في نهاية العام ، الجميع يأخذ ببطء الأسهم.

بالنسبة لي ، تم تذكر هذا العام من خلال مشروع تطبيق الدخول الموحد (SSO) بين SAP و Windows. في هذه المقالة سوف أخبر عن تجربة التنفيذ وإدارة المشروع ، والمخاطر ، والنتائج والاستنتاجات.

الشركة هي شركة نقل كبيرة في بلجيكا ، تجمع بين المترو والترام والحافلة. يوجد أكثر من 10 آلاف موظف ، من بينهم ما يقرب من ألفي موظف ، يستخدمون العديد من الأدوات: موقع الشركة ، البريد ، خدمة التطبيق ، شير ، أرشيف ، و SAP بالطبع.

SAP موجود في كل مكان: من مسك الدفاتر والموارد البشرية إلى تسجيل حركة وحدات النقل ، وتوثيق الحوادث ، والتحليلات ، والمشتريات ، والتخزين ، إلخ.

المشكلة:

• SAP for user user هو تطبيق منفصل تحتاج إلى إدخال كلمة مرورك
• تحتاج أولاً إلى طلب كلمة مرور ، ثم تذكرها. الدعم الفني مضطر لتلقي المكالمات لإنشاء وتغيير كلمات المرور.
• من وجهة نظر المستخدم ، تعد كلمة المرور الإضافية من المتاعب الإضافية. يقوم الأشخاص بتخزين كلمات المرور على الورق أو جعلها بسيطة للغاية. يصرخ الأمن حول الانتهاكات الجسيمة.
• لا يتطابق الحد الأدنى لمتطلبات كلمة المرور لجهاز الكمبيوتر مع إعدادات كلمة المرور في SAP. إذا أحضرتهم إلى قاسم مشترك ، فمن الأفضل تطبيق SSO على الفور.

الهدف: تطبيق SSO بين Windows و SAP ، بحيث يمكن للمستخدم عند تسجيل الدخول إلى حساب الكمبيوتر الشخصي الخاص بك تسجيل الدخول إلى SAP دون إدخال كلمة مرور.

إذا لم تتعامل مع SAP ، فستكون مهتمًا بهذه المقالة من وجهة نظر إدارة المشروع ، حيث سيتم إعطاء مختصرات تلك التفاصيل (بين قوسين).

تحت القطع:

1. النطاق
   1.1 نطاق الناس
   1.2 نظم النطاق
2. مكونات
   2.1 تغيير معلمات النظام
   2.2 دليل Windows النشط (AD)
   2.3 عميل SAP لتسجيل الدخول الآمن (SLC)
   2.4 ربط مستخدم SAP بإعلانه
   2.5 تعديل ملف logon.ini SAP
3. اختبار
4. SNC هو ثقب الأمن
5. فريق العمل
6. المعلومات التجارية
7. صعوبات الترجمة
8. الملخص والاستنتاجات

مقدمة

إذا نظرنا إلى الأمام ، إذا لم تكن متلهفًا لملء الأقماع القياسية ، فإليك قائمة بالأسئلة التي يجب عليك توضيحها لنفسك في بداية المشروع:

• نطاق المشروع (الأنظمة ، المستخدمون - حسب الترتيب الذي ننفذه ، وأولوية الأولوية وما الذي يمكن التخلي عنه إذا حدث خطأ ما ، والذي يجب على المستخدمين الوصول إليه ، وما إلى ذلك)
• الإدارات الرئيسية المتأثرة بالمشروع (حتى لو كان المشروع ملموسًا ، فلا يزال من المهم إعلام الجميع مقدمًا)
• صلاحياتك (ليس من السهل جدًا الفرار هنا - في شركة أوروبية ، كل شيء مبني على موافقة ورغبة طوعية في المساعدة. إذا قالت الإدارة إنهم لا يملكون موارد ، فمن المستحيل تقريبًا الضغط و "القوة". لكن يمكنك الاتصال بمستشار خارجي للحصول على المساعدة ، على سبيل المثال)
• التوقيت (للمشروع بأكمله ككل ولأجزاء محددة)
• إجراءات الموافقة (اللوائح البيروقراطية - في شركة كبيرة ليس هذا هو السؤال الأخير)
• الصعوبات المحتملة (الكل. ممكن. الصعوبات.)

