globales SAP-Portal

Cyrill Osterwalder ist Senior VP Web Application Security bei phion

Für die meisten Schweizerinnen und Schweizer ist die Migros fester Bestandteil ihres Lebens: Täglich kaufen rund 1,4 Millionen Kunden in den Filialen des Traditionsunternehmens ein. Rechnerisch betrachtet besuchen damit 71 Prozent der Schweizer Bevölkerung einmal pro Woche die Migros, die mit rund 84000 Mitarbeitern gleichzeitig der grösste Arbeitgeber der Schweiz ist. Im Jahr 2008 erwirtschafte der Konzern einen Gewinn von 701 Millionen Franken, der Marktanteil lag in diesem Jahr erstmals über 20 Prozent.

Durch den Eintritt internationaler Handelsketten aus Frankreich und Deutschland in den Schweizer Markt sieht sich aber auch die Migros mit einem verschärften Wettbewerb konfrontiert. Die erhöhte Dynamik und der damit einhergehende Preiskampf haben den Konzern bereits vor einigen Jahren veranlasst, eine prozessorientierte Strategie für die Warenbewirtschaftung zu verfolgen und die IT-Systeme zu vereinheitlichen. Um insbesondere die Angebotserstellung effizienter zu gestalten, sollten ab 2008 zudem
nationale wie internationale Lieferanten die Möglichkeit erhalten, ihre Angebote direkt in das Migros-SAP-System einzustellen.

Die Anforderungen waren klar: Gewünscht war ein einfacher Zugang der Lieferanten zum Supplier Replenishment von SAP. Peter Rieder, Leiter IT-Infrastruktur Dienste bei den Migros IT-Services, erklärt die sich daraus ergebende Problemstellung: «Aus IT-Perspektive ergaben sich daraus mehrere Herausforderungen. Eine sichere Authentifizierung der Nutzer, Zuweisung von Berechtigungen, Schutz der internen SAP-Server vor unberechtigten Zugriffen und Anwenderfreundlichkeit durch Integration der Backend-Systeme in ein zentrales Portal.»

Die SAP-Server für Lieferanten direkt über das Internet bereitzustellen, war demnach keine Option, zumal die Migros dann dafür hätte sorgen müssen, dass die Zulieferer die entsprechenden Kommunikationsports geöffnet haben. Das wäre angesichts der Vielzahl der weltweit verteilten Unternehmen ein immenser Aufwand und ein Sicherheitsrisiko gewesen, denn jeder Server hätte damit eine öffentliche IP-Adresse. Zudem sollten die Backend-Systeme unter einer einzigen prägnanten URL erreichbar sein, um die Handhabung zu erleichtern. Obwohl die Migros über eine eigene Certificate Authority (CA) und Public-Key Infrastructure (PKI) verfügt, wollte man den Unternehmen nicht die Verwendung bestimmter Client-Zertifikate vorschreiben - und darüber hinaus weitere Authentisierungsmethoden unterstützen. «Client Certificates, wie sie bei der Migros intern im Einsatz sind, gewährleisten ein hohes Mass an Sicherheit», führt Peter Rieder aus. «Wenn man Lieferanten auf der ganzen Welt hat, braucht man jedoch eine sichere und einfache Lösung.» Zertifikate sind zwar ohne Zweifel sicher, aber nicht unbedingt einfach. «Wir wollten vermeiden, einem chinesischen Lieferanten die Installation auf einem chinesischen PC erklären zu müssen», führt Rieder aus. Alternative Authentisierungsmethoden mit abgestuften Berechtigungen gehörten daher von Anfang an zu den Grundanforderungen.

In der Evaluationsphase stiess das IT-Team der Migros auf die Web Application Firewall air-
lock. Im Vergleich mit Konkurrenzprodukten überzeugte unter anderem die Unterstützung
verschiedener Authentisierungsmethoden für Single-Sign-on auf dem SAP-Portal.
Anwender melden sich heute mit einem Client-Zertifikat, passwortgesichertem Login und in Kürze auch mit einem One Time Password (OTP) an, das über einen Token erzeugt wird. Berechtigungen werden dementsprechend vergeben: In einem Meta-Directory sind alle internen und externen Anwender erfasst. Pro Applikation gibt es eine Anwendergruppe, wobei Lieferanten je nach Berechtigung Mitglied in einer oder mehrerer dieser Gruppen sein können. Über einen LDAP-Server und ein Meta-Directory überprüft airlock das Zertifikat und die Gruppenzugehörigkeit des Anwenders, um dann die Applikation freizugeben. Bei Verwendung eines OTP kontrolliert airlock zunächst Nutzername und Passwort im Meta-Directory und zusätzlich die Challenge (z.B. eine per Algorithmus erzeugte Nummer) auf dem Token-Server. Insgesamt unterstützt airlock damit aktuell drei Authentisierungsmassnahmen.

