SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理

SAP提供了用户认证、权限管理和单点登录等安全相关的解决方案。但是随着云平台的兴起,企业已经部署的安全解决方案如何与云平台的安全解决方案集成呢?这是摆在我们面前的一个问题,而且是一个至关重要、需要认真思考的问题。

本文将探讨SAP提供的本地部署和云平台的安全解决方案产品集:SAP Single Sign-On, SAP Cloud Platform Identity Authentication, SAP Identity Management, 和SAP Cloud Platform Identity Provisioning。

首先我们将介绍用户身份验证解决方案

SAP Single Sign-On

SAP Cloud Platform Identity Authentication

前者为企业本地部署(On-Premise)的用户身份验证产品,后者为SAP云平台提供的身份验证产品。

SAP Single Sign-On

用户身份验证简单的讲就是用户名和密码验证登录功能。企业内部可以通过AD(Active Directory)登录操作系统进入局域网,然后通过本地存储的客户端证书完成身份验证。

SAP在企业本地部署(On-Premise)系统架构下提供了SAP Single Sign-On产品,现在最新版本是2016年7月发布的3.0版本,它可以提供单点登录功能,支持包括SAP GUI,SAP GUI for HTML和基于Fiori的用户界面。SAP Single Sign-On提供多种安全标准,比如SAML,Kerberos协议和X.509安全证书。虽然SAP Single Sign-On是本地部署产品,但是也可以提供云应用单点登录功能,通过SAML交互完成云应用的身份验证,但是需要和云产品SAP Cloud Platform Identity Authentication配合使用,后文有详细介绍。

SAP Cloud Platform Identity Authentication

在2014年SAP推出运行在SAP云平台的服务SAP Cloud Platform Identity Authentication,它提供简单、安全基于云的单点登录功能,为SAP和非SAP的云应用提供多种设备的安全认证功能。支持SAML,OAuth和Kerberos等协议。

那么对两种身份验证产品如何选择呢?

SAP Single Sign-On是企业本地部署架构的理想身份验证、单点登录解决方案。SAP Cloud Platform Identity Authentication是企业对于云应用身份验证和单点登录的解决方案。

应用场景

企业现有的SAP ERP系统已经部署好用户身份验证、权限管理,单点登录解决方案,现在企业本地部署的系统需要扩展一部分应用到云平台,组成混合式系统架构,用户身份验证、权限管理和单点登录的功能需要重新设计,来满足云平台应用的身份验证、权限管理和单点登录功能。

系统蓝图设计如下:

在本地部署环境里, Kerberos/SPNEGO 是主流的单点登录技术,也比较容易安装和部署。当使用Kerberos时,集团的终端用户只需要登录微软的Windows系统的域,即可获得进入系统的权限而无需输入用户名密码。但是当公司扩展系统蓝图到云端之后,会如何呢?基于云端的应用支持SAML 而非Kerberos,因为云端的应用是在企业局域网之外,而且不仅给企业内部用户使用,也可提供外部客户的使用权限。所以SAP云平台同时为内部员工和外部客户提供单点登录功能,在企业局域网内部的用户还可以登录系统既可以进入应用程序。那么如何实现企业内部员工登录局域网系统既可以进入系统呢?SAP的解决方案是集成两种单点登录场景。 SAP云平台身份验证服务接受Kerberos/SPNEGO的权限认证,这意味你需要配置SAP云平台接受Kerberos令牌作为身份验证来确保企业局域网的用户获得SAP云平台创建的SAML断言,实现局域网和与平台的无缝对接。

从终端用户的角度来看,这是最完美的解决方案,他们无需手动输入身份信息,只要登录企业的局域网系统,即可进入部署到云端的应用程序。但是这不意味着云端的应用程序只可让企业内部用户访问,如果云平台的身份验证服务没有接收到Kerberos 令牌,它会弹出输入用户名密码的页面,企业客户可以通过手动输入用户名密码来实现单点登录。重要的一点是:对于应用程序来说无需做任何修改,无论是通过企业内部用户的Kerberos 认证,还是手动输入用户信息的认证,应用程序都将受到SAML断言来确保程序安全。

身份管理解决方案

已经登录的用户,还需要管理用户的身份和权限。对于系统蓝图范围比较广的组织,而且用户数据来源比较多的场景下,用户身份、权限和角色管理就更加至关重要。如果每个系统单独管理身份和权限,既繁琐又易出错。组织为了减少风险,需要集中管理系统架构下的用户身份的整个生命周期。 SAP提供了两种集中身份管理产品,SAP Identity Management用于实施在本地部署的系统解决方案中,SAP Cloud Platform Identity Provisioning service实施在SAP云平台上。

