20090708zg Phion Migros Single-Sign-on

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

manage-it-Blog

NEU: manage it als
E-Paper  7-8 2010

 

 

 

 

Mit einer Mitgliedschaft beim Golfclub "Green Valley Golf International" auf den Bahamas können Sie in Deutschland, Schweiz, Österreich, Italien, Spanien oder Frankreich golfen.

 

Mitgliedsbeitrag für 12 Monate ab Ausstellungsdatum inklusive aller Kosten: 150 Euro

 

Weitere Informationen bei www.golfmitgliedschaft.eu

 

Web Application Firewall Airlock von Phion im Einsatz bei der Migros

Zentrales SAP-Portal für Lieferanten mit Single-Sign-on

Die Migros, Marktführer bei Super- und Fachmärkten in der Schweiz, erlaubt ihren Lieferanten die Angebote über Single-Sign-on direkt in SAP einzustellen und an Auktionen teilzunehmen. Über eine vorgelagerte Authentisierung melden sich die Anwender mit einem Client-Certifcate, Login/Passwort oder demnächst mit einem One Time Passwort (OTP) bei Airlock an.

 

F

ür viele Schweizerinnen und Schweizer ist die Migros fester Bestandteil ihres Lebens: Täglich kaufen rund 1,4 Millionen Kunden in den Super- und Fachmärkten des 1925 gegründeten Traditionsunternehmens ein. Rechnerisch betrachtet besuchen damit 71 Prozent der Schweizer Bevölkerung einmal pro Woche die Migros, die mit rund 84.000 Mitarbeitern gleichzeitig der größte Arbeitgeber des Alpenlandes ist. Im Jahr 2008 erwirtschafte der Konzern einen Gewinn von 701 Millionen Franken, der Marktanteil lag in diesem Jahr erstmals über 20 Prozent.

Durch den Eintritt internationaler Handelsketten aus Frankreich und Deutschland in den Schweizer Markt sieht sich aber auch die Migros mit einem verschärften Wettbewerb konfrontiert. Die erhöhte Dynamik und der damit einhergehende Preiskampf haben den Konzern bereits vor einigen Jahren veranlasst, eine prozessorientierte Strategie für die einheitliche Warenbewirtschaftung zu verfolgen und die IT-Systeme mit SAP for Retail zu vereinheitlichen. Um insbesondere die Prozesse für die Angebotserstellung effizienter zu gestalten, sollten 2008 zudem die nationalen und internationalen Lieferanten die Möglichkeit erhalten, ihre Angebote direkt in SAP einzustellen und an Auktionen teilzunehmen.

Aufgabe: Zentrales SAP-Portal mit flexibler, vorgelagerter Authentisierung

»Die durch den Business Case gestellten Anforderungen waren klar: Einfacher Zugang unserer Lieferanten zum Supplier Replenishment von SAP«, sagt Peter Rieder, Leiter IT-Infrastruktur Dienste bei den Migros IT-Services. »Aus IT-Perspektive ergaben sich daraus folgenden Herausforderungen: Sichere Authentifizierung der Nutzer und Zuweisung von Berechtigungen, Schutz der internen SAP-Server vor unberechtigten Zugriffen und Anwenderfreundlichkeit durch Integration der diversen Backend-Systeme in einem zentralen Portal.«

Die SAP-Server für Lieferanten direkt über das Internet bereitzustellen, war demnach keine Option, zumal die Migros dann dafür hätte sorgen müssen, dass die Zulieferer die entsprechenden Kommunikationsports geöffnet haben – angesichts der Vielzahl der weltweit verteilten Unternehmen ein immenser Aufwand und ein Sicherheitsrisiko, denn jeder Server hätte somit eine öffentliche IP-Adresse. Zudem sollten die Backend-Systeme unter einer einzigen prägnanten URL erreichbar sein, um die Handhabung zu erleichtern. Obwohl die Migros über eine eigene Certificate Authority und Public Key Infrastructure (PKI) verfügt, wollte man den Unternehmen zudem nicht die Verwendung bestimmter Client-Certificates vorschreiben und darüber hinaus weitere Authentisierungsmethoden unterstützen. »Client-Certificates, wie sie bei der Migros intern im Einsatz sind, gewährleisten ein hohes Maß an Sicherheit«, sagt Peter Rieder. »Wenn man Lieferanten auf der ganzen Welt hat, braucht man eine sichere aber auch einfache Lösung. Certificates sind ohne Zweifel sicher, aber nicht unbedingt einfach. Wir wollten vermeiden, einem chinesischen Lieferanten die Installation auf einem chinesischen PC erklären zu müssen, deshalb gehörten alternative Authentisierungsmethoden mit abgestuften Berechtigungen zu den Grundanforderungen.«

