SAP Universal ID y SAP ID User

Tal y como os dije en la entrada anterior, aquí os dejo un vídeo para que veáis la diferencia entre el SAP Universal ID y el SAP ID User.

Para ello, voy a crearme una identidad nueva, con un mail que no he utilizado nunca para ningún servicio en SAP y veremos cómo el sistema, me genera un P-User en el servicio SAP ID User y un SAP Universal ID.

Aquí va el vídeo:

Y si alguien se ha quedado con las ganas de que funcione la cuenta de S/4HANA Cloud Trial, os recuerdo que hace unas semanas os conté cómo hacerlo:

¿Cómo puedo probar un sistema SAP? (I)

De todas formas, la intención de este artículo era que tuvieras claro que una cosa es el SAP Universal ID y otra el usuario con el que te conectas a cada servicio en un momento dado.

Realmente, el SAP Universal ID lo que hace es agrupar todos esos usuarios pero finalmente, a los sistemas entras con un usuario concreto, no con el SAP Universal ID… al menos, de momento.

Espero que haya quedado todo un poco más claro, aunque la realidad es que te irá quedando más claro cuando te vayas «topando» con ello, así que si no te has creado tu SAP Universal ID, estás tardando porque a partir de 2023, todos los S-Users (de partners y clientes) dejarán de funcionar, como os conté en este otro artículo:

SAP Universal ID: tic-tac, tic-tac…

Sí, ya sé que todo esto puede llevar a confusión y en un momento dado, llegar a plantearte quién eres… 😉

5 comentarios sobre “SAP Universal ID y SAP ID User

  1. Hola!
    Me gustaría saber tu opinión sobre ese tema, por ejemplo:
    – ¿Crees que tiene sentido dejar de lado los S-Users si (al menos en mi empresa) el 98% de los S-Users están ligados a una persona que solo tiene ese S-user en esa empresa? – Veo que sea útil para consultores o personas que trabajen con más de un S-User a la vez, pero para el resto me parece un paso engorroso y que no termina de funcionar del todo bien.
    – Sin ningún tipo de API que puedas utilizar para exportar la información de los Usuarios en el Launchpad, ¿crees que SAP debería ponerse un poco las pilas para facilitar la gestión de estos S-Users cuando el empleado en cuestión deja la empresa?
    – Hay ciertas APIs para extraer información de BTP/subaccounts que solo funcionan con Basic Auth PERO que no funcionan con las credenciales del UID.. ¿no crees que SAP debería dejar todos los temas zanjados antes de dejar de dar soporte a los S-Users?
    – ¿Cómo te sentirías si te obligasen a tener que usar tu email personal para crearte una cuenta en SAP para tener que abrir tickets o ver documentación de SAP – dejando de lado que si quieres usar el SSO tienes que añadir manualmente el usuario+contraseña?

    Desde que me creé la cuenta de UID aún no he visto ninguna mejora, sinceramente.

    Muchas gracias y saludos!
    Javi

    1. Hola Javi,

      Te doy mi opinión con respecto a lo que preguntas:

      • Creo que si tienes un único S-User en tu SAP Universal ID, el sistema te cogerá ese directamente, sin necesidad de tener que elegir con cuál quieres entrar al servicio correspondiente.
      • Veo complicado que SAP sepa cuando un empleado deja la empresa, esto creo que es más labor de la empresa, ¿no? Dentro del proceso de salida, habría que incluir el dar de baja los usuarios correspondientes, vía API o como sea, pero responsabilidad de la empresa, no de SAP.

      • SAP no va a dejar de dar soporte a los S-Users, va a meter «por encima» el tema del SAP Universal ID, pero tú a los servicios vas a seguir entrando con las autorizaciones que tenga el S-User correspondiente. Puede que en un momento dado, el proveedor de identidades por defecto pase a ser el Universal ID, en lugar del ID Service pero creo que, de momento no es el caso.

      • Nadie te obliga a usar tu mail personal, lo único es que si utilizas uno corporativo y cambias de compañía puedes perder el acceso a toda la información vinculada a este mail; pero vamos esto es algo que te pasa con cualquier servicio. Si mañana me doy de alta en Spotify con el correo de mi empresa y me voy de la empresa, perderé el acceso a Spotify.

      Si en vuestro caso, tus usuarios solo tienen un usuario S quizás os puede valer con crear el Universal ID con ese mismo mail corporativo y listo.