لقد قمنا بتغيير عضوية المشروع عدة مرات: في البداية كان فقط قسم التراخيص في SAP وقسم المسؤولين (المكونات الأساسية). ثم انضم إليهم القسم الذي يتعامل مع التفويض في Windows (Active Directory ، AD) وقسم تنفيذ التحديثات (التغليف) ، ثم قسم قواعد البيانات وقسم تطبيقات الهاتف المحمول ، إلخ.

تمت دعوة مستشار خارجي للجانب التقني من الأمر ، وأصبح مدير المشروع (PM) لي ، كشخص مشارك في التفويض في SAP (وبالتالي ، سيكون هناك المزيد من التفاصيل حول التفويض في SAP في هذه المقالة أكثر من غيرها).

توضيح مهم: يتم تخصيص كل الوصول الذي نقدمه في SAP. نحن لا نستخدم الأدوار القياسية التي يقدمها النظام ، ولكننا نقوم بإنشاء أدوار جديدة ، حسب الإدارة ، حسب الموقف ، حسب الوظيفة. حتى الآن ، ليس لدينا التزامن بين مستخدمي SAP و Windows AD. على سبيل المثال ، إذا كان لدى المستخدم حقوق المسؤول في الشبكة المحلية ، فإن هذا لا يعني أنه مسؤول أيضًا في SAP.

1. النطاق

1.1 نطاق الناس

يستخدم الأشخاص في شركتنا SAP من خلال تطبيق موجود على جهاز كمبيوتر شخصي (عميل رفيع - SAP Logon GUI) ، ولكن ليس فقط. كيف نحسب المستخدمين الذين يقعون تحت التوزيع؟

لقد اتخذنا كأساس لجميع الذين يتصلون يوميًا عبر SAP Logon (حوار نوع مستخدم SAP) من أجهزة الكمبيوتر المحمولة. في هذه الفئة ، فإن backoffice بالكامل - طاقم الإدارة ، بوخس ، إيتشارس ، المطورين ، المختبرين ، الخدمات اللوجستية ، إلخ.

مستبعد:

• أولئك الذين لديهم جهاز كمبيوتر سطح المكتب ، وليس جهاز كمبيوتر محمول
• 8 آلاف مستخدم لا يفتحون تسجيل دخول SAP مطلقًا ، لكنهم يستخدمون SAP من خلال موقع الويب والتطبيقات (نوع مستخدم SAP التواصل)
• جميع المستخدمين الخارجيين (وليس الموظفين ، ولكن يجب تسجيل الدخول إلى النظام عبر VPN)

1.2 نظم النطاق

في شركتنا ، تستخدم SAP ستة مناظر طبيعية نشطة ( ECC ، BI ، SRM ، Netweaver ، PI ، مدير الحلول ) ، دون حساب صناديق الرمال. كل واحد منهم لديه DEV ، ACC ، PRD - أي في الواقع ، هو 6 * 3 = 18 أنظمة.

بتصويت حرف العلة ، تقرر اتخاذ المناظر الطبيعية الأربعة الأولى فقط. يتم استخدام PI و SM بواسطة دائرة ضيقة من المسؤولين وتتطلب تحديث النظام نفسه (على الأقل تحديث مكون SAP_BASIS إلى الإصدار 740). خلاف ذلك ، فإن معاملة sncwizard غير مدعومة ، والقيام بذلك يدويًا أمر مزعج للغاية بالنسبة لـ 10-20 شخصًا.

2. المكونات

سيجد الأشخاص المهتمون بهذه التفاصيل تعليمات خطوة بخطوة على موقع SAP على الويب ، بالإضافة إلى الطرق المختلفة المتاحة (اخترنا خدمة الدخول الموحد استنادًا إلى Kerberos ، لكن هذا ليس دائمًا خيارًا واضحًا).

