À medida que as estruturas de TI se tornam cada vez mais complexas, o tópico da segurança se torna mais importante. Sua empresa deve gerenciar usuários do aplicativo (usuários empresariais) e usuários da plataforma (administradores, operadores etc.). Você pretende atribuir funções e autorizações e criar um Identity Provisioning central com SAP Cloud Identity Services. Todas as APIs e interfaces usadas ou integradas também precisam ser protegidas.
Analisar a administração de usuários e autorizações no SAP BTP
Objectives
After completing this lesson, you will be able to:
- Descreva a administração de usuários no SAP BTP.
- Descreva a administração de funções e autorizações no SAP BTP.
Introdução empresarial à administração de usuários e autorizações
Administração de usuários e autorizações no SAP BTP
O SAP BTP distingue entre:
- Os usuários da plataforma geralmente são administradores ou operadores (DevOps) que trabalham com ferramentas de gerenciamento de nuvem e implementam, administram e solucionam problemas de serviços no SAP BTP. Normalmente, esses são usuários que efetuam o logon diretamente no cockpit SAP BTP e trabalham aí. Esses também podem ser desenvolvedores que trabalham e usam serviços em espaços do Cloud Foundry.
- Os usuários na empresa usam as aplicações empresariais implementadas no SAP BTP. Por exemplo, os usuários finais de uma aplicação personalizada implementada ou usuários de apps ou serviços assinados, como o SAP Business Application Studio, são usuários na empresa.
Usuários da plataforma no SAP BTP
O SAP BTP é organizado em contas globais no nível mais alto. Uma conta global é um reflexo de um contrato com a SAP. Ele pode consistir em vários diretórios e/ou várias subcontas que fornecem diferentes aplicativos e serviços aos usuários. Outros níveis estão em vigor para uma melhor estruturação e organização do trabalho. Por exemplo, se você tiver muitas subcontas em uma conta global, poderá criar diretórios para estruturá-las.
As subcontas podem ter até três ambientes: Cloud Foundry, Kyma ou ambiente ABAP. Os ambientes permitem o desenvolvimento e administração de aplicações empresariais com diferentes abordagens e ferramentas baseadas em sua seleção. Obviamente, dentro dos ambientes e respectivo conteúdo, como o tempo de execução, instâncias de serviço, etc. - também existem usuários necessários para fornecer acesso e autorizações.
Qualquer pessoa que queira usar as capacidades do SAP BTP deve ser atribuída como usuário às autorizações específicas por meio de funções. O gerenciamento de usuários ocorre em todos os níveis, desde a conta global, passando pela subconta e diretórios até os ambientes. Em cada nível, você precisa de um administrador, que administre recursos e os usuários nesses níveis. A maneira de administrar tem algumas diferenças dependendo do nível em que você está.
Administração de usuários no SAP BTP
Quando um cliente assina um contrato com a SAP, um usuário é criado no nível da conta global. Neste nível, os direitos são definidos, atribuindo entidades e serviços, incluindo informações de faturamento. Inicialmente, o administrador da conta global pode efetuar login no SAP BTP para gerenciar esses direitos e criar diretórios e subcontas. Para garantir que mais de um funcionário possa administrar a conta global, o administrador precisa criar outros usuários no nível da conta global e atribuir a eles permissões de administrador.
Normalmente, uma conta global consiste em várias subcontas. Quando um administrador de conta global cria uma subconta, ele se torna automaticamente o administrador da subconta. O administrador da subconta pode gerenciar direitos, assinar serviços, criar outros usuários no nível da subconta e atribuir funções aos usuários. Os administradores de subcontas obtêm autorizações de administração somente para a subconta, não para a conta global.
