SAP Universal ID: tic-tac, tic-tac…

Hace más de 2 años os hablaba de SAP Universal ID, como método de acceso universal a muchos de los servicios SAP.

En el mismo decía, entre otras cosas: «…es un primer paso y todo un avance. Esperemos que no tarden 2 años más en dar el siguiente…».

Y lo cierto es que en este tiempo han ido dando algún paso, añadiendo este método de autenticación en ciertos servicios, aunque no en todos, como contaba en este artículo, de hace poco más de un año:

¿Ya tienes tu SAP Universal ID?

En mi caso personal, como buen early adopter (que queda mejor que «enterao avanzao») me di de alta en el servicio y vinculé todos mis S-users a ese Universal ID.

Desde el primer momento vi claro que el mail con el que tenía que dar de alta esa identidad universal tenía que ser desde una cuenta personal; ya que si lo haces desde un correo corporativo, al cambiarte de empresa tendrías un problema.

No olvidemos que la idea es ese Universal ID te permita unificar todos los S-users que puedas tener y es en cada uno de estos S-users donde tienes los permisos necesarios (o no) para acceder a los correspondientes servicios; es decir, el Universal ID por sí solo, no te da acceso a nada.

Como curiosidad, os diré que no podéis tener más de 15 S-users a un mismo SAP Universal ID; bueno, sí puedes pero tienes que enviar un mail, hasta 15 se pueden vincular sin problemas.

Otra cosa es desvincular un usuario porque no quieras tenerlo más vinculado o porque lo quieras vincular a un nuevo Universal ID; para eso, hoy en día, tienes que crear un incidente en soporte, tal y como te indican en esta nota: 2914815 – How to unlink users from the SAP Universal ID (UID)

Entiendo que un S-user sólo pueda estar vinculado a un único Universal ID pero creo que este proceso se podría automatizar fácilmente con un par de mails de verificación.

A todo esto, estoy hablando siempre de S-users pero esto aplica también a los P-users; si queréis ver qué diferencia hay entre unos y otros, os dejo este artículo: SAP User IDs? What’s the difference? Find out more here…

¿Pero por qué vuelvo hoy a hablar de esto del SAP Universal ID? Pues a raíz de un mail que se envío ayer dirigido a cualquiera que sea administrador de usuarios que tenía el siguiente asunto: [INFORMACIÓN IMPORTANTE] Mejora de la validación del correo electrónico y las comprobaciones de seguridad

Lo normal es que se hubiera ido directamente a la papelera pero me dio por leerlo… y la verdad es que por una vez, y sin que sirva de precedente, la información creo que sí es importante.

Copio y pego parte del contenido:

Actualización de los dominios de empresa permitidos 

Al tener disponible la aplicación Actualizar los dominios de correo electrónico, SAP recomienda que empiece a agregar, y que actualice regularmente, todos los dominios de correo electrónico oficiales que representan a su empresa, sus filiales y sus CCoE. Puede acceder a la aplicación mediante el enlace anterior y desde la aplicación Gestión de Usuarios. Se requiere un mínimo de un dominio.

En las próximas versiones, previstas para principios del 2022, esta información se utilizará para validar las direcciones de correo electrónico de sus usuarios S-User. Los que no la superen aparecerán resaltados en la Lista de Usuarios de la aplicación Gestión de Usuarios. En las siguientes versiones, si se solicita un nuevo ID de S-User o un S-User existente modifica su dirección de correo electrónico, únicamente se permitirán aquellas direcciones de correo electrónico que coincidan con sus dominios; el resto se rechazarán. Un ejemplo de mejora derivada del cumplimiento es que las notificaciones de SAP ONE Support Launchpad solo se enviarán a sus dominios de correo electrónico corporativos.

Aquí lo que nos dicen es que a partir de ahora vas a tener que registrar los dominios específicos para tus S-Users, se acabó lo de tener usuarios con dominios de Gmail y demás.

Creo entender que los que ya tengas se mantendrán (no sé por cuánto tiempo) pero no te permitirán solicitar ninguno nuevo que no pertenezca a alguno de esos dominios.

Así que yo, como buen «enterao adelantao» ya he ido dando los primeros pasos:

Actualmente, tengo algún que otro S-user con correo de Gmail que tiene asociado productos o certificaciones así que, aunque se supone que esos los van a respetar, creo que voy a cambiarlos a un S-user de «los buenos».

Es decir, mi SAP Universal ID seguirá asociado a un correo de Gmail pero todos los S-users vinculados serán de cuentas de esos dominios permitidos.

Ya probé a añadir el dominio gmail.com y me dijo que ese tipo de dominio no está permitido.

Por cierto, aquí os dejo un par de enlaces donde os dicen qué tenéis que hacer para que os muevan las certificaciones de un usuario a otro y para transferir una licencia de SAP Learning Hub:

Básicamente, el proceso consiste en enviar un mail… ¡viva la automatización de procesos! 😂

Aviso: Fases del proceso de transformación de ID de S-User a SAP Universal ID

SAP Universal ID es un inicio de sesión único para una persona; los S-User son ID con autorizaciones asignadas que se pueden adjuntar a un SAP Universal ID.

