SAP雲解決方案和企業本地部署(On-Premise)混合架構下的安全認證許可權管理
SAP提供了使用者認證、許可權管理和單點登入等安全相關的解決方案。但是隨著雲平臺的興起,企業已經部署的安全解決方案如何與雲平臺的安全解決方案整合呢?這是擺在我們面前的一個問題,而且是一個至關重要、需要認真思考的問題。
本文將探討SAP提供的本地部署和雲平臺的安全解決方案產品集:SAP Single Sign-On, SAP Cloud Platform Identity Authentication, SAP Identity Management, 和SAP Cloud Platform Identity Provisioning。
首先我們將介紹使用者身份驗證解決方案
SAP Single Sign-On
SAP Cloud Platform Identity Authentication
前者為企業本地部署(On-Premise)的使用者身份驗證產品,後者為SAP雲平臺提供的身份驗證產品。
SAP Single Sign-On
使用者身份驗證簡單的講就是使用者名稱和密碼驗證登入功能。企業內部可以通過AD(Active Directory)登入作業系統進入區域網,然後通過本地儲存的客戶端證書完成身份驗證。
SAP在企業本地部署(On-Premise)系統架構下提供了SAP Single Sign-On產品,現在最新版本是2016年7月釋出的3.0版本,它可以提供單點登入功能,支援包括SAP GUI,SAP GUI for HTML和基於Fiori的使用者介面。SAP Single Sign-On提供多種安全標準,比如SAML,Kerberos協議和X.509安全證書。雖然SAP Single Sign-On是本地部署產品,但是也可以提供雲應用單點登入功能,通過SAML互動完成雲應用的身份驗證,但是需要和雲產品SAP Cloud Platform Identity Authentication配合使用,後文有詳細介紹。
SAP Cloud Platform Identity Authentication
在2014年SAP推出執行在SAP雲平臺的服務SAP Cloud Platform Identity Authentication,它提供簡單、安全基於雲的單點登入功能,為SAP和非SAP的雲應用提供多種裝置的安全認證功能。支援SAML,OAuth和Kerberos等協議。
那麼對兩種身份驗證產品如何選擇呢?
SAP Single Sign-On是企業本地部署架構的理想身份驗證、單點登入解決方案。SAP Cloud Platform Identity Authentication是企業對於雲應用身份驗證和單點登入的解決方案。
應用場景
企業現有的SAP ERP系統已經部署好使用者身份驗證、許可權管理,單點登入解決方案,現在企業本地部署的系統需要擴充套件一部分應用到雲平臺,組成混合式系統架構,使用者身份驗證、許可權管理和單點登入的功能需要重新設計,來滿足雲平臺應用的身份驗證、許可權管理和單點登入功能。
系統藍圖設計如下:
在本地部署環境裡, Kerberos/SPNEGO 是主流的單點登入技術,也比較容易安裝和部署。當使用Kerberos時,集團的終端使用者只需要登入微軟的Windows系統的域,即可獲得進入系統的許可權而無需輸入使用者名稱密碼。但是當公司擴充套件系統藍圖到雲端之後,會如何呢?基於雲端的應用支援SAML 而非Kerberos,因為雲端的應用是在企業區域網之外,而且不僅給企業內部使用者使用,也可提供外部客戶的使用許可權。所以SAP雲平臺同時為內部員工和外部客戶提供單點登入功能,在企業區域網內部的使用者還可以登入系統既可以進入應用程式。那麼如何實現企業內部員工登入區域網系統既可以進入系統呢?SAP的解決方案是整合兩種單點登入場景。 SAP雲平臺身份驗證服務接受Kerberos/SPNEGO的許可權認證,這意味你需要配置SAP雲平臺接受Kerberos令牌作為身份驗證來確保企業區域網的使用者獲得SAP雲平臺建立的SAML斷言,實現區域網和與平臺的無縫對接。
從終端使用者的角度來看,這是最完美的解決方案,他們無需手動輸入身份資訊,只要登入企業的區域網系統,即可進入部署到雲端的應用程式。但是這不意味著雲端的應用程式只可讓企業內部使用者訪問,如果雲平臺的身份驗證服務沒有接收到Kerberos 令牌,它會彈出輸入使用者名稱密碼的頁面,企業客戶可以通過手動輸入使用者名稱密碼來實現單點登入。重要的一點是:對於應用程式來說無需做任何修改,無論是通過企業內部使用者的Kerberos 認證,還是手動輸入使用者資訊的認證,應用程式都將受到SAML斷言來確保程式安全。
身份管理解決方案
已經登入的使用者,還需要管理使用者的身份和許可權。對於系統藍圖範圍比較廣的組織,而且使用者資料來源比較多的場景下,使用者身份、許可權和角色管理就更加至關重要。如果每個系統單獨管理身份和許可權,既繁瑣又易出錯。組織為了減少風險,需要集中管理系統架構下的使用者身份的整個生命週期。 SAP提供了兩種集中身份管理產品,SAP Identity Management用於實施在本地部署的系統解決方案中,SAP Cloud Platform Identity Provisioning service實施在SAP雲平臺上。
對於本地部署和雲平臺混合場景下的身份管理解決方案
下圖就是混合整合模式下身份管理解決方案架構圖,在本地部署系統中安裝SAP Identity Management(IDM),然後在雲端使用SAP Cloud Platform Identity Provisioning服務來管理使用者身份和許可權。
以下是SAP雲解決方案和企業本地部署(On-Premise)混合架構下的安全認證許可權管理所涉及的所有產品,部署的環境和連線到的環境資訊。
如果您感興趣SAP最新技術:Fiori, S/4HANA, SAP Cloud Platform 請關注公眾號:Fiori