من وجهة نظر مبسطة للغاية (من وجهة نظري) ، SSO هي وظيفة إضافية في SAP تتيح لك تسجيل الدخول باستخدام حساب Windows الخاص بك. تقوم بتشغيل الكمبيوتر ، وإدخال كلمة المرور ، ولكي تتمكن من تسجيل الدخول إلى SAP ، تحتاج فقط إلى النقر المزدوج.

لكي يعمل السحر ، تحتاج إلى 5 مكونات:

2.1 تغيير معلمات النظام (مثيلات SAP)

في نظام SAP ( ECC ، BI ، SRM ، Netweaver ) تحتاج إلى تنشيط المعلمة snc / enable = 1. يتم ذلك من خلال sncwizard ويتضمن التحضير وإعادة تشغيل النظام وخطوات التنشيط النهائية.

اكتشفنا المعلمات قبل وبعد بمساعدة هؤلاء الاستشاريين ، بمساعدة من الإدارات الأخرى والتجربة والخطأ. أصعب شيء هنا هو إعادة تشغيل النظام.

من الصعب دائمًا إعادة تشغيل PRD في الإنتاج ؛ العمل مستمر على مدار الساعة. وفي شركة النقل ، يكون هذا الأمر أكثر تعقيدًا: يتحرك النقل من الساعة الخامسة صباحًا حتى الساعة الواحدة صباحًا ، حتى في عطلات نهاية الأسبوع. لا تؤثر أي صعوبات تواجه شركة PRD على موظفي الشركة فحسب ، بل تؤثر على المدينة بأكملها وعشرات الآلاف من الأشخاص. بمعنى آخر - تحتاج إلى تقليل الوقت الذي لا يكون فيه النظام متاحًا ، وإذا أمكن ، يمكن دمجه مع تحديثات أخرى. في الوقت نفسه ، لا ينبغي التقليل من شأن البيروقراطية: إعادة التشغيل هي التاريخ والوقت والمدة (إذا لم يتم حفظ المعلمات في المرة الأولى) وإخطار الأعمال.

كان لدينا أربعة أنظمة SAP PRD: ECC ، Netweaver ، SRM ، BI - لإعادة التشغيل

ECC هي الأهم ، جميع البيانات في الوقت الحقيقي والنقل الرئيسي مرتبطة به: الحافلات والترام.

يتم استخدام البيانات من نظام Netweaver (الحوادث والتطبيقات المحمولة) ، بالإضافة إلى أنظمة ECC ، حتى الساعة 3 صباحًا - في حالة عدم تشغيل الترام ، يذهب طاقم الإصلاح.

نظام SRM - يستخدم بشكل أساسي للشراء وكان متاحًا في أي يوم بعد الساعة 6 مساءً.

مع BI ، تكمن الصعوبة في أن تدفقات البيانات من ECC في عطلة نهاية الأسبوع تذهب إلى النظام ، بالإضافة إلى ذلك ، يتم أحيانًا استخدام التقارير من BI بواسطة الإدارة العليا خارج ساعات العمل.

في المجموع ، استغرق الأمر 2 أسابيع لإعادة تشغيل جميع PRDs.
تسبق إعادة تشغيل كل نظام من أنظمة PRD إعادة تشغيل جميع DEV و ACC ، وهي أسهل في التنسيق ، ولكنها تتطلب أيضًا التخطيط.

2.2 دليل Windows النشط (AD)

يتطلب Active Directory إنشاء مستخدم تقني خاص (SAP Kerberos). سيتصل هذا المستخدم بـ Windows للحصول على نسخة من تذكرة الإدخال لـ SAP. أحد مستخدمي خدمة AD هذا يكفي لجميع أنظمة SAP.

تم إعداد هذا الجزء بالكامل من قبل مستشارنا الخارجي وفريق Active Directory ، وقد تضمن عدة تكرارات لتحسين المعلمات وتكوين المكتبة الخاصة ، ولكن بالنسبة لي ظل الأمر أكثر من "الصندوق الأسود".

