Migros-Projekt: globales SAP-Portal

Cyrill Osterwalder ist Senior VP Web Application Security bei phion

Für die meisten Schweizerinnen und Schweizer ist die Migros fester Bestandteil ihres Lebens: Täglich kaufen rund 1,4 Millionen Kunden in den Filialen des Traditionsunternehmens ein. Rechnerisch betrachtet besuchen damit 71 Prozent der Schweizer Bevölkerung einmal pro Woche die Migros, die mit rund 84000 Mitarbeitern gleichzeitig der grösste Arbeitgeber der Schweiz ist. Im Jahr 2008 erwirtschafte der Konzern einen Gewinn von 701 Millionen Franken, der Marktanteil lag in diesem Jahr erstmals über 20 Prozent.

Moderne IT gegen die Konkurrenz

Durch den Eintritt internationaler Handelsketten aus Frankreich und Deutschland in den Schweizer Markt sieht sich aber auch die Migros mit einem verschärften Wettbewerb konfrontiert. Die erhöhte Dynamik und der damit einhergehende Preiskampf haben den Konzern bereits vor einigen Jahren veranlasst, eine prozessorientierte Strategie für die Warenbewirtschaftung zu verfolgen und die IT-Systeme zu vereinheitlichen. Um insbesondere die Angebotserstellung effizienter zu gestalten, sollten ab 2008 zudem
nationale wie internationale Lieferanten die Möglichkeit erhalten, ihre Angebote direkt in das Migros-SAP-System einzustellen.

Die Anforderungen waren klar: Gewünscht war ein einfacher Zugang der Lieferanten zum Supplier Replenishment von SAP. Peter Rieder, Leiter IT-Infrastruktur Dienste bei den Migros IT-Services, erklärt die sich daraus ergebende Problemstellung: «Aus IT-Perspektive ergaben sich daraus mehrere Herausforderungen. Eine sichere Authentifizierung der Nutzer, Zuweisung von Berechtigungen, Schutz der internen SAP-Server vor unberechtigten Zugriffen und Anwenderfreundlichkeit durch Integration der Backend-Systeme in ein zentrales Portal.»

Sicherer Zugang für Lieferanten

Die SAP-Server für Lieferanten direkt über das Internet bereitzustellen, war demnach keine Option, zumal die Migros dann dafür hätte sorgen müssen, dass die Zulieferer die entsprechenden Kommunikationsports geöffnet haben. Das wäre angesichts der Vielzahl der weltweit verteilten Unternehmen ein immenser Aufwand und ein Sicherheitsrisiko gewesen, denn jeder Server hätte damit eine öffentliche IP-Adresse. Zudem sollten die Backend-Systeme unter einer einzigen prägnanten URL erreichbar sein, um die Handhabung zu erleichtern. Obwohl die Migros über eine eigene Certificate Authority (CA) und Public-Key Infrastructure (PKI) verfügt, wollte man den Unternehmen nicht die Verwendung bestimmter Client-Zertifikate vorschreiben - und darüber hinaus weitere Authentisierungsmethoden unterstützen. «Client Certificates, wie sie bei der Migros intern im Einsatz sind, gewährleisten ein hohes Mass an Sicherheit», führt Peter Rieder aus. «Wenn man Lieferanten auf der ganzen Welt hat, braucht man jedoch eine sichere und einfache Lösung.» Zertifikate sind zwar ohne Zweifel sicher, aber nicht unbedingt einfach. «Wir wollten vermeiden, einem chinesischen Lieferanten die Installation auf einem chinesischen PC erklären zu müssen», führt Rieder aus. Alternative Authentisierungsmethoden mit abgestuften Berechtigungen gehörten daher von Anfang an zu den Grundanforderungen.

Flexibel & sicher: Single-Sign-on

In der Evaluationsphase stiess das IT-Team der Migros auf die Web Application Firewall air-
lock. Im Vergleich mit Konkurrenzprodukten überzeugte unter anderem die Unterstützung
verschiedener Authentisierungsmethoden für Single-Sign-on auf dem SAP-Portal.
Anwender melden sich heute mit einem Client-Zertifikat, passwortgesichertem Login und in Kürze auch mit einem One Time Password (OTP) an, das über einen Token erzeugt wird. Berechtigungen werden dementsprechend vergeben: In einem Meta-Directory sind alle internen und externen Anwender erfasst. Pro Applikation gibt es eine Anwendergruppe, wobei Lieferanten je nach Berechtigung Mitglied in einer oder mehrerer dieser Gruppen sein können. Über einen LDAP-Server und ein Meta-Directory überprüft airlock das Zertifikat und die Gruppenzugehörigkeit des Anwenders, um dann die Applikation freizugeben. Bei Verwendung eines OTP kontrolliert airlock zunächst Nutzername und Passwort im Meta-Directory und zusätzlich die Challenge (z.B. eine per Algorithmus erzeugte Nummer) auf dem Token-Server. Insgesamt unterstützt airlock damit aktuell drei Authentisierungsmassnahmen.

Die Berechtigungen werden je nach Art der Authentisierung eingestuft. Dabei kann man sich mit Benutzername und Passwort, zusätzlich mit Token (One Time Password) oder mit einem Client-Zertifikat anmelden. Die Migros hat eine eigene Public-Key-Infrastruktur. Es werden aber auch Client-Zertifikate von anderen CAs unterstützt. Eine Authentisierung mit Client-Zertifikat läuft also wie folgt ab:
1. Der Benutzer will auf das Portal zugreifen.
2. Er authentisiert sich per Client-Zertifikat.
3. Sein Zertifikat wird auf Gültigkeit geprüft.
4. Ist das Zertifikat gültig, wird der Inhalt (zum Beispiel die E-Mail-Adresse) mit dem LDAP abgeglichen.
5. Anhand der Authentisierungsart (hier das Client-Zertifikat) und der Gruppenzugehörigkeit des Benutzers im LDAP werden die Berechtigungen ermittelt.
6. Für die Authentisierung des Benutzers an den verschiedenen Backendsystemen (Sharepoint, SAP o.a.) werden ein Kerberos-Ticket und ein Authentisierungs-Header erzeugt.
7. Der Benutzer erhält Zugriff auf die gewünschte Applikation.

Zertifikate von Lieferanten - die nicht von Migros stammen müssen - werden auf dem Meta-Directory installiert, sodass die Migros jederzeit ihre Gültigkeit prüfen kann. Besteht keine Lieferantenbeziehung mehr, wird das Zertifikat im Meta-Directory gelöscht. «Dieses Verfahren erfordert einige Flexibilität, da unser Tree im Meta-Directory nicht genau den Angaben desjenigen auf dem Zertifikat entspricht, aber die Lösung hat sich im Betrieb bewährt», meint IT-Leiter Rieder.

Eine weitere erfolgreich umschiffte Klippe: Die Migros schreibt als Login die Verwendung der Mailadresse vor, aber SAP unterstützt für Logins weder das @-Zeichen noch mehr als acht Buchstaben. Deshalb nimmt airlock im Meta-Directory ein Mapping der Logins auf SAP-Anwendernamen vor, mit denen sich die Nutzer auf den SAP-Servern anmelden.