IT ランドスケープがますます複雑になるにつれ、セキュリティのトピックの重要性が高まります。会社は、アプリケーションユーザ (ビジネスユーザ) およびプラットフォームユーザ (管理者、オペレータなど) を管理する必要があります。 ロールおよび権限を割り当て、SAP Cloud Identity Services によるセントラル ID プロビジョニングを構築します。使用または統合されたすべての API およびインタフェースも保護する必要があります。
SAP BTP でのユーザおよび権限管理の分析
Objectives
After completing this lesson, you will be able to:
- SAP BTP でのユーザ管理について説明します。
- SAP BTP でのロールおよび権限管理について説明します。
ユーザおよび権限管理のビジネス概要
SAP BTP でのユーザおよび権限管理
SAP BTP では、以下が区別されます。
- プラットフォームユーザは、通常、クラウド管理ツールを使用し、SAP BTP でサービスをデプロイ、管理、およびトラブルシューティングする管理者またはオペレータ (DevOps) です。通常、これらは SAP BTP コックピットに直接ログオンし、そこで作業するユーザです。これらは、Cloud Foundry 領域でサービスを使用および使用する開発者である場合もあります。
- ビジネスユーザは、SAP BTP にデプロイされるビジネスアプリケーションを使用します。たとえば、デプロイされたカスタムアプリケーションのエンドユーザや、サブスクライブしたアプリまたはサービス (SAP Business Application Studio など) のユーザはビジネスユーザです。
SAP BTP のプラットフォームユーザ
SAP BTP は、最上位レベルのグローバルアカウントで編成されます。グローバルアカウントは、SAP との契約を反映したものです。これは、ユーザに異なるアプリケーションおよびサービスを提供する複数のディレクトリやサブアカウントで構成できます。作業の構造化および編成を改善するために、さらにレベルが設けられています。たとえば、グローバルアカウント内のサブアカウントが多すぎる場合は、ディレクトリを作成して構造化できます。
サブアカウントには、Cloud Foundry、Kyma、または ABAP 環境の最大 3 つの環境があります。環境により、選択に基づいてさまざまなアプローチおよびツールを使用して、ビジネスアプリケーションを開発および管理することができます。もちろん、ランタイムやサービスインスタンスなどの環境とそのコンテンツには、アクセス権および権限を提供するために必要なユーザも存在します。
SAP BTP の機能を使用するすべてのユーザは、ロールを介して特定の権限にユーザとして割り当てる必要があります。ユーザ管理は、グローバルアカウントからサブアカウント、およびディレクトリから環境までのすべてのレベルで行われます。各レベルには、リソースとそれらのレベルのユーザを管理する管理者が必要です。管理方法は、使用しているレベルに応じて多少異なります。
SAP BTP でのユーザ管理
カスタマが SAP との契約に署名すると、グローバルアカウントレベルで 1 人のユーザが作成されます。このレベルでは、エンタイトルメントが定義され、請求情報を含むエンティティおよびサービスが割り当てられます。グローバルアカウント管理者は、最初に SAP BTP にログオンしてこれらの権限を管理し、ディレクトリおよびサブアカウントを作成できます。複数の従業員がグローバルアカウントを管理できるようにするには、管理者がグローバルアカウントレベルで他のユーザを作成し、そのユーザに管理者権限を割り当てる必要があります。
通常、グローバルアカウントはさまざまなサブアカウントで構成されます。グローバルアカウント管理者がサブアカウントを作成すると、自動的にそのサブアカウントの管理者になります。サブアカウント管理者は、権限、サービスサブスクリプションの管理、サブアカウントレベルでの他のユーザの作成、およびユーザへのロールの割当が可能です。サブアカウント管理者は、グローバルアカウントではなく、サブアカウントの管理権限のみを取得します。