2.3 تثبيت SAP Secure Client Client (SLC) على كمبيوتر المستخدم

هذا البرنامج في حد ذاته لا يفعل شيئا. تحتاجها لتخزين تذكرة من م تؤكد المستخدم عند تسجيل الدخول إلى جلسة ويندوز ، وإذا لزم الأمر ، تقديم هذه التذكرة إلى SAP للحصول على إذن. يمكن تثبيت SLC لجميع المستخدمين فورًا في بداية المشروع - بدون مكونات SSO الأخرى ، لن يعمل على أي حال.

2.4 ربط مستخدم SAP بمستخدم AD الخاص به

كما ذكرنا سابقًا ، لا توجد في شركتنا إدارة مستخدم واحد ، ويتم الحصول على أنظمة مختلفة من فرق مختلفة. في هذه الحالة ، يختلف تسجيل دخول المستخدم في SAP عن اسم المستخدم في Windows ، على سبيل المثال ، المستخدم # 45011 في AD هو Ivan Ivanov أو IVANOVI . هذه هي المجموعة التي يجب ملؤها في SNC (من خلال المعاملة SU01 ، الحقل SNC ، p: CN = ADname @ domain).

لا تملك شركتنا SAP Identity Management. لذلك ، كان من الضروري حل مشكلتين: إنشاء مستخدمين جدد وتحديث معلمات المستخدمين الحاليين.

إنشاء مستخدمين جدد
في النظام الرئيسي (ECC) كل يوم عمل يتم إنشاء 4-6 عمليات تسجيل دخول جديدة ، أي ما يقرب من 1000 مستخدم جديد سنويًا. تتم العملية تلقائيًا: عند إنشاء مستخدم ، يملأ البرنامج عنوانه واسمه وإعداداته الأساسية. قررنا أن يقوم البرنامج أيضًا بملء حقل SNC في مرحلة إنشاء المستخدم ، بغض النظر عما إذا كان الشخص سيحتاج إلى SSO في SAP بعد ذلك أم لا.

كان الهدف هو أنه لكل مستخدم تحتاج إلى ملء اسم فريد في م ، أي أنها ليست المعلمة نفسها للجميع - أي من الضروري أن يبحث البرنامج نفسه عن اسم المستخدم في AD ويملأه في SAP.

المطور بسرعة تحديث البرنامج. استغرق الرمز والاختبار الأساسي يومين ، لكن بيانات التحقق في ACC لم تناسبنا (لم يتم تحديث AD) ، لذلك أرسلنا التغييرات على الفور إلى PRD. اتضح أن كل شيء أكثر تعقيدًا مما كنا نظن. في سياق التحقيق ، توصلنا إلى المخطط التالي:

1. أولاً ، يتم إنشاء المستخدمين في نظام الموارد البشرية (في SAP يمكن رؤيتهم في PA20 )
2. ثم يتم نسخها إلى Z- الجدول ، جنبا إلى جنب مع بيانات حول الإدارة ، والموقف ، والموقف ، سواء كان هو الرابط الرائدة ، الخ
3. ثم يتم إرسال بيانات المستخدم إلى م ، وهنا يقوم النظام بإنشاء مستخدم في Windows ، ويعطيه اسمًا في م والبريد
4. إن تدفق PI في هذا المخطط هو ببساطة فهم أنه عملية طرف ثالث في النظام الثالث
5. يتم نسخ البيانات مرة أخرى إلى SAP (في جدول Z الجديد) ، وهذه المرة فقط أسماء م وعناوين البريد
6. في المرحلة الأخيرة ، تم إطلاق برنامج Z ، الذي ينشئ المستخدمين في SAP ( SU01 ). لن يتم إنشاء جميع المستخدمين الذين تم إنشاؤهم في نظام الموارد البشرية لاحقًا في SAP ، فهناك الكثير ممن لا يستخدمون SAP في النهاية

استغرق الأمر ما يقرب من أسبوعين للبحث عن التغييرات وتنسيقها والاتفاق على جدول زمني لتحديث وتحميل / تفريغ الجداول. كانت مسألة التزامن - يجب إنشاء برنامج إنشاء المستخدم (النقطة 6) بشكل صارم بعد أن تكون جميع البرامج الأخرى قد انتهت بالفعل ويتم نسخ البيانات إلى الجداول. نتيجةً لذلك ، تتبعنا لمدة أسبوعين عندما انتهى البرنامج وفي أي وقت ، وقمنا بتصحيح البرنامج.