Single-Sign-on für Lieferanten mit Airlock

Da das IT-Team der Migros sich fortlaufend über neue Technologien informiert, stieß man in der Evaluationsphase schnell auf die Web Application Firewall Airlock, wie Peter Rieder bestätigt: »In anderen Bereichen hat die Migros Alternativprodukte im Einsatz, daher kannten wir deren Limitierungen und wussten, dass sie nicht die benötigte Flexibilität bieten können. Außerdem war uns Airlock schon vor einiger Zeit im Rahmen unserer fortlaufenden Marktbeobachtung aufgefallen – wir hatten damals nur noch kein Einsatzszenario, was sich im Zuge des SAP-Portal-Projekts aber drastisch änderte.«

Im Vergleich mit dem Wettbewerb überzeugte unter anderem die flexible Unterstützung verschiedener Authentisierungsmethoden für Single-Sign-on auf dem SAP-Portal. Im Rahmen der vorgelagerten Authentisierung melden sich Anwender heute mit einem Client-Certifcate, Login/Passwort und in Kürze auch mit One Time Passwort (OTP) bei Airlock an. Berechtigungen werden dementsprechend vergeben: In einem Meta-Directory sind alle internen und externen Anwender erfasst. Pro Applikation gibt es eine Gruppe, wobei Lieferanten je nach Berechtigung in einer oder mehrerer dieser Gruppen sein können. Über LDAP-Server und Meta-Directory überprüft Airlock das Certificate und die Gruppenzugehörigkeit des Anwenders, um dann die Applikation freizugeben. Bei Verwendung eines OTP kontrolliert Airlock zunächst Login/Passwort im Meta-Directory und zusätzlich die Challenge auf dem Token Server. Insgesamt unterstützt Airlock damit aktuell drei Authentisierungsmaßnahmen, die voraussichtlich noch durch einen anonymen Zugriff mit stark reduzierter Berechtigung ergänzt werden.

Certificates von Lieferanten, die wie erwähnt nicht von Migros stammen müssen, werden auf dem Meta-Directory installiert, sodass die Migros jederzeit die Gültigkeit prüfen kann. Besteht keine Lieferantenbeziehung mehr, wird das Zertifikat im Meta-Directory gelöscht. »Dieses Verfahren erfordert einige Flexibilität von Airlock, da unser Tree im Meta-Directory nicht genau den Angaben desjenigen auf dem Certificate entspricht, aber die Lösung hat sich im Betrieb bewährt und funktioniert bestens.« Eine weitere erfolgreich umschiffte Klippe: Die Migros schreibt als Login die Verwendung der Mail-Adresse vor, aber SAP unterstützt für Logins weder das @-Zeichen noch mehr als acht Buchstaben. Deshalb nimmt Airlock im Meta-Directory ein Mapping der Logins auf SAP-Anwendernamen vor, mit denen die Anwender bei den SAP-Servern angemeldet werden.

SAP-Portal mit abgestuften Berechtigungen

Nach der erfolgreichen Authentisierung gelangen Lieferanten auf das zentrale SAP-Portal, hinter dem sich die einzelnen Server verbergen. Gemäß ihrer Berechtigung erhalten Anwender dabei nur Zugriff auf die für sie freigegebenen Funktionen. Von außen betrachtet führen alle Links immer auf Airlock, ein direkter Zugriff auf die SAP-Server wird so verhindert. Basis hierfür ist das Umschreiben aller internen URLs durch Airlock – dies gelingt, obwohl SAP absolute URLs verwendet und somit nicht von sich aus Reverse-Proxy-fähig ist.