      En cualquier caso, el tema de la gestión de identidades, en general y en SAP en particular, es algo que tiene mucha miga y ha ido variando a lo largo del tiempo.

      Sobre el tema del SSO, no podría decirte porque en mi caso tengo muchos usuarios distintos y no lo utilizo, para poder entrar en cada servicio con el usuario que corresponde.

      Lo que sí tengo es el SAP Passport de algunos de esos usuarios, para evitar tener que acordarme de la contraseña cada vez, aunque eso tampoco es problema, ya que aunque utilizo un gestor de contraseñas (1Passsword) a veces es un poco engorro.

      Bueno, una vez resueltos esos «pequeños» problemas, ya sólo es cuestión de pegarse con las cookies y los distintos navegadores… 😉

      En resumen, que creo que el tema del SAP Universal ID es algo por lo que habrá que pasar sí o sí, ya que me da que va a ser un primer paso para futuros cambios en todo esto.

      Saludos.

      1. Hola! Gracias por tu respuesta, te comento mi experiencia y opinión respecto a tu respuesta:

        Hasta donde yo sé (por lo que he probado), no se puede crear un UID directamente sobre un S-User. Me explico: aunque tengas una dirección de correo en un S-User, en el primer paso para crear el UID, tienes que completar los datos (nombre, apellidos, país, email y contraseña). Cuando pones el email, recibes un código de verificación, al activarlo, automáticamente te crea un P-user ligado a ese email. Así que si o si ya tienes un P-user aunque luego conectes tu S-user, o sea que siempre te preguntará cuál quieres elegir (no he visto forma de poner siempre por defecto uno).
        Toda la razón en que es responsabilidad de la empresa. Pero no hay ninguna API (al menos yo no he encontrado ninguna) que te permita extraer o modificar la información de User Management del Launchpad. Hemos comprobado que cuando una persona deja la empresa, no puede acceder con su email de empresa y contraseña, pero no sabemos qué pasara cuando ese proceso de autenticación sea mediante el UID. (Aunque SAP dice que está trabajando en ello -> https://discover.sap.com/universalid/en-us/support.html -> What happens if the company administrator forgets to withdraw authorizations to a former employee?
        If the Super Admin forgets to withdraw the permissions or access to the systems, the user will still have access to the company’s data and systems. However, we are working on a feature that will inform company administrators about activity by employees who have left their company. )
        Respecto a que los S-users «acabarán» a principios de 2023, pero, ¿sabes realmente qué pasara si algunos S-users no están ligados a un P-user?
        Cierto, no obligan pero lo recomiendan encarecidamente por el tema que tú comentas. Yo no estoy a favor de tener que usar un email personal para temas de trabajo, pero parece que son lentejas. Y aún así, probablemente las nuevas incorporaciones tendrán ya su UID y querrán solo ligar su nuevo S-user a su existente P-user/UID. Así que habrá que estudiar qué camino tomar.

        Muchas gracias por tu respuesta!
        Un saludo,
        Javi

        1. Hola de nuevo,

          Es posible lo que comentas, que automáticamente te cree un P-User al crear tu Universal ID, no lo recuerdo y puede tener sentido; por lo que estás obligado, como dices a elegir si quieres entrar con el S o con el P.

          De momento, no hay forma de decirle que coja uno por defecto; por lo que lo de entrar directamente sólo te va a pasar si tienes únicamente ese usuario P.

          Cierto que tienen algunas lagunas aún sobre cómo tratar ciertas cosas pero para quitar el acceso a usuarios que ya no están, lo puedes hacer cambiando la fecha de expiración, a nivel de S-User y aunque ese S-User siga vinculado a un Universal ID activo, se supone que no podrá acceder a nada que no deba.

          Lo que debería hacer el empleado que se ha ido es «deslinkar» la cuenta de su Universal ID pero si no lo hace y el Super Admin de la empresa ha hecho bien su trabajo, no pasa nada.

          Y sobre los usuarios S no vinculados a un P es sobre los que hay que actuar. Es decir, todo el mundo tiene que crearse un Universal ID (lo que te creará un P, como hemos visto) y vincular su usuario S a dicho Universal ID.

          Y para los que ya lo tienen, es como dices, sólo tendrán que vincular su nuevo usuario S al Universal ID que ya tengan.

          Para los que sólo tienen un usuario S todo esto puede ser un poco engorro, para los que tenemos varios nos puede facilitar la vida, simplemente por no tenerlos todos por ahí desperdigados… 😉

          Saludos.

Responder a Javi Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.