عندما يتم إنشاء المستخدمين بحقل SNC مملوء ، ولكن بدون أسماء الإعلانات المطلوبة ، في SU01 ، يمكنك رؤية جميع المنتسبين المؤسسين من المستخدمين المرتبطين بواحد ، مستخدم AD غير موجود.

تحديث إعدادات المستخدم الحالية
على وجه التحديد لأن تسجيل الدخول SAP و Windows الخاص بنا لا يتطابقان ، لم نتمكن من استخدام حل SAP القياسي لملء الكتلة في حقل SNC ( RSUSR300 عبر برنامج SNC1 ).

نتيجةً لذلك ، قمت بتحديث بيانات 10 آلاف مستخدم حالي باستخدام برنامج نصي مؤقت ( SAP eCATT ) ، وتحميل بيانات المستخدم يدويًا وإنشاء متغير. لتحقيق النجاح ، اضطررت إلى فتح أبواب تغيير كل من أنظمة eCATT في PRD و ACC ووعد المطورين بملايين ملفات تعريف الارتباط.

2.5 تعديل ملف logon.ini SAP

من الناحية الفنية ، هذه دقيقة واحدة. من الضروري أن نلاحظ في خصائص الملف أن الاتصال عبر SNC متاح .

تكمن الصعوبة في أن هذا الملف موجود محليًا على جهاز الكمبيوتر الخاص بالمستخدم وأن ألفي مستخدم بحاجة إلى تغييره.

في الواقع ، بالنسبة لنا ، كان التنفيذ النهائي هو لحظة توزيع ملف sap.logon.ini الجديد بين المستخدمين ، بدلاً من تغيير معلمات PRD. لأنه حتى لو كانت المكونات الأربعة الأولى قد تم تنفيذها بالفعل ، والخامس الأخير ليس كذلك ، فلن يحدث السحر.

مع الفقرة الأخيرة جاءت حادثة صغيرة. أبلغت الإدارة أن لدينا 2000 مستخدم سيتم تثبيت التحديث ، وعندما حان الوقت لتنفيذه ، أرسلوا إلي حالة بلغ عددهم 3500 منهم ، وشعرت بعدم الارتياح. ذلك لأنه من جانبي ، رأيت فقط مستخدمي SAP النشطين ، ولكن في الواقع تم إرسال التحديث إلى جميع أجهزة الكمبيوتر المحمولة الشخصية ، والتي يوجد الكثير منها في الشركة. الحمد لله لم تنشأ أي أخطاء تقنية.

3. اختبار

كيفية اختبار SSO؟ إما أنها تعمل أم لا. لقد تعطش المطور الخاص بنا وقال إنه لا يلزمك اختبار أي شيء ، وبمجرد أن يعمل كل شيء في صندوق الحماية ، فأنت بحاجة إلى إرساله إلى الإنتاج. بالطبع لا أحد سيقول أنه يكتب رمز مع الأخطاء.

تحتاج إلى التحقق:

• هل يعمل تسجيل الدخول إلى SAP مع SSO مباشرة بعد إعادة التشغيل
• يمكن للمستخدمين استخدام SSO عند الاتصال بشبكة VPN
• صعوبات للمطورين للأنظمة الأخرى لتعديل تسجيل دخول SAP

SSO ليس برنامجًا ؛ من الصعب تنفيذه باستمرار DEV - ACC - PRD. ومع ذلك ، فإن الاختبار الأولي ضروري للقبض على كل ما قد يحدث خطأ. الاختبار في هذه الحالة هو توزيع logon.ini SAP الجديد عندما تكون جميع المكونات قيد التشغيل بالفعل. لقد اختبرنا DEV و ACC مع المطورين و SAP logon.ini الجديد مع PRD مع مجموعة مختارة من مستخدمي الأعمال.