サブアカウント管理者は、ビジネスユーザも作成します。ビジネスユーザは、SAP BTP で提供されるツールおよびサービスを使用して作成された、SAP BTP (SAP Business Application Studio など) またはビジネスアプリケーション (SaaS) で提供されるアプリケーションおよびサービスのコンシューマです。これらのユーザは SAP BTP にアクセスできますが、管理タスクは実行できません。ビジネスユーザが SAP BTP で単一のアプリケーションのみを使用する場合、SAP BTP コックピット (つまり、サブアカウント) へのアクセスは必ずしも必要ではなく、アプリケーションのみにアクセスする必要があります。この場合、サブアカウント管理者はサブアカウントレベルでユーザを作成し、そのユーザにアプリケーション権限のみを割り当てます。
ロールおよび権限
SAP BTP のさまざまな機能を使用するには、それに対する権限が必要です。権限は、ロールおよびロールコレクションを使用して設定できます。
ロールコレクション
ロールコレクションは、SAP BTP のリソースとサービスの権限を組み合わせた個別のロールで構成されます。ロールコレクションは、1 つまたは複数のロールで構成されます。ロールコレクションをユーザに割り当てるだけで、個別のロールを割り当てることはできません。ロールとその権限は、ロールコレクションの割当によってユーザに自動的に提供されます。ロールコレクションは、各 SAP BTP レベルで個別に管理されます。グローバルアカウントに存在するロールコレクションは、サブアカウントには存在しません。同様に、サブアカウントのロールコレクションは、グローバルアカウントでは使用できません。
SAP BTP では、プラットフォームユーザおよびアプリケーションユーザ向けに事前定義されたロールコレクションのセットがすでに提供されています。グローバルアカウント、ディレクトリ、サブアカウントなどでプラットフォームユーザの管理者アクセスを設定するために、SAP BTP の特定のレベルの既存の管理者が、事前定義されたロールコレクションを他のプラットフォームユーザに割り当てます。
SAP BTP でサブスクライブできるアプリケーションのユーザの場合、アプリケーションのサブスクリプション後に利用可能になる事前定義済ロールコレクションもあります。また、内のロールを使用してカスタムロールコレクションを作成し、SAP BTP にデプロイされたカスタムアプリケーションに対して権限を付与することもできます。
ロール
ロールは、使用する SAP BTP サービス、およびサービス用のロールテンプレートを提供する開発者から提供されます。サービスから有効化されている場合は、これらのロールテンプレートをカスタマイズすることができます。多くのシナリオでは、これが不可能であるため、サービスで提供されるロールを使用する必要があり、ロールコレクションへのロールの構築を開始し、これらのロールコレクションをユーザに割り当てることができます。また、サービスの開発者がロールコレクションテンプレートを提供することもできますが、それに加えて、独自のロールコレクションをいつでも作成できます。
ロールコレクションの割当に関する追加情報
注記
SAP BTP のすべてのユーザは、アイデンティティプロバイダに保存されます。ユーザをその権限に割り当てる方法は、アイデンティティプロバイダとのトラスト設定のタイプによって異なります。SAP ID サービスによるデフォルトのトラスト設定を使用している場合は、ユーザをロールコレクションに直接割り当てます。ただし、カスタムアイデンティティプロバイダを使用している場合は、ロールコレクションを個別のユーザに直接割り当てたり、ロールコレクションをアイデンティティプロバイダで定義されたユーザグループまたはその他のユーザ属性にマッピングしたりすることができます。これは連携と呼ばれます。
カスタムアイデンティティプロバイダは、ユーザグループに属できるユーザをホストします。ロールコレクションを 1 つまたは複数のユーザグループに割り当てることで、連携を使用するのが効率的です。ロールコレクションには、このユーザグループに必要なすべての権限が含まれています。この方法により、新規ビジネスユーザを追加する際に時間を節約できます。ユーザをそれぞれのユーザグループに追加するだけで、新しいビジネスユーザは、ロールコレクションに含まれるすべての権限を自動的に取得します。
このレッスンの主なポイント
SAP BTP には、ロールコレクションを管理し、それらをプラットフォームユーザ、または主にアプリケーションおよびサービスを使用するビジネスユーザに割り当てるための機能が組み込まれています。SAP BTP 内のプラットフォームユーザは、グローバルアカウント、ディレクトリ、サブアカウント、および領域を使用してアーキテクチャレベルで管理および割り当てる必要があります。