A medida que los entornos de TI se vuelven cada vez más complejos, el tema de la seguridad se vuelve más importante. Su empresa debe gestionar usuarios de la aplicación (usuarios empresariales) y usuarios de la plataforma (administradores, operadores, etc.). Desea asignar roles y autorizaciones y crear un aprovisionamiento de identidad central con SAP Cloud Identity Services. Todas las API e interfaces que se utilizan o integran también deben estar seguras.
Análisis de la gestión de usuarios y autorizaciones en SAP BTP
Objectives
After completing this lesson, you will be able to:
- Describa la gestión de usuarios en SAP BTP.
- Describa la gestión de roles y autorizaciones en SAP BTP.
Introducción empresarial a Gestión de usuarios y autorizaciones
Gestión de usuarios y autorizaciones en SAP BTP
SAP BTP distingue entre:
- Los usuarios de la plataforma suelen ser administradores u operadores (DevOps) que trabajan con herramientas de gestión en la nube e implementan, administran y solucionan problemas de servicios en SAP BTP. Suelen ser usuarios que inician sesión directamente en el cockpit de SAP BTP y trabajan allí. También pueden ser desarrolladores que trabajan y utilizan servicios en espacios de Cloud Foundry.
- Los usuarios empresariales utilizan las aplicaciones empresariales que se despliegan en SAP BTP. Por ejemplo, los usuarios finales de una aplicación personalizada desplegada o los usuarios de aplicaciones o servicios suscritos, como SAP Business Application Studio, son usuarios empresariales.
Usuarios de plataforma en SAP BTP
SAP BTP se organiza en cuentas globales en el nivel más alto. Una cuenta global es un reflejo de un contrato con SAP. Puede constar de varios directorios y/o varias subcuentas que proporcionan diferentes aplicaciones y servicios a los usuarios. Existen más niveles para una mejor estructuración y organización del trabajo. Por ejemplo, si tiene demasiadas subcuentas en una cuenta global, puede crear directorios para estructurarlas.
Las subcuentas pueden tener hasta tres entornos: Cloud Foundry, Kyma o ABAP. Los entornos permiten el desarrollo y la administración de aplicaciones empresariales con diferentes enfoques y herramientas en función de su selección. Por supuesto, dentro de los entornos y su contenido, como el tiempo de ejecución, las instancias de servicio, etc., también hay usuarios necesarios para proporcionar acceso y autorizaciones.
Cualquier persona que desee utilizar las capacidades de SAP BTP debe estar asignada como usuario a las autorizaciones específicas mediante roles. La gestión de usuarios tiene lugar en todos los niveles, desde la cuenta global hasta los directorios y las subcuentas hasta los entornos. En cada nivel, necesita un administrador, que administre los recursos y los usuarios en esos niveles. La forma de administrar tiene algunas diferencias en función del nivel en el que se encuentre.
Gestión de usuarios en SAP BTP
Cuando un cliente firma un contrato con SAP, se crea un usuario a nivel de cuenta global. En este nivel, se definen los derechos, asignando entidades y servicios, incluida la información de facturación. El administrador de cuentas globales puede iniciar sesión inicialmente en SAP BTP para gestionar estos derechos y crear directorios y subcuentas. Para garantizar que más de un empleado pueda administrar la cuenta global, el administrador debe crear otros usuarios a nivel de cuenta global y asignarles permisos de administrador.
Normalmente, una cuenta global consta de varias subcuentas. Cuando un administrador de cuentas globales crea una subcuenta, se convierte automáticamente en el administrador de la subcuenta. El administrador de subcuentas puede gestionar derechos, suscripciones a servicios, crear otros usuarios a nivel de subcuenta y asignar roles a los usuarios. Los administradores de subcuentas obtienen autorizaciones de administración solo para la subcuenta, no para la cuenta global.
