À mesure que les infrastructures informatiques deviennent de plus en plus complexes, le thème de la sécurité devient de plus en plus important. Votre entreprise doit gérer les utilisateurs de l'application (utilisateurs fonctionnels) et les utilisateurs de la plate-forme (administrateurs, opérateurs, etc.). Vous voulez affecter des rôles et des autorisations et créer une mise à disposition d'identités centrale avec SAP Cloud Identity Services. Toutes les API et interfaces utilisées ou intégrées doivent également être sécurisées.
Analyse de la gestion des utilisateurs et des autorisations dans SAP BTP
Objectives
After completing this lesson, you will be able to:
- Décrivez la gestion des utilisateurs dans SAP BTP.
- Décrivez la gestion des rôles et des autorisations dans SAP BTP.
Présentation de la gestion des utilisateurs et des autorisations
Gestion des utilisateurs et des autorisations dans SAP BTP
SAP BTP fait la distinction entre :
- Les utilisateurs de la plateforme sont généralement des administrateurs ou des opérateurs (DevOps) qui travaillent avec des outils de gestion Cloud et qui déploient, administrent et corrigent les erreurs sur SAP BTP. Il s'agit généralement d'utilisateurs qui se connectent directement au cockpit SAP BTP et y travaillent. Il peut également s'agir de développeurs qui travaillent et utilisent des services dans les espaces Cloud Foundry.
- Les utilisateurs fonctionnels utilisent les applications de gestion déployées sur SAP BTP. Par exemple, les utilisateurs finaux d'une application personnalisée déployée ou les utilisateurs d'applications ou de services souscrits, tels que SAP Business Application Studio, sont des utilisateurs fonctionnels.
Utilisateurs de plateforme sur SAP BTP
SAP BTP est organisé en comptes globaux au niveau le plus élevé. Un compte global est le reflet d'un contrat avec SAP. Il peut être constitué de plusieurs répertoires et/ou de plusieurs sous-comptes qui fournissent différentes applications et services aux utilisateurs. D'autres niveaux sont en place pour une meilleure structuration et organisation du travail. Par exemple, si vous avez trop de sous-comptes dans un compte global, vous pouvez créer des répertoires pour les structurer.
Les sous-comptes peuvent avoir jusqu'à trois environnements : Cloud Foundry, Kyma ou ABAP. Les environnements permettent le développement et l'administration d'applications de gestion avec différentes approches et outils en fonction de votre sélection. Bien sûr, dans les environnements et leur contenu, comme l'exécution, les instances de service, etc., il existe également des utilisateurs requis pour fournir l'accès et les autorisations.
Toute personne souhaitant utiliser les fonctionnalités de SAP BTP doit être affectée en tant qu'utilisateur aux autorisations spécifiques via des rôles. La gestion des utilisateurs s'effectue à tous les niveaux, du compte global aux environnements, en passant par le sous-compte et les répertoires. À chaque niveau, vous avez besoin d'un administrateur qui administre les ressources et les utilisateurs à ces niveaux. La façon d'administrer a quelques différences selon le niveau sur lequel vous vous trouvez.
Gestion des utilisateurs dans SAP BTP
Lorsqu'un client signe un contrat avec SAP, un utilisateur est créé au niveau du compte global. À ce niveau, les droits sont définis, en affectant des entités et des services, y compris les informations de facturation. L'administrateur du compte global peut initialement se connecter à SAP BTP pour gérer ces droits et créer des répertoires et des sous-comptes. Pour s'assurer que plusieurs employés peuvent administrer le compte global, l'administrateur doit créer d'autres utilisateurs au niveau du compte global et leur affecter des autorisations d'administrateur.
En règle générale, un compte global est constitué de différents sous-comptes. Lorsqu'un administrateur de compte global crée un sous-compte, il devient automatiquement l'administrateur du sous-compte. L'administrateur de sous-compte peut gérer les droits, l'abonnement au service, créer d'autres utilisateurs au niveau du sous-compte et affecter des rôles aux utilisateurs. Les administrateurs de sous-compte obtiennent des autorisations d'administration pour le sous-compte uniquement, et non pour le compte global.
Les administrateurs de sous-comptes créent également des utilisateurs fonctionnels. Les utilisateurs fonctionnels sont des consommateurs d'applications et de services fournis sur SAP BTP (par exemple : SAP Business Application Studio) ou des applications de gestion (SaaS) qui ont été créées à l'aide des outils et services fournis par SAP BTP. Ces utilisateurs peuvent avoir accès à SAP BTP, mais ils ne peuvent pas effectuer de tâches administratives. Si un utilisateur fonctionnel utilise une seule application sur SAP BTP, il n'a pas nécessairement besoin d'accéder au cockpit SAP BTP (c'est-à-dire au sous-compte), mais à l'application uniquement. Dans ce cas, l'administrateur du sous-compte crée l'utilisateur au niveau d'un sous-compte et affecte uniquement des autorisations d'application à l'utilisateur.
