IT 랜드스케이프가 점점 더 복잡해짐에 따라 보안이라는 주제가 더욱 중요해지고 있습니다. 회사에서 어플리케이션 사용자(비즈니스 사용자)와 플랫폼 사용자(관리자, 운영자 등)를 관리해야 합니다. SAP Cloud Identity Services를 사용하여 역할과 권한을 지정하고 통합 ID 프로비저닝을 작성하려고 합니다. 사용되거나 통합된 모든 API와 인터페이스도 보호되어야 합니다.
SAP BTP에서 사용자 및 권한 관리 분석
Objectives
After completing this lesson, you will be able to:
- SAP BTP에서의 사용자 관리를 설명합니다.
- SAP BTP의 역할 및 권한 관리를 설명합니다.
사용자 및 권한 관리에 대한 비즈니스 소개
SAP BTP의 사용자 및 권한 관리
SAP BTP는 다음을 구분합니다.
- 플랫폼 사용자는 일반적으로 SAP BTP에서 클라우드 관리 툴을 사용하고 서비스를 배포, 관리, 해결하는 관리자 또는 운영자(DevOps)입니다. 일반적으로 SAP BTP 콕피트에 직접 로그온하여 SAP BTP 콕피트에서 작업하는 사용자입니다. Cloud Foundry 공간에서 서비스를 사용하고 사용하는 개발자가 될 수도 있습니다.
- 비즈니스 사용자는 SAP BTP에 배포된 비즈니스 어플리케이션을 사용합니다. 예를 들어, 배포된 사용자 정의 어플리케이션의 최종 사용자 또는 SAP Business Application Studio와 같은 구독 앱 또는 서비스의 사용자는 비즈니스 사용자입니다.
SAP BTP의 플랫폼 사용자
SAP BTP는 최상위 레벨의 글로벌 계정으로 구성됩니다. 글로벌 계정은 SAP와의 계약을 반영한 것입니다. 사용자에게 서로 다른 어플리케이션과 서비스를 제공하는 여러 디렉토리 및/또는 여러 하위 계정으로 구성될 수 있습니다. 더 나은 구조화와 업무 구성을 위해 더 많은 수준이 마련되어 있습니다. 예를 들어 글로벌 계정에 하위 계정이 너무 많은 경우 디렉토리를 생성하여 구조화할 수 있습니다.
하위 계정에는 Cloud Foundry, Kyma 또는 ABAP 환경의 최대 세 가지 환경이 있을 수 있습니다. 이 환경에서는 사용자의 선택에 따라 다양한 접근 방식과 툴을 사용하여 비즈니스 어플리케이션을 개발하고 관리할 수 있습니다. 물론 런타임, 서비스 인스턴스 등과 같은 환경 및 해당 컨텐트 내부에는 액세스 및 권한을 제공하는 데 필요한 사용자도 있습니다.
SAP BTP 기능을 사용하려는 사람은 누구나 역할을 통해 특정 권한에 사용자로 지정되어야 합니다. 사용자 관리는 하위 계정과 디렉토리를 통해 글로벌 계정에서 환경까지 모든 레벨에서 수행됩니다. 각 레벨에는 리소스 및 해당 레벨의 사용자를 관리하는 관리자가 필요합니다. 관리 방법은 현재 사용 중인 레벨에 따라 몇 가지 차이가 있습니다.
SAP BTP의 사용자 관리
고객이 SAP와 계약에 서명하면 한 명의 사용자가 글로벌 계정 레벨에서 생성됩니다. 이 레벨에서 인타이틀먼트는 청구 정보를 포함하여 엔티티와 서비스를 지정하여 정의됩니다. 글로벌 계정 관리자는 처음에 SAP BTP에 로그온하여 이러한 인타이틀먼트를 관리하고 디렉토리와 하위 계정을 생성할 수 있습니다. 두 명 이상의 직원이 글로벌 계정을 관리할 수 있도록 하려면 관리자가 글로벌 계정 레벨에서 다른 사용자를 생성하고 관리자 권한을 지정해야 합니다.
일반적으로 글로벌 계정은 다양한 하위 계정으로 구성됩니다. 글로벌 계정 관리자가 하위 계정을 생성하면 자동으로 하위 계정의 관리자가 됩니다. 하위 계정 관리자는 인타이틀먼트, 서비스 구독을 관리하고, 하위 계정 레벨에서 다른 사용자를 생성하고, 사용자에게 역할을 지정할 수 있습니다. 하위 계정 관리자는 글로벌 계정이 아닌 하위 계정에 대한 관리 권한만 가져옵니다.
하위 계정 관리자도 비즈니스 사용자를 생성합니다. 비즈니스 사용자는 SAP BTP에서 제공되는 툴과 서비스의 도움으로 생성된 어플리케이션 및 서비스(예: SAP Business Application Studio) 또는 비즈니스 어플리케이션(SaaS)의 소비자입니다. 이러한 사용자는 SAP BTP에 액세스할 수 있지만 관리 태스크를 수행할 수는 없습니다. 비즈니스 사용자가 SAP BTP에서 단일 어플리케이션만 사용하는 경우 SAP BTP 콕피트(하위 계정)에 액세스할 필요가 없으며 어플리케이션에만 액세스할 수 있습니다. 이 경우 하위 계정 관리자는 하위 계정 레벨에서 사용자를 생성하고 사용자에게 어플리케이션 권한만 지정합니다.