ما وجدوه:

• في بعض الأحيان (حالة واحدة لكل 500) تحتاج إلى إعادة تثبيت تسجيل الدخول SAP أو SLC بالكامل
• المستخدمين الرئيسيين الذين لديهم حقوق تغيير المستخدمين الآخرين (المزيد حول ذلك في الفقرة التالية)

4. SNC هو ثقب الأمن

ماذا عن تعديل حقل SNC؟
الحقيقة هي أنه من خلال تغيير حقل SNC لمستخدم آخر (في SU01) إلى حسابك الخاص ، يمكنك الاتصال تحت حساب شخص آخر دون حتى تغيير كلمة المرور. سيسألك النظام ببساطة عن المستخدم الذي يختاره أو عنك أو عن شخص آخر. ومع ذلك ، إذا قمت بذلك ، فلن يلاحظ أحد أي شيء غدًا ، لأن كلمة المرور لم تتغير.

في أي شركة هناك أشخاص يشاركون في إدارة المستخدم . عادةً ما يراقب هؤلاء الأشخاص إنشاء المستخدم ( SU01 ) والوصول إليه ( PFCG ) ، بالإضافة إلى تحديثات كلمة المرور. ومن المنطقي أنه يمكنهم أيضًا ملء حقل SNC .

تنشأ المشكلة عندما تحتاج الشركة إلى فصل إدارة المستخدم والمستخدمين الرئيسيين فقط. يقوم المسؤولون بإنشاء المستخدمين ، ويقوم المستخدمون الرئيسيون ، إذا لزم الأمر ، بتغيير بياناتهم: معلمات المستخدم ، ولغته ، وموقعه ، إلخ.

في SAP ، لا توجد خطوة تحكم منفصلة لتغيير حقل SNC. يمكن لأي شخص لديه حقوق تغيير المستخدم (الكائن S_USER_GRP ، ACTVT 02 ) أيضًا تغيير حقل SNC (بينما يتطلب تغيير كلمة المرور نفس الكائن ، ولكن باستخدام ACTVT 05 ).

قد يكون هناك العديد من الحلول:

• سحب حقوق الوصول إلى SU01 من المستخدمين الرئيسيين ، واستجابة لذلك ، امنح الجميع SU2 و SU3 ، حيث يمكن للمستخدم تغيير المعلمات الخاصة به
• يسلب حقوق الوصول إلى SU01 ، وفي المقابل أعط معاملة z حيث لا تظهر علامة التبويب SNC
• اترك SU01 ، لكن احمي حقل SNC بواسطة تحكم خاص

نتيجة لذلك ، اخترنا الخيار الأخير عن طريق إنشاء كائن تخويل مخصص وربط برنامج SU01 عليه. ومع ذلك ، كما اتضح فيما بعد ، لدى SAP حلاً مماثلاً - يمكنك تنشيط الصيانة الممتدة ( الملاحظة 1882254 ) لحقول SU01 الفردية.

5. العمل الجماعي

خلال المشروع ، واجهت جميع صعوبات العمل الجماعي واكتشفت العديد من الحقائق الأساسية:

