frage stellen: „Ich kann doch auch auf meinem Smartphone VPN öffnen?“ – das ist möglich, nur dann ist eine Drittanwender Software nötig. Dies hat den Nachteil, dass immer mehrere Schritte durchgeführt werden müssen. Der User muss die App öffnen, die VPN Verbindung herstellen und Anmeldedaten (Login Credentials)hinterlegen.
SAP Basis Berater - gesamte Projekte oder Berater auf Zeit
Sie suchen Unterstützung durch SAP Basis Berater? Wir bieten mehr als nur einen gewöhnlichen Berater auf Zeit. Informieren Sie sich über Ihre Vorteile!
Mit dem In-App Lösung wird das alles komplett umgangen. Der Anwender merkt nur, mit einem kleinen Zeichen, dass eine VPN-Verbindung nun aktiv ist. Die Sicherheit übernimmt ein Zertifikatsdienst im Hintergrund. Vorteile sind hier die Zeitersparnis und Usability – der User muss nur die App starten.
Das Unternehmen bekommt mit dem In-App-VPN zusätzlich die Freiheit, den Internetzugang des Smartphones nicht direkt im Unternehmensnetzwerk terminieren zu müssen.
Die Voraussetzung: Enterprise Mobility Management
Um In-App-VPN von außen zu realisieren benötigt man ein Enterprise Mobility Management. Damit werden alle Anforderungen gelöst.
Das Enterprise Mobility Management umfasst die Bestandteile
-
sichere Verwaltung der mobilen Endgeräte auf Basis von Unternehmensrichtlinien
- Gerätesicherheit -> Sicherheitsrichtlinen festlegen
- Gruppierung
- Locationtracker für das Device
- Device Health Monotoring
- Device Provisioning à Gerät mit Zertifikat (Digitaler Ausweis) versehen
- Unternehmenspezifische Verwaltung aller erlaubten Apps
- Unternehmenseigener App-Store. Passende interne Apps werden automatisch verteilt (z.B. an Vertriebsmitarbeiter oder Außendienstler)
- Um die unternehmenseigenen Apps wird ein Container (Sandbox) gebaut (Datenaustausch mit nicht autorisierten Apps wird verhindert –> Daten bleiben innerhalb des Containers)
Mobile Content Management
- Zugriffsverwaltung von mobilen Endgeräten und Apps auf Unternehmensressourcen wie Clouddienste, Mailserver, Fileserver und Sharepoint
- Vorteil: Zugriffsdaten müssen nicht mehr eingegeben werden
Bring your own Device (BYOD)
- Mitarbeiter können Unternehmensapps von Privatgeräten aus öffnen und damit arbeiten
- Kleiner Container wird erstellt
Wie funktioniert Securing Data in Mobilen Endgeräten?
Das Problem ist, dass wenn ein VPN Zugang auf einem mobilen Device eingerichtet wird, alle Apps diesen VPN-Zugang nutzen (schädliche Apps eingeschlossen).
Lösung: Nur vom Administrator autorisierte Apps können den VPN-Zugang nutzen. Dies kann zum Beispiel auch die Fiori App für den Monteur sein. Dieser Ablauf geschieht komplett im Hintergrund und bietet so einen großen Usability Vorteil.
Um In-App VPN nutzen zu können ist eine Enterprise Mobility App notwendig (z.B. MobileIron oder Airwatch, etc.). Die Fiori App wird von einer Web-App zu einer hybriden App umgebaut. Hierbei wird ein Container drumherum gebaut, das ist eine SDK Schnittstelle, damit das Mobile Iron auf dem Smartphone auch darauf zugreifen kann. Das sorgt dann dafür, dass mit dem Zertifikat, welches auf dem Handy hinterlegt ist, ein VPN-Tunnel aufgebaut werden kann. Um eine fertige App legt der Entwickler oder der Enterprise Mobility Manager den Container drumherum, das ist dann die Schnittstelle. Die App wird anschließend in den Enterprise App Store hochgeladen. Der Anwender kann die App nun runterladen oder sie wird durch Rollen zugeordnet.
Die App „spricht“ mit einem Mobile Iron Server – dort wird das VPN terminiert und der Datenverkehr ausgepackt und zum richtigen Ort geschickt. Bei MobileIron nennt sich das Ganze beispielsweise „Sentry“. Das ist der Server, der für alles zuständig ist, Zertifikate überprüft und den Traffic wieder entschlüsselt. So dass der Nutzer wieder darauf zugreifen kann. Dies ist eine normale TLS Verbindung.
Wie lange dauert die komplette Umsetzung?
Wenn noch kein MobileIron oder eine andere Software Suite installiert ist, kann der ganze Prozess noch ein wenig länger dauern. Es muss erst eine Software Suite eingeführt werden und Server aufgesetzt werden. Am Besten eignet sich dafür vorher eine Evaluation durchzuführen, um herauszufinden welche Software am besten geeignet ist. MobileIron gibt es zum Beispiel in der On-Premise oder in der Cloud Version. Bei der Cloud Version besteht der Vorteil, dass keine Verwaltung nötig ist. Für die Sicherheitsupdates sorgt hier MobileIron. Die Cloud Version kann kostengünstig getestet werden und mitwachsen, wenn das Unternehmen auch wächst.
Kapitelmarken
00:20 Warum sollte ich VPN für Fiori Apps zu benutzen?
4:28 Wie funktioniert VPN Freigabe
6:22 Was ist Enterprise Mobility Management?
10:35 Securing Date in Mobile Devices
12:25 Die In-App VPN-Lösung
19:53 Der eine Tipp
Links & Downloads
Was ist MobileIron:
mission-mobile.de/knowhow/mobileiron/
Enterprise Mobility Management:
https://mission-mobile.de/knowhow/enterprise-mobility-management/
Auf dem Laufenden bleiben:
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback – ob per Mail oder hier unter dem Beitrag.