Die Berechtigungen werden je nach Art der Authentisierung eingestuft. Dabei kann man sich mit Benutzername und Passwort, zusätzlich mit Token (One Time Password) oder mit einem Client-Zertifikat anmelden. Die Migros hat eine eigene Public-Key-Infrastruktur. Es werden aber auch Client-Zertifikate von anderen CAs unterstützt. Eine Authentisierung mit Client-Zertifikat läuft also wie folgt ab:
1. Der Benutzer will auf das Portal zugreifen.
2. Er authentisiert sich per Client-Zertifikat.
3. Sein Zertifikat wird auf Gültigkeit geprüft.
4. Ist das Zertifikat gültig, wird der Inhalt (zum Beispiel die E-Mail-Adresse) mit dem LDAP abgeglichen.
5. Anhand der Authentisierungsart (hier das Client-Zertifikat) und der Gruppenzugehörigkeit des Benutzers im LDAP werden die Berechtigungen ermittelt.
6. Für die Authentisierung des Benutzers an den verschiedenen Backendsystemen (Sharepoint, SAP o.a.) werden ein Kerberos-Ticket und ein Authentisierungs-Header erzeugt.
7. Der Benutzer erhält Zugriff auf die gewünschte Applikation.

Zertifikate von Lieferanten - die nicht von Migros stammen müssen - werden auf dem Meta-Directory installiert, sodass die Migros jederzeit ihre Gültigkeit prüfen kann. Besteht keine Lieferantenbeziehung mehr, wird das Zertifikat im Meta-Directory gelöscht. «Dieses Verfahren erfordert einige Flexibilität, da unser Tree im Meta-Directory nicht genau den Angaben desjenigen auf dem Zertifikat entspricht, aber die Lösung hat sich im Betrieb bewährt», meint IT-Leiter Rieder.

Eine weitere erfolgreich umschiffte Klippe: Die Migros schreibt als Login die Verwendung der Mailadresse vor, aber SAP unterstützt für Logins weder das @-Zeichen noch mehr als acht Buchstaben. Deshalb nimmt airlock im Meta-Directory ein Mapping der Logins auf SAP-Anwendernamen vor, mit denen sich die Nutzer auf den SAP-Servern anmelden.

Nach der erfolgreichen Authentisierung gelangen Lieferanten auf das zentrale SAP-Portal, hinter dem sich die einzelnen Server verbergen. Gemäss ihrer Berechtigung erhalten Anwender dabei nur Zugriff auf die für sie freigegebenen Funktionen.

Von aussen betrachtet führen alle Links immer auf airlock, ein direkter Zugriff auf die SAP-Server wird so verhindert. Basis hierfür ist das Umschreiben aller internen URLs durch airlock - dies gelingt, obwohl SAP absolute URLs verwendet und somit nicht von sich aus Reverse-Proxy-fähig ist.

Das Suchen und Umschreiben der URLs sowie das Anpassen der Filter stellte nach Einschätzung von Peter Rieder die grösste Aufgabe bei der Implementierung dar.
Trotz der reibungslosen Umsetzung blieb aber eine Frage offen: Was würde passieren, wenn SAP ein grösseres Update herausbrächte? «Vor Kurzem haben wir genauso ein SAP-Update durchgeführt», berichtet Migros IT-Leiter Rieder. Das Ergebnis: «Lediglich zwei Regeln mussten auf airlock angepasst werden, ansonsten lief alles problemlos weiter.»

Ein zentrales SAP-Portal mit vorgelagerter Lieferantenauthentisierung sind wichtige Einsatzbereiche bei der Migros, aber bei Weitem nicht die einzigen. So werden zum Beispiel Rechnungen für Migros Industrieunternehmen eingescannt und elektronisch auf einem Server abgelegt. Über einen Workflow werden dann jeweils von verschiedenen Personen die nötigen Kontroll- und Genehmigungsvisa erteilt. Um sicherzustellen, dass es sich dabei um die richtigen Anwender handelt, wird airlock zur Überprüfung der Zertifikate eingesetzt.

Darüber hinaus soll das Portal um zusätzliche SAP-Applikationen aus dem Marketing-Bereich und um weitere Prozesse erweitert werden. Langfristig soll sich den Anwendern per Single-Sign-on eine ganze Welt von Funktionalitäten erschliessen: «Konkret geht es zunächst um die Integration von SAP und Microsoft Sharepoint auf einem übergeordneten Portal. Deshalb haben wir bereits in der Evaluierungsphase auf
eine mögliche Unterstützung von Kerberos geachtet -, was uns nur phion verbindlich zusagen konnte», sagt Peter Rieder.

Der Vorteil des Authentifizierungsdienstes Kerberos: Die Authentifizierung wird von einer vertrauenswürdigen dritten Partei übernommen. Dies ist besonders nützlich, wenn für eine Applikation der Benutzername, nicht aber das entsprechende Passwort bekannt ist (beispielsweise bei vorgelagerter Authentisierung mit Client-Zertifikat oder OTP).

Die Machbarkeit bewies phion bereits durch ein Proof of Concept: Anhand des Zertifikats identifiziert airlock den Benutzer und seine Berechtigungen und löst daraufhin ein Kerberos-Ticket vom Domain Controller. Mit diesem Ticket gelangt der Anwender auf Microsoft Sharepoint, gleichzeitig wird es in diesem konkreten Fall aber auch für die Anmeldung beim SAP-Portal verwendet. Das Handling der Session-Zugriffe erfolgt über Cookies. Gemeinsam konnte so ein ambitioniertes Projekt umgesetzt werden, dass der Migros unmittelbare Steigerungen der Prozesseffizienz ermöglicht und zudem eine flexible Basis für künftige Anforderungen bietet.