• ليس هناك الكثير من الوقت . هامش الوقت هو أفضل ما يمكن أن يقدمه رئيس الوزراء.
• يجب أن تكون هناك خطة مشروع أساسية ، لكن يجب مراجعتها كل أسبوع ، مما يترك هامشًا كبيرًا للمرونة. انتقلنا في مكان ما بشكل أسرع ، وداس في مكان ما على الفور.
• أحيانًا لا يختلف أعمام البالغين في قسم تكنولوجيا المعلومات في سلوكهم عن الفتيات في المحاسبة : إنهم يرفضون العمل مع بعضهم البعض ، لمجرد أنهم لا يحبون الشخص. ومرة أخرى ، من الضروري حل قضايا التبعية.
• في كثير من الأحيان تعيق الإدارات الموافقة على المشروع ، لأنه ليس من الواضح من المسؤول عن التنفيذ وساعات الميزانية الإضافية. من المهم السماح للمدراء بمناقشة كل شيء مباشرةً.
• حالات غير متوقعة تنشأ بين الحين والآخر . أفضل ما يمكن أن يكون هو التواصل في الوقت المناسب ، خطاب ، مكالمة ، رسائل نصية قصيرة لجميع الأشخاص المعنيين.
• لا يوجد شيء أفضل من لقاء شخصي . يتم حل الأسئلة أسرع عدة مرات من عند مناقشتها عن طريق البريد. من ناحية أخرى ، يجب اتباع جميع الترتيبات الشخصية على الفور بحرف لاحق (من أجل الإصلاح وعدم نسيان)
• PM في مشروع تكنولوجيا المعلومات يمكن أن يثق الناس فقط . في الواقع ، ليس لديك أي فكرة عن مقدار الوقت الذي سيستغرقه هذا الإجراء أو ذاك: على سبيل المثال ، إنشاء مستخدم في AD لـ Kerberos ، 10 دقائق أو ثلاثة أيام؟ وليس هناك طريقة للتحقق مما إذا كان الاختبار قد توقف حقًا أو كان هناك شخص ما يخدع. يبقى فقط للثقة.

بالإضافة إلى ذلك ، يعتمد الكثير على مثابرة الاستشاري. يجب أن يكون الشخص بمفرده ، أو مستشار التطوير أو رئيس الوزراء ، وقح مثل رصاصة ولكمة من خلال جدران البيروقراطية. في هذه الحالة ، كنت محظوظًا جزئيًا ، وكان مستشارنا المدعو مزعجًا وأحيانًا لا يطاق (كان من الصعب أن يجعله يسمع شيئًا ما) ، لكنه كان يعرف عمله: لقد أبلغ عن أي مشاكل وتوقف على الفور ولم يهدأ حتى تم حل المشكلة.

6. معلومات لرجال الأعمال

في شركة كبيرة ، يجب أن تكون التغييرات التي تؤثر على المستخدمين النهائيين في الوقت المناسب ، وأن يتم الإعلان عنها بشكل أفضل مقدمًا.

في حالتنا ، كان من الضروري إبلاغ جميع المستخدمين أنهم الآن لا يحتاجون إلى كلمة مرور لإدخال SAP. أيضا ، كان من الضروري تقديم الوثائق الفنية لخط الدعم الأول مع جميع الأخطاء المحتملة التي قد تنشأ بعد التنفيذ.

يجب أن أعترف أنه مع التواصل كل شيء يمكن أن يكون الخطأ.

أولاً ، أعلنا للمستخدمين عن SSO على موقع الشركة ، وليس عن طريق خطاب. كم مرة تقرأ موقع الشركة؟ SAP .

- , , , , , , , ( - ?) , .

- , Go Live, , ( 2 ), . .

7. fuck-up

5- SSO SAP, , .

: . , — . . 2- , 500 -. .

. “use a default language SAP logon” — , , ( SU01 , Defaults ). « SAP» .

, -, .

- .

8.

SSO — , . , 1-2 , 3- .

. . , , , .

SSO , , , , . AD, SNC. , . , ( , ) — .

 ,     ,   . 

المواد الصلبة:

• قضى الوقت الرئيسي في 3 أشهر على تنسيق وتنسيق الإجراءات
• بدأت الإدارات المشاركة في هذا المشروع في فهم عمل بعضهم البعض بشكل أفضل.
• أثناء الاختبار ، تحتاج إلى تقديم نفسك في مكان المستخدم النهائي - ما تود رؤيته في رسالة المعلومات وفي الإعدادات الأساسية.
• يتم تنفيذ SSO لـ SAP. يشعر المستخدمون بالسعادة وقد نسوا الأوقات التي كان من الضروري فيها تذكر كلمة المرور من SAP. استدعاء الدعم الفني أقل في كثير من الأحيان ، هتافات.