分析 SAP BTP 上的用户和权限管理

Objectives

After completing this lesson, you will be able to:
  • 描述 SAP BTP 上的用户管理。
  • 描述 SAP BTP 上的角色和权限管理。

用户和权限管理业务简介

随着 IT 架构变得越来越复杂,安全主题变得越来越重要。您的公司必须管理应用程序用户(业务用户)和平台用户(管理员、操作员等)。  您想要分配角色和权限并使用 SAP Cloud Identity Services 构建中央身份配置。使用或集成的所有 API 和接口也需要受到保护。

SAP BTP 上的用户和权限管理

SAP BTP 上的用户和权限管理

SAP BTP 区分:

  • 平台用户通常是管理员或操作员 (DevOps),他们使用云管理工具并在 SAP BTP 上部署、管理和排除服务故障。这些通常是直接登录 SAP BTP 主控室并在其中工作的用户。这些还可以是在 Cloud Foundry 空间中工作和使用服务的开发人员。
  • 业务用户使用在 SAP BTP 上部署的业务应用程序。例如,已部署自定义应用程序的最终用户或已租用应用或服务(例如 SAP Business Application Studio)的用户是业务用户。

SAP BTP 上的平台用户

SAP BTP 上的平台用户概览

SAP BTP 在最高级别的全局账户中进行组织。全局账户是与 SAP 签订合同的反映。它可以包含多个目录和/或多个子账户,为用户提供不同的应用程序和服务。为了更好地安排工作和安排工作,有了更多的层次。例如,如果全局账户中的子账户过多,则可以创建目录来对其进行构建。

子账户最多可以有三个环境:Cloud Foundry、Kyma 或 ABAP 环境。环境允许根据您的选择,使用不同的方法和工具开发和管理业务应用程序。当然,在环境内部及其内容(例如运行时、服务实例等)内部还有提供访问和权限所需的用户。

任何想要使用 SAP BTP 功能的人都必须通过 角色以用户身份分配到特定权限。用户管理在所有级别进行,从全局账户到子账户和目录到环境。在每个级别,您需要一个管理员,该管理员在这些级别上管理资源和用户。管理方式因您所处的级别而有所不同。

SAP BTP 上的用户管理

SAP BTP 上的用户管理,全局视图

当客户与 SAP 签署合同时,将在全局账户级别创建一个用户。在此级别,定义权益,分配实体和服务,包括开票信息。全局账户管理员最初可以登录 SAP BTP 来管理这些权利,并创建目录和子账户。为确保多个员工可以管理全局账户,管理员需要在全局账户级别创建其他用户并为其分配管理员权限。

通常,全局账户由各种子账户组成。全局账户管理员创建子账户时,他们会自动成为子账户的管理员。子账户管理员可以管理权利、服务租用、在子账户级别创建其他用户并将角色分配给用户。子账户管理员仅获取子账户的管理权限,而不是全局账户的管理权限。

子账户管理员还会创建业务用户。业务用户是在 SAP BTP 上提供的应用程序和服务(例如:SAP Business Application Studio)或借助 SAP BTP 提供的工具和服务创建的业务应用程序 (SaaS) 的使用者。这些用户可以访问 SAP BTP,但无法执行任何管理任务。如果业务用户仅使用 SAP BTP 上的单个应用程序,则他们不一定需要访问 SAP BTP 主控室(即子账户),而只需要访问 应用程序。在这种情况下,子账户管理员在子账户级别创建用户,并且仅向用户分配应用程序权限。

了解更多

有关在 SAP BTP 中使用用户的详细信息,请参阅官方文档

角色和权限

该图说明了用户、角色和角色集合之间的关系。

要使用 SAP BTP 的不同功能,您需要获得授权。您可以使用角色和角色集合配置权限。

角色集合

角色集合由组合了 SAP BTP 上资源和服务的权限的单个角色组成。角色集合可以包含一个或多个角色。只为用户分配角色集合,不分配单个角色。通过角色集合分配自动向用户提供角色及其权限。角色集合在每个 SAP BTP 级别单独管理。全局账户中存在的角色集合在子账户中不存在。同样,子账户中的角色集合在全局账户中不可用。

SAP BTP 已经为平台用户和应用程序用户提供一组预定义的角色集合。要为全局账户、目录、子账户等中的平台用户设置管理员访问权限,SAP BTP 上特定级别的现有管理员会将预定义的角色集合分配给其他平台用户。

对于可以在 SAP BTP 上租用的应用程序的用户,还存在可在应用程序租用后使用的预定义角色集合。还可以使用 中的角色创建自定义角色集合,为部署在 SAP BTP 上的自定义应用程序提供权限。

角色

这些角色由您使用的 SAP BTP 服务和为 服务提供角色模板的开发人员提供。从 服务启用后,可以定制这些角色模板。对于许多场景,无法执行此操作,您需要使用服务提供的角色,并且可以开始将其撰写到角色集合并将这些角色集合分配给用户。来自服务的开发人员也可能提供角色集合模板,但除此之外,您还可以始终创建自己的角色集合。

有关分配角色集合的详细信息

注意

SAP BTP 的所有用户都存储在身份提供者中。如何将用户分配到权限,取决于身份提供者的信任配置类型。如果将缺省信任配置与 SAP ID 服务结合使用,则直接将用户分配到角色集合。但是,如果您使用自定义身份提供者,则可以直接将角色集合分配给单个用户,或将角色集合映射到身份提供者中定义的用户组或其他用户属性。这称为联合。

自定义身份提供者托管可以属于用户组的用户。将角色集合分配到一个或多个用户组是高效的使用联合。角色集合包含此用户组所需的所有权限。此方法可节省添加新业务用户的时间。只需将用户添加到相应的用户组,新业务用户即可自动获取角色集合中包含的所有权限。

了解更多

有关详细信息,请参阅分配角色集合

本课的关键要点

SAP BTP 具有管理角色集合并将其分配给平台用户或主要使用应用程序和服务的业务用户的内置功能。SAP BTP 内的平台用户需要在具有全局账户、目录、子账户和空间的体系结构级别进行管理和分配。

Learning

SAP FacebookSAP YoutubeSAP LinkedIn