자세한 정보
공식 문서에서 SAP BTP의 사용자로 작업하는 방법에 대해 자세히 알아보십시오.
역할 및 권한
SAP BTP의 다양한 기능을 사용하려면 해당 기능에 대한 권한이 있어야 합니다. 역할 및 역할 컬렉션을 사용하여 권한을 구성할 수 있습니다.
역할 컬렉션
역할 컬렉션은 SAP BTP의 리소스와 서비스에 대한 권한을 결합하는 개별 역할로 구성됩니다. 역할 컬렉션은 하나 이상의 역할로 구성될 수 있습니다. 역할 컬렉션은 사용자에게만 지정하고 개별 역할에는 지정하지 않습니다. 역할과 해당 권한은 역할 컬렉션 지정을 통해 사용자에게 자동으로 제공됩니다. 역할 컬렉션은 각 SAP BTP 레벨에서 개별적으로 관리됩니다. 글로벌 계정에 존재하는 역할 컬렉션이 하위 계정에 존재하지 않습니다. 마찬가지로 하위 계정의 역할 컬렉션은 글로벌 계정에서 사용할 수 없습니다.
SAP BTP는 플랫폼 사용자와 어플리케이션 사용자를 위한 사전 정의된 역할 컬렉션 세트를 이미 제공합니다. 글로벌 계정, 디렉토리, 하위 계정 등에서 플랫폼 사용자에 대한 관리자 액세스를 설정하려면 SAP BTP에서 특정 레벨의 기존 관리자가 다른 플랫폼 사용자에게 사전 정의된 역할 컬렉션을 지정합니다.
SAP BTP에서 구독할 수 있는 어플리케이션 사용자의 경우 사전 정의된 역할 컬렉션도 있습니다. 이 역할 컬렉션은 어플리케이션 구독 후에 사용할 수 있습니다. SAP BTP에 배포된 사용자 정의 어플리케이션에 대한 권한을 부여하는 내부 역할이 있는 사용자 정의 역할 컬렉션을 생성할 수도 있습니다.
개의 역할
역할은 사용하는 SAP BTP 서비스와 서비스의 역할 템플릿을 제공하는 개발자로부터 제공됩니다. 서비스에서 활성화하면 이러한 역할 템플릿을 커스터마이즈할 수 있습니다. 많은 시나리오에서 수행할 수 없으며 서비스에서 제공하는 역할로 이동해야 하며 역할 컬렉션으로 구성을 시작하고 이러한 역할 컬렉션을 사용자에게 지정할 수 있습니다. 서비스의 개발자가 역할 컬렉션 템플릿을 제공할 수도 있지만, 그 외에도 언제든지 고유한 역할 컬렉션을 생성할 수 있습니다.
역할 컬렉션 지정을 위한 추가 정보
노트
SAP BTP의 모든 사용자는 ID 프로바이더에 저장됩니다. 권한에 사용자를 지정하는 방법은 ID 프로바이더와의 트러스트 구성 유형에 따라 달라집니다. SAP ID 서비스를 통해 기본 트러스트 구성을 사용하는 경우 역할 컬렉션에 사용자를 직접 지정합니다. 그러나 사용자 정의 ID 프로바이더를 사용하는 경우 개별 사용자에게 역할 컬렉션을 직접 지정하거나, ID 프로바이더에 정의된 사용자 그룹 또는 기타 사용자 특성에 역할 컬렉션을 매핑할 수 있습니다. 이를 페더레이션 이라고 합니다.
사용자 정의 ID 프로바이더는 사용자 그룹에 속할 수 있는 사용자를 호스팅합니다. 역할 컬렉션을 하나 이상의 사용자 그룹에 지정하여 페더레이션을 사용하는 것이 효율적입니다. 역할 컬렉션에는 이 사용자 그룹에 필요한 모든 권한이 포함되어 있습니다. 이 방법을 사용하면 신규 비즈니스 사용자를 추가할 때 시간이 절약됩니다. 각 사용자 그룹에 사용자를 추가하면 신규 비즈니스 사용자는 역할 컬렉션에 포함된 모든 권한을 자동으로 가져옵니다.
자세한 정보
이 소단원의 핵심 요점
SAP BTP에는 역할 컬렉션을 관리하고 플랫폼 사용자 또는 주로 어플리케이션과 서비스를 사용하는 비즈니스 사용자에게 역할 컬렉션을 지정하는 기능이 기본 제공됩니다. SAP BTP 내부 플랫폼 사용자는 글로벌 계정, 디렉토리, 하위 계정 및 공간을 사용하여 아키텍처 레벨에서 관리하고 지정해야 합니다.