SAP雲解決方案和企業本地部署(On-Premise)混合架構下的安全認證權限管理
SAP提供了用戶認證、權限管理和單點登錄等安全相關的解決方案。但是隨著雲平臺的興起,企業已經部署的安全解決方案如何與雲平臺的安全解決方案集成呢?這是擺在我們面前的一個問題,而且是一個至關重要、需要認真思考的問題。
本文將探討SAP提供的本地部署和雲平臺的安全解決方案產品集:SAP Single Sign-On, SAP Cloud Platform Identity Authentication, SAP Identity Management, 和SAP Cloud Platform Identity Provisioning。
首先我們將介紹用戶身份驗證解決方案
SAP Single Sign-On
SAP Cloud Platform Identity Authentication
前者為企業本地部署(On-Premise)的用戶身份驗證產品,後者為SAP雲平臺提供的身份驗證產品。
SAP Single Sign-On
用戶身份驗證簡單的講就是用戶名和密碼驗證登錄功能。企業內部可以通過AD(Active Directory)登錄操作系統進入局域網,然後通過本地存儲的客戶端證書完成身份驗證。
SAP在企業本地部署(On-Premise)系統架構下提供了SAP Single Sign-On產品,現在最新版本是2016年7月發布的3.0版本,它可以提供單點登錄功能,支持包括SAP GUI,SAP GUI for HTML和基於Fiori的用戶界面。SAP Single Sign-On提供多種安全標準,比如SAML,Kerberos協議和X.509安全證書。雖然SAP Single Sign-On是本地部署產品,但是也可以提供雲應用單點登錄功能,通過SAML交互完成雲應用的身份驗證,但是需要和雲產品SAP Cloud Platform Identity Authentication配合使用,後文有詳細介紹。
SAP Cloud Platform Identity Authentication
在2014年SAP推出運行在SAP雲平臺的服務SAP Cloud Platform Identity Authentication,它提供簡單、安全基於雲的單點登錄功能,為SAP和非SAP的雲應用提供多種設備的安全認證功能。支持SAML,OAuth和Kerberos等協議。
那麽對兩種身份驗證產品如何選擇呢?
SAP Single Sign-On是企業本地部署架構的理想身份驗證、單點登錄解決方案。SAP Cloud Platform Identity Authentication是企業對於雲應用身份驗證和單點登錄的解決方案。
應用場景
企業現有的SAP ERP系統已經部署好用戶身份驗證、權限管理,單點登錄解決方案,現在企業本地部署的系統需要擴展一部分應用到雲平臺,組成混合式系統架構,用戶身份驗證、權限管理和單點登錄的功能需要重新設計,來滿足雲平臺應用的身份驗證、權限管理和單點登錄功能。
系統藍圖設計如下:
在本地部署環境裏, Kerberos/SPNEGO 是主流的單點登錄技術,也比較容易安裝和部署。當使用Kerberos時,集團的終端用戶只需要登錄微軟的Windows系統的域,即可獲得進入系統的權限而無需輸入用戶名密碼。但是當公司擴展系統藍圖到雲端之後,會如何呢?基於雲端的應用支持SAML 而非Kerberos,因為雲端的應用是在企業局域網之外,而且不僅給企業內部用戶使用,也可提供外部客戶的使用權限。所以SAP雲平臺同時為內部員工和外部客戶提供單點登錄功能,在企業局域網內部的用戶還可以登錄系統既可以進入應用程序。那麽如何實現企業內部員工登錄局域網系統既可以進入系統呢?SAP的解決方案是集成兩種單點登錄場景。 SAP雲平臺身份驗證服務接受Kerberos/SPNEGO的權限認證,這意味你需要配置SAP雲平臺接受Kerberos令牌作為身份驗證來確保企業局域網的用戶獲得SAP雲平臺創建的SAML斷言,實現局域網和與平臺的無縫對接。
從終端用戶的角度來看,這是最完美的解決方案,他們無需手動輸入身份信息,只要登錄企業的局域網系統,即可進入部署到雲端的應用程序。但是這不意味著雲端的應用程序只可讓企業內部用戶訪問,如果雲平臺的身份驗證服務沒有接收到Kerberos 令牌,它會彈出輸入用戶名密碼的頁面,企業客戶可以通過手動輸入用戶名密碼來實現單點登錄。重要的一點是:對於應用程序來說無需做任何修改,無論是通過企業內部用戶的Kerberos 認證,還是手動輸入用戶信息的認證,應用程序都將受到SAML斷言來確保程序安全。
身份管理解決方案
已經登錄的用戶,還需要管理用戶的身份和權限。對於系統藍圖範圍比較廣的組織,而且用戶數據來源比較多的場景下,用戶身份、權限和角色管理就更加至關重要。如果每個系統單獨管理身份和權限,既繁瑣又易出錯。組織為了減少風險,需要集中管理系統架構下的用戶身份的整個生命周期。 SAP提供了兩種集中身份管理產品,SAP Identity Management用於實施在本地部署的系統解決方案中,SAP Cloud Platform Identity Provisioning service實施在SAP雲平臺上。
對於本地部署和雲平臺混合場景下的身份管理解決方案
下圖就是混合集成模式下身份管理解決方案架構圖,在本地部署系統中安裝SAP Identity Management(IDM),然後在雲端使用SAP Cloud Platform Identity Provisioning服務來管理用戶身份和權限。
以下是SAP雲解決方案和企業本地部署(On-Premise)混合架構下的安全認證權限管理所涉及的所有產品,部署的環境和連接到的環境信息。
如果您感興趣SAP最新技術:Fiori, S/4HANA, SAP Cloud Platform 請關註公眾號:Fiori
SAP雲解決方案和企業本地部署(On-Premise)混合架構下的安全認證權限管理