Los administradores de subcuentas también crean usuarios empresariales. Los usuarios empresariales son consumidores de aplicaciones y servicios que se proporcionan en SAP BTP (por ejemplo: SAP Business Application Studio) o aplicaciones empresariales (SaaS) que se han creado con la ayuda de las herramientas y los servicios proporcionados por SAP BTP. Estos usuarios pueden tener acceso a SAP BTP, pero no pueden realizar ninguna tarea administrativa. Si un usuario empresarial solo utiliza una única aplicación en SAP BTP, no necesariamente requiere acceso al cockpit de SAP BTP (es decir, la subcuenta), sino solo a la aplicación. En este caso, el administrador de subcuentas crea el usuario en un nivel de subcuenta y solo asigna autorizaciones de aplicación al usuario.
Más información
Obtenga más información sobre cómo trabajar con usuarios en SAP BTP en la documentación oficial.
Roles y autorizaciones
Para utilizar diferentes funciones de SAP BTP, debe tener autorización para ello. Puede configurar autorizaciones mediante roles y colecciones de roles.
Colecciones de roles
Las colecciones de roles constan de roles individuales que combinan autorizaciones para recursos y servicios en SAP BTP. Una colección de roles puede constar de uno o varios roles. Solo asigna colecciones de roles a usuarios, pero no a roles individuales. Los roles y sus autorizaciones se proporcionan automáticamente a los usuarios mediante la asignación de colección de roles. Las colecciones de roles se gestionan en cada nivel de SAP BTP por separado. Las colecciones de roles que existen en la cuenta global no existen en las subcuentas. Del mismo modo, las colecciones de roles en subcuentas no están disponibles en la cuenta global.
SAP BTP ya proporciona un conjunto predefinido de colecciones de roles para los usuarios de la plataforma y también para los usuarios de la aplicación. Para configurar el acceso de administrador para los usuarios de la plataforma en la cuenta global, directorios, subcuentas, etc., un administrador existente de un determinado nivel en SAP BTP asigna colecciones de roles predefinidas a otros usuarios de la plataforma.
Para los usuarios de aplicaciones que se pueden suscribir en SAP BTP, también hay colecciones de roles predefinidas que están disponibles después de la suscripción a la aplicación. También es posible crear colecciones de roles personalizados con roles dentro de que concedan permisos para aplicaciones personalizadas desplegadas en SAP BTP.
Roles
Los roles se proporcionan desde los servicios de SAP BTP que utiliza y los desarrolladores que suministran los modelos de rol para los servicios. Cuando se habilita desde el servicio, es posible personalizar estas plantillas de rol. Para muchos escenarios, esto no es posible y debe ir a los roles proporcionados por el servicio y puede empezar a componerlos en colecciones de roles y asignar estas colecciones de roles a los usuarios. También es posible que los desarrolladores de un servicio proporcionen modelos de colección de roles, pero además, siempre puede crear sus propias colecciones de roles.
Más información para asignar colecciones de roles
Nota
Todos los usuarios de SAP BTP se almacenan en proveedores de identidades. La forma en que asigne usuarios a sus autorizaciones dependerá del tipo de configuración de confianza con el proveedor de identidades. Si utiliza la configuración de confianza predeterminada con el servicio SAP ID, asigne usuarios directamente a las colecciones de roles. Sin embargo, si utiliza un proveedor de identidades personalizado, puede asignar colecciones de roles a usuarios individuales directamente o asignar colecciones de roles a grupos de usuarios u otros atributos de usuario definidos en el proveedor de identidades. Esto se denomina federación.
El proveedor de identidades personalizado aloja a los usuarios que pueden pertenecer a grupos de usuarios. Es eficiente utilizar la federación asignando colecciones de roles a uno o más grupos de usuarios. La colección de roles contiene todas las autorizaciones necesarias para este grupo de usuarios. Este método ahorra tiempo al añadir un nuevo usuario empresarial. Simplemente añada los usuarios a los respectivos grupos de usuarios y los nuevos usuarios empresariales obtendrán automáticamente todas las autorizaciones que se incluyen en la colección de roles.
Más información
Encontrará más información en Asignación de colecciones de roles.
Conclusiones clave de esta lección
SAP BTP tiene funcionalidades integradas para gestionar colecciones de roles y asignarlas a usuarios de la plataforma o a usuarios empresariales que consumen principalmente las aplicaciones y los servicios. Los usuarios de la plataforma dentro de SAP BTP deben gestionarse y asignarse a nivel de arquitectura con cuentas globales, directorios, subcuentas y espacios.