Mit zunehmender Komplexität von IT-Landschaften gewinnt das Thema Sicherheit an Bedeutung. Ihr Unternehmen muss Anwendungsbenutzer (Anwendungsbenutzer) und Plattformbenutzer (Administratoren, Operatoren usw.) verwalten. Sie möchten Rollen und Berechtigungen zuordnen und eine zentrale Identitätsbereitstellung mit SAP Cloud Identity Services erstellen. Alle APIs und Schnittstellen, die verwendet oder integriert werden, müssen ebenfalls gesichert werden.
Benutzer- und Berechtigungsverwaltung auf SAP BTP analysieren
Objectives
After completing this lesson, you will be able to:
- Die Benutzerverwaltung auf SAP BTP beschreiben.
- Beschreiben Sie die Rollen- und Berechtigungsverwaltung auf SAP BTP.
Betriebswirtschaftliche Einführung in die Benutzer- und Berechtigungsverwaltung
Benutzer- und Berechtigungsverwaltung auf SAP BTP
SAP BTP unterscheidet zwischen:
- Plattformbenutzer sind in der Regel Administratoren oder Operatoren (DevOps), die mit Cloud-Management-Tools arbeiten und Services auf SAP BTP implementieren, verwalten und Fehler beheben. Dies sind in der Regel Benutzer, die sich direkt am SAP-BTP-Cockpit anmelden und dort arbeiten. Dabei kann es sich auch um Entwickler handeln, die Services in Cloud-Foundry-Spaces verwenden.
- Anwendungsbenutzer verwenden die Geschäftsanwendungen, die auf SAP BTP implementiert sind. Beispielsweise sind die Endbenutzer einer deployten benutzerdefinierten Anwendung oder Benutzer abonnierter Apps oder Services wie SAP Business Application Studio Anwendungsbenutzer.
Plattformbenutzer auf SAP BTP
SAP BTP ist in globalen Konten auf der höchsten Ebene organisiert. Ein globales Konto spiegelt einen Vertrag mit SAP wider. Sie kann aus mehreren Verzeichnissen und/oder mehreren Unterkonten bestehen, die Benutzern verschiedene Anwendungen und Services bereitstellen. Weitere Ebenen sind für eine bessere Strukturierung und Organisation der Arbeit vorhanden. Wenn Sie beispielsweise zu viele Unterkonten in einem globalen Konto haben, können Sie Verzeichnisse anlegen, um sie zu strukturieren.
Unterkonten können bis zu drei Umgebungen haben: Cloud Foundry, Kyma oder ABAP Environment. Die Umgebungen ermöglichen die Entwicklung und Verwaltung von Geschäftsanwendungen mit verschiedenen Ansätzen und Tools basierend auf Ihrer Auswahl. Natürlich gibt es innerhalb der Umgebungen und deren Inhalte wie Laufzeit, Serviceinstanzen usw. auch Benutzer, die für die Bereitstellung von Zugriff und Berechtigungen erforderlich sind.
Jeder, der Funktionen von SAP BTP verwenden möchte, muss den spezifischen Berechtigungen über Rollen als Benutzer zugeordnet sein. Die Benutzerverwaltung erfolgt auf allen Ebenen vom globalen Konto über das Unterkonto und die Verzeichnisse bis hin zu den Umgebungen. Auf jeder Ebene benötigen Sie einen Administrator, der Ressourcen und die Benutzer auf diesen Ebenen verwaltet. Die Art und Weise der Verwaltung weist einige Unterschiede auf, je nachdem, auf welcher Ebene Sie sich befinden.
Benutzerverwaltung auf SAP BTP
Wenn ein Kunde einen Vertrag mit SAP unterzeichnet, wird ein Benutzer auf der Ebene des globalen Kontos angelegt. Auf dieser Ebene werden Anrechte definiert und Entitäten und Services einschließlich Fakturierungsinformationen zugeordnet. Der Administrator des globalen Kontos kann sich initial an SAP BTP anmelden, um diese Anrechte zu verwalten, und Verzeichnisse und Unterkonten anlegen. Um sicherzustellen, dass mehrere Mitarbeiter das globale Konto verwalten können, muss der Administrator weitere Benutzer auf Ebene des globalen Kontos anlegen und ihnen Administratorberechtigungen zuordnen.
Ein globales Konto besteht in der Regel aus verschiedenen Unterkonten. Wenn ein Administrator eines globalen Kontos ein Unterkonto anlegt, wird er automatisch zum Administrator des Unterkontos. Der Administrator des Unterkontos kann Anrechte und Serviceabonnements verwalten, andere Benutzer auf Unterkontoebene anlegen und den Benutzern Rollen zuordnen. Unterkontoadministratoren erhalten Administrationsberechtigungen nur für das Unterkonto, nicht für das globale Konto.