Os administradores de subconta também criam usuários na empresa. Os usuários na empresa são consumidores de aplicações e serviços fornecidos no SAP BTP (por exemplo: SAP Business Application Studio) ou aplicações empresariais (SaaS) que foram criadas com a ajuda das ferramentas e serviços fornecidos pelo SAP BTP. Esses usuários podem ter acesso ao SAP BTP, mas não podem realizar tarefas administrativas. Se um usuário na empresa usar somente um único aplicativo no SAP BTP, ele não precisa necessariamente de acesso ao cockpit SAP BTP (ou seja, à subconta), mas somente ao aplicativo. Nesse caso, o administrador da subconta cria o usuário em um nível de subconta e só atribui autorizações de aplicativo ao usuário.
Saiba mais
Saiba mais sobre como trabalhar com usuários no SAP BTP na documentação oficial.
Funções e autorizações
Para usar diferentes funções do SAP BTP, você precisa ter autorização para ele. Você pode configurar autorizações usando funções e coleções de funções.
Coleções de funções
As coleções de funções consistem em funções individuais que combinam autorizações para recursos e serviços no SAP BTP. Uma coleção de funções pode ser composta por uma ou várias funções. Você só atribui coleções de funções a usuários, mas não a funções individuais. As funções e suas autorizações são fornecidas automaticamente aos usuários por meio da atribuição de coleção de funções. As coleções de funções são administradas em cada nível do SAP BTP separadamente. As coleções de funções que existem na conta global não existem nas subcontas. Da mesma forma, as coleções de funções em subcontas não estão disponíveis na conta global.
O SAP BTP já fornece um conjunto predefinido de coleções de funções para usuários da plataforma e também para usuários do aplicativo. Para configurar o acesso de administrador para usuários da plataforma na conta global, diretórios, subcontas, etc., um administrador existente de um determinado nível no SAP BTP atribui coleções de funções predefinidas a outros usuários da plataforma.
Para usuários de aplicativos que podem ser assinados no SAP BTP, também existem coleções de funções predefinidas que se tornam disponíveis após a assinatura do aplicativo. Também é possível criar coleções de funções personalizadas com funções internas que dão permissões para aplicativos personalizados implementados no SAP BTP.
Funções
As funções são fornecidas a partir dos serviços SAP BTP que você usa e dos desenvolvedores que fornecem os modelos de função para os serviços. Quando ativado a partir do serviço, é possível personalizar esses modelos de função. Para muitos cenários, isso não é possível e você precisa ir com as funções fornecidas pelo serviço e pode começar a compor as mesmas em coleções de funções e atribuir essas coleções de funções a usuários. Também é possível que os desenvolvedores de um serviço forneçam modelos de coleção de funções, mas além disso, você sempre pode criar suas próprias coleções de funções.
Mais informações para atribuir coleções de funções
Nota
Todos os usuários do SAP BTP são armazenados em provedores de identidade. O modo como você atribui usuários às respectivas autorizações depende do tipo de configuração de confiança com o provedor de identidade. Se você estiver utilizando a configuração de confiança padrão com o serviço SAP ID, você atribui usuários diretamente a coleções de funções. No entanto, se você estiver usando um provedor de identidade personalizado, poderá atribuir coleções de funções diretamente a usuários individuais ou mapear coleções de funções para grupos de usuários ou outros atributos de usuário definidos no provedor de identidade. Isso é chamado de federação.
O provedor de identidade personalizado hospeda usuários que podem pertencer a grupos de usuários. É eficiente usar a federação atribuindo coleções de funções a um ou mais grupos de usuários. A coleção de funções contém todas as autorizações necessárias para este grupo de usuários. Este método poupa tempo quando você adiciona um novo usuário na empresa. Basta adicionar os usuários aos respectivos grupos de usuários e os novos usuários na empresa obtêm automaticamente todas as autorizações incluídas na coleção de funções.
Saiba mais
Principais conclusões desta lição
O SAP BTP tem funcionalidades integradas para gerenciar coleções de funções e atribuí-las a usuários da plataforma ou a usuários empresariais que mais consomem os aplicativos e serviços. Os usuários da plataforma dentro do SAP BTP precisam ser gerenciados e atribuídos no nível de arquitetura com contas globais, diretórios, subcontas e áreas.