Das Suchen und Umschreiben der URLs sowie die Anpassung der Filter stellt nach Einschätzung von Peter Rieder die größte Aufgabe bei der Implementierung dar: »Natürlich ist das eine komplexe Aufgabe, die wir aber gemeinsam mit dem Phion-Support gut bewältigt haben. In diesem Zusammenhang muss man sagen, dass es von Vorteil ist, wenn ein Hersteller technisch ausgesprochen versiertes Personal zum Kunden schickt, wie wir es bei Phion erlebt haben.«

Trotz der reibungslosen Umsetzung blieb aber eine Frage offen: Was passiert, wenn SAP ein größeres Update herausbringt? »Ich kann hier aus Erfahrung sprechen, denn vor kurzem haben wir bei der Migros genau so ein SAP-Update durchgeführt. Das Ergebnis: Lediglich zwei Regeln mussten auf Airlock angepasst werden, ansonsten lief alles problemlos weiter«, sagt Peter Rieder

Airlock bei Migros: Mehr als SAP

Zentrales SAP-Portal und vorgelagerte Authentisierung von Lieferanten sind wichtige Einsatzbereiche von Airlock bei der Migros, aber bei weitem nicht die einzigen: So werden zum Beispiel Rechnungen für Migros Industrieunternehmen eingescannt und elektronisch auf einem Server abgelegt. Über einen Workflow werden dann jeweils von verschiedenen Personen die nötigen Kontroll- und Genehmigungsvisa erteilt. Um sicherzustellen, dass es sich dabei um die richtigen Anwender handelt, wird Airlock zur Überprüfung der Certificates eingesetzt.

Darüber hinaus soll das Portal um zusätzliche SAP-Applikationen aus dem Marketing-Bereich und weitere Prozesse erweitert werden. Langfristig sollen sich Anwender per Single-Sign-on eine ganze »Welt« von Funktionalitäten erschließen können: »Konkret geht es zunächst um die Integration von SAP und Microsoft Sharepoint auf einem übergeordneten Portal. Deshalb haben wir bereits in der Evaluierungsphase auf eine mögliche Unterstützung von Kerberos geachtet – was uns Phion als einziger Hersteller verbindlich zusagen konnte«, sagt Peter Rieder.

Die Machbarkeit bewies Phion bereits durch ein Proof-of-concept, das laut Migros innerhalb eines Tages umgesetzt wurde. Anhand des Certificate identifiziert Airlock den Benutzer und seine Berechtigungen und löst daraufhin ein Kerberos-Ticket vom Domain Controller. Mit diesem Ticket gelangt der Anwender auf Microsoft Sharepoint, gleichzeitig wird es in diesem konkreten Fall aber auch für die Anmeldung beim SAP-Portal verwendet. Das Handling der Session-Zugriffe erfolgt über Cookies. Dazu Peter Rieder: »Auf diesem Weg können wir mittels Single-Sign-on und Certificates zwei Anwendungswelten zusammenbringen. Phion konnte hier in kurzer Zeit überzeugen, obwohl andere Experten bereits vor der Aufgabenstellung kapitulieren mussten.«

Beste Zusammenarbeit

Im Verlauf komplexer Projekte treten unweigerlich Herausforderungen auf, die nicht nach »Schema F« gelöst werden können – dann schlägt die Stunde des Supports. Die Zusammenarbeit mit einem europäischen Hersteller bringt hier nach Meinung von Peter Rieder eindeutige Vorteile: »Rückblickend muss man sagen: Ein Hersteller in der Nähe ist Gold wert. Nicht nur die geografische Nähe wirkt sich positiv aus, sondern auch derselbe kulturelle Hintergrund, wie zum Beispiel die Ansprüche an Qualität. Auch das Engagement für die Umsetzung von Kundenwünschen ist meiner Erfahrung nach höher, Phion ist hier der beste Beweis.«

Gemeinsam konnte so ein ambitioniertes Projekt umgesetzt werden, dass der Migros unmittelbare Steigerungen der Prozesseffizienz ermöglicht und zudem eine flexible Basis für zukünftige Anforderungen bietet. Peter Rieder resümiert: »Unsere Anforderungen werden von Airlock voll erfüllt, gerade auch hinsichtlich des Supports. Kollegen in anderen Unternehmen mit ähnlichen Aufgabenstellungen kann ich daher nur die Zusammenarbeit mit Phion empfehlen.«

 

 

 

 
Copyright © 2003-2010  ap Verlag GmbH