Unterkontoadministratoren legen auch Anwendungsbenutzer an. Anwendungsbenutzer sind Konsumenten von Anwendungen und Services, die auf SAP BTP (z.B. SAP Business Application Studio) oder Geschäftsanwendungen (SaaS) bereitgestellt werden, die mithilfe der von SAP BTP bereitgestellten Werkzeuge und Services angelegt wurden. Diese Benutzer können Zugriff auf SAP BTP haben, aber keine administrativen Aufgaben ausführen. Wenn ein Anwendungsbenutzer nur eine einzelne Anwendung auf SAP BTP verwendet, benötigt er nicht unbedingt Zugriff auf das SAP-BTP-Cockpit (d.h. das Unterkonto), sondern nur auf die Anwendung. In diesem Fall legt der Unterkontoadministrator den Benutzer auf Unterkontoebene an und ordnet dem Benutzer nur Anwendungsberechtigungen zu.
Rollen und Berechtigungen
Um verschiedene Funktionen von SAP BTP verwenden zu können, müssen Sie dafür berechtigt sein. Sie können Berechtigungen mithilfe von Rollen und Rollensammlungen konfigurieren.
Rollensammlungen
Rollensammlungen bestehen aus einzelnen Rollen, die Berechtigungen für Ressourcen und Services auf SAP BTP kombinieren. Eine Rollensammlung kann aus einer oder mehreren Rollen bestehen. Sie ordnen Rollensammlungen nur Benutzern zu, aber nicht einzelnen Rollen. Rollen und ihre Berechtigungen werden Benutzern automatisch über die Rollensammlungszuordnung bereitgestellt. Rollensammlungen werden auf jeder SAP-BTP-Ebene separat verwaltet. Rollensammlungen, die im globalen Konto vorhanden sind, sind in den Unterkonten nicht vorhanden. Ebenso sind Rollensammlungen in Unterkonten im globalen Konto nicht verfügbar.
SAP BTP liefert bereits einen vordefinierten Satz von Rollensammlungen für Plattformbenutzer und auch für Anwendungsbenutzer aus. Um den Administratorzugriff für Plattformbenutzer im globalen Konto, in Verzeichnissen, Unterkonten usw. einzurichten, ordnet ein vorhandener Administrator einer bestimmten Ebene auf SAP BTP anderen Plattformbenutzern vordefinierte Rollensammlungen zu.
Für Benutzer von Anwendungen, die auf SAP BTP abonniert werden können, gibt es auch vordefinierte Rollensammlungen, die nach dem Anwendungsabonnement verfügbar werden. Es ist auch möglich, benutzerdefinierte Rollensammlungen mit Rollen in anzulegen, die Berechtigungen für benutzerdefinierte Anwendungen erteilen, die auf SAP BTP deployt sind.
Rollen
Die Rollen werden aus den von Ihnen verwendeten SAP-BTP-Services und den Entwicklern bereitgestellt, die die Rollenvorlagen für die Services ausliefern. Wenn sie über den Service aktiviert ist, können Sie diese Rollenvorlagen anpassen. Für viele Szenarios ist dies nicht möglich, und Sie müssen die vom Service bereitgestellten Rollen verwenden und können damit beginnen, sie in Rollensammlungen zusammenzustellen und diese Rollensammlungen Benutzern zuzuordnen. Es ist auch möglich, dass die Entwickler eines Service Rollensammlungsvorlagen bereitstellen. Darüber hinaus können Sie jedoch immer eigene Rollensammlungen anlegen.
Weitere Informationen zum Zuordnen von Rollensammlungen
Notiz
Alle Benutzer von SAP BTP werden in Identity-Providern gespeichert. Wie Sie Benutzer ihren Berechtigungen zuordnen, hängt von der Art der Trust-Konfiguration mit dem Identity-Provider ab. Wenn Sie die Standard-Trust-Konfiguration mit dem SAP ID Service verwenden, ordnen Sie Benutzer direkt Rollensammlungen zu. Wenn Sie jedoch einen benutzerdefinierten Identity-Provider verwenden, können Sie Rollensammlungen direkt einzelnen Benutzern zuordnen, oder Sie ordnen Rollensammlungen Benutzergruppen oder anderen Benutzerattributen zu, die im Identity-Provider definiert sind. Dies wird als Föderation bezeichnet.
Der benutzerdefinierte Identity-Provider hostet Benutzer, die Benutzergruppen angehören können. Es ist effizient, die Föderation zu verwenden, indem Rollensammlungen einer oder mehreren Benutzergruppen zugeordnet werden. Die Rollensammlung enthält alle Berechtigungen, die für diese Benutzergruppe erforderlich sind. Diese Methode spart Zeit, wenn Sie einen neuen Anwendungsbenutzer hinzufügen. Fügen Sie die Benutzer einfach den entsprechenden Benutzergruppen hinzu, und die neuen Anwendungsbenutzer erhalten automatisch alle Berechtigungen, die in der Rollensammlung enthalten sind.
Wichtigste Erkenntnisse dieser Lektion
SAP BTP verfügt über integrierte Funktionen für die Verwaltung von Rollensammlungen und deren Zuordnung zu Plattformbenutzern oder Anwendungsbenutzern, die hauptsächlich die Anwendungen und Services nutzen. Plattformbenutzer in SAP BTP müssen auf Architekturebene mit globalen Konten, Verzeichnissen, Unterkonten und Spaces verwaltet und zugeordnet werden.