Todos los S-Users deberán vincularse a un SAP Universal ID durante el año 2022:

  • A partir de 2023 no existirán S-Users independientes. El S-User se utilizará como plantilla de derechos para el SAP Universal ID.
  • Si los usuarios ya tienen un S-User vinculado a un SAP Universal ID, los administradores pueden verlo en la aplicación Gestión de Usuarios.
  • En todo momento, los administradores tienen plena autoridad para gestionar el acceso a sus sistemas y a la información sensible de la empresa a través de la aplicación Gestión de Usuarios.
  • Para crear una cuenta de SAP Universal ID se utilizará una dirección de correo electrónico personal.
  • Los usuarios pueden tener múltiples direcciones de correo electrónico en su SAP Universal ID; no obstante, es necesario validar la titularidad de cualquier dirección de correo electrónico.
  • Los usuarios únicamente pueden autenticarse con el S-User si una dirección de correo electrónico coincidente forma parte de su SAP Universal ID.
  • Las notificaciones relacionadas con el SAP Universal ID como, por ejemplo, modificaciones en los ajustes de la cuenta/seguridad, se enviarán a la dirección de correo electrónico del SAP Universal ID; sin embargo, las notificaciones específicas de la empresa siempre se enviarán al correo electrónico adjunto al S-User asociado.
  • Los S-Users de comunicación técnica quedan fuera del alcance.

Ejemplo: Un administrador de la empresa ha creado un S-user para la empleada Monika con el correo electrónico “monika.musterfrau@company.com”. Monika debe validar este correo electrónico en su SAP Universal ID para vincular el S-User. Si elimina esta dirección de correo electrónico de su S-User desde su SAP Universal ID, ya no podrá usar más este S-User. Monika puede asignar a su SAP Universal ID múltiples direcciones de correo electrónico, incluida su dirección de correo electrónico personal, “monika.musterfrau@freemail.com”. Este correo electrónico se puede utilizar a modo de copia de seguridad, de manera que pueda seguir utilizando su SAP Universal ID si abandona la empresa. Si su ID de S-User vence o lo borra el administrador de la empresa, no podrá seguir utilizando su SAP Universal ID en nombre de esa empresa.

Aquí, básicamente, lo que os están diciendo es que os pongáis las pilas… que tenéis lo que queda de 2021 y todo el año 2022 para crearos vuestro SAP Universal ID y vincularlo con vuestros S-users.

Y como veis, me han hecho caso 😂 y os indican que creéis el SAP Universal ID con una cuenta personal, para evitar perder el acceso a la misma si cambiáis de compañía.

Comprobación de correos electrónicos duplicados

Hemos incluido, para todos los S-Users recién creados, una comprobación de duplicados en base a una dirección de correo electrónico única e individual. La creación de cuentas de S-User con direcciones de correo electrónico duplicadas ya no está permitida por motivos de calidad de los datos, seguridad y cumplimiento. Además, la limpieza de correos electrónicos duplicados ya ha demostrado dar como resultado un proceso de creación de S-Users significativamente más rápido.

Supongo que harán esa verificación para las nuevas cuentas,  pero lo que no tengo claro es qué van a hacer con los existentes actualmente, ya que ahora mismo ese caso se da, como podéis ver:

Bloqueo de las direcciones de correo electrónico compartidas

Con el objetivo de mejorar la seguridad y la calidad de los datos, hemos incluido un control para las direcciones de correo electrónico que utilizan todos los nuevos usuarios de SAP Universal ID y S-Users. Los SAP Universal ID son propiedad de una persona con una única dirección de correo electrónico (1 persona = 1 usuario). Por lo tanto, a partir de ahora bloquearemos las direcciones de correo electrónico que, de manera general, utilizan grupos.

Por ejemplo, support@sap.com no es una dirección de correo electrónico personal y única y, por tanto, no se puede utilizar para crear un SAP Universal ID. Esta restricción también se ha agregado a la aplicación Gestión de Usuarios de SAP ONE Support Launchpad.

Esta última parte me parece la más complicada, ¿cómo vas a saber si una dirección es compartida? ¿Por el nombre de la cuenta? No lo veo un procedimiento acertado, la verdad, me parece discriminatorio…

Imaginaos que contrato a Sandra Oporte y cuando intento registrar su usuario me dicen que soporte@aancos.com no es una cuenta válida, ¿por qué? 😂

Así que una vez analizado el contenido del mail, en vuestras manos está que creéis vuestro SAP Universal ID o que esperéis al 1 de enero de 2023 a decir lo de «esto no funciona».

Y desde aquí quiero lanzar una pregunta: ¿qué pasa con los profesionales independientes?… o mejor, para que mole más… ¿qué pasa con los freelances?

Estoy seguro que muchos de ellos, al igual que mucha de la gente que se ha certificado de algo de forma independiente, tienen algún S-user que no está vinculado a ningún cliente/partner y que es más que probable que lo tengan asociado a una cuenta personal…

¿Qué tienen que hacer ahora? ¿Tener un dominio «profesional»? Este debate del dominio de correo «profesional» también tiene su miga… estoy seguro de que muchas veces os intentaréis registrar en algún evento y os dirán que ese dominio no está admitido… otro día hablaré de esto, que esto ya se está alargando mucho.

Os dejo, que seguro que tenéis prisa por crearos el SAP Universal ID, antes de que llegue el día D y la hora H… 😉

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.