En savoir plus
Pour en savoir plus sur l'utilisation des utilisateurs dans SAP BTP, consultez la documentation officielle.
Rôles et autorisations
Pour utiliser différentes fonctions de SAP BTP, vous devez disposer des autorisations nécessaires. Vous pouvez configurer des autorisations à l'aide de rôles et de collections de rôles.
Collections de rôles
Les collections de rôles sont constituées de rôles individuels qui combinent des autorisations pour les ressources et les services sur SAP BTP. Une collection de rôles peut comprendre un ou plusieurs rôles. Vous affectez uniquement des collections de rôles aux utilisateurs, mais pas des rôles individuels. Les rôles et leurs autorisations sont fournis automatiquement aux utilisateurs via l'affectation de collections de rôles. Les collections de rôles sont gérées séparément à chaque niveau SAP BTP. Les collections de rôles qui existent dans le compte global n'existent pas dans les sous-comptes. De même, les collections de rôles dans les sous-comptes ne sont pas disponibles dans le compte global.
SAP BTP fournit déjà un ensemble prédéfini de collections de rôles pour les utilisateurs de la plate-forme et également pour les utilisateurs des applications. Pour configurer l'accès administrateur pour les utilisateurs de la plate-forme dans le compte global, les répertoires, les sous-comptes, etc., un administrateur existant d'un certain niveau dans SAP BTP affecte des collections de rôles prédéfinies à d'autres utilisateurs de la plate-forme.
Pour les utilisateurs des applications qui peuvent s'abonner à SAP BTP, il existe également des collections de rôles prédéfinies qui sont disponibles après l'abonnement à l'application. Il est également possible de créer des collections de rôles personnalisées avec des rôles dans qui donnent des autorisations pour les applications personnalisées déployées sur SAP BTP.
Rôles
Les rôles sont fournis par les services SAP BTP que vous utilisez et les développeurs fournissent les modèles de rôle pour les services. Lorsqu'il est activé à partir du service, il est possible de personnaliser ces modèles de rôle. Pour un grand nombre de scénarios, cela n'est pas possible et vous devez utiliser les rôles fournis par le service. Vous pouvez commencer à les composer dans des collections de rôles et à affecter ces collections de rôles aux utilisateurs. Il est également possible que les développeurs d'un service fournissent des modèles de collection de rôles, mais en plus, vous pouvez toujours créer vos propres collections de rôles.
Plus d'informations sur l'affectation de collections de rôles
Remarque
Tous les utilisateurs de SAP BTP sont stockés dans des fournisseurs d'identités. La manière dont vous affectez des utilisateurs à leurs autorisations dépend du type de configuration de confiance avec le fournisseur d'identités. Si vous utilisez la configuration de confiance par défaut avec le service SAP ID, vous affectez des utilisateurs directement aux collections de rôles. Cependant, si vous utilisez un fournisseur d'identités personnalisé, vous pouvez affecter directement des collections de rôles à des utilisateurs individuels ou mapper des collections de rôles sur des groupes d'utilisateurs ou d'autres attributs utilisateur définis dans le fournisseur d'identités. C'est ce qu'on appelle la fédération.
Le fournisseur d'identités personnalisé héberge des utilisateurs qui peuvent appartenir à des groupes d'utilisateurs. Il est efficace d'utiliser la fédération en affectant des collections de rôles à un ou plusieurs groupes d'utilisateurs. La collection de rôles contient toutes les autorisations nécessaires pour ce groupe d'utilisateurs. Cette méthode permet de gagner du temps lorsque vous ajoutez un nouvel utilisateur fonctionnel. Il vous suffit d'ajouter les utilisateurs aux groupes d'utilisateurs respectifs et les nouveaux utilisateurs fonctionnels obtiennent automatiquement toutes les autorisations incluses dans la collection de rôles.
En savoir plus
Pour en savoir plus, voir Affectation de collections de rôles.
Notions clés à retenir de cette leçon
SAP BTP dispose de fonctionnalités intégrées pour gérer les collections de rôles et les affecter aux utilisateurs de la plate-forme ou aux utilisateurs fonctionnels qui utilisent principalement les applications et les services. Les utilisateurs de plate-forme dans SAP BTP doivent être gérés et affectés au niveau de l'architecture avec des comptes globaux, des répertoires, des sous-comptes et des espaces.