对于本地部署和云平台混合场景下的身份管理解决方案

下图就是混合集成模式下身份管理解决方案架构图,在本地部署系统中安装SAP Identity Management(IDM),然后在云端使用SAP Cloud Platform Identity Provisioning服务来管理用户身份和权限。

以下是SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理所涉及的所有产品,部署的环境和连接到的环境信息。

如果您感兴趣SAP最新技术:Fiori, S/4HANA, SAP Cloud Platform 请关注公众号:Fiori

原文地址:https://www.cnblogs.com/alexsap/p/9934752.html

时间: 2024-10-13 16:20:49

SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理的相关文章

Agent简化云应用与企业内部部署应用之间的集成

本文将介绍Oracle集成云Agent的基础架构,所包含的组件,和如何连接云与OP应用. 目前/典型的集成方式 目前常用的将云应用/基于互联网的应用与企业内部部署(OP)应用连接的方式为:穿透一层或者更多的防火墙,使用反向代理.Oracle API Gateway或者OHS.要实现这些操作需要多种专业知识,比如防火墙需要开放入站端口,暴露一个私有的SOAP/REST服务并且配置网络路由.SOAP/REST服务可以用SOA套件之类的产品实现,比如与CRM系统进行通讯,实现客户信息的接收.如下图所示

SAP公有云和私有云解决方案概述

SAP公有云解决方案见下图最右侧,比较著名的有SAP SuccessFactors和SAP Cloud for Customer(C4C)等,作为SAP软件即服务(SaaS)的解决方案. 而最左侧的SAP HANA Enterprise Cloud,是SAP一个私有云平台.这个平台上能购买的方案最主要的就是SAP S/4HANA(当然也有Business Suite等).客户购买产品后,SAP负责搭建底层基础设施(Infrastructure)和系统运维.也就是说,这些系统实际上运行于SAP遍布

如何将SAP Multi Target应用部署到SAP云平台的Cloud Foundry环境去

SHINA是SAP HANA Interactive Education的缩写,是一个demo应用,用于演示如何开发SAP HANA原生应用. 这个应用包含了sample数据以及HANA数据库表,view,OData服务和UI,符合SAP HANA Extended Service Advanced Programming Model,由如下几个包组成: core-db:核心数据模型 core-js: Data Generator, Purchase Order Worklist和Sales D

将Java应用部署到SAP云平台neo环境的两种方式

方法1 - 使用Eclipse Eclipse里新建一个服务器: 服务器类型选择SAP Cloud Platform: 点Finish,成功创建了一个Server: Eclipse里选择要部署的项目,右键->Run as Server, 选择上一步创建的Server即完成部署. 方法2 - 使用SAP云平台Cockpit 选择本地打包好的war文件,点击Deploy按钮: 部署成功: 要获取更多Jerry的原创技术文章,请关注公众号"汪子熙"或者扫描下面二维码: 原文地址:htt

SAP云战略:从ERP走向全面开放的商务网络平台

2017年可以说是SAP云产品线全面成熟的一年,也得到了市场的认可.根据SAP最新财报,在2017年上半年,SAP的云订阅和支持服务收入大涨了31%.达18.37亿欧元(非IFRS财务标准).而之前公布的SAP大中华区2017年一季度实现了历史同期最佳业绩,一季度云业务继续保持双位数高速增长,各款云产品均呈现迅猛发展态势. 从最早的ERP软件起家,SAP已经成为全球最大的商务网络平台.如今,全球有近300万家企业在SAP软件平台上进行着超过1万亿美元的交易,上千家公司生长于SAP Hybris

华为云全球首发容器多云和混合云解决方案,实现容器应用轻松跨云

3月22日,在华为中国生态伙伴大会上,华为云全球首发商用级容器多云和混合云解决方案,为用户提供容器集群及云原生应用的跨云管理能力,解决云服务平台供应商锁定和单云场景的低可靠风险,让用户的选择更加灵活,云原生业务更加稳定可靠. 华为云BU PaaS产品部总经理廖振钦现场发布MCP 现场通过模拟网上购物过程中,某云上集群宕机的场景,完整的演示了从用户体验到服务异常检测.后台应用服务自动迁移的完整过程,让用户直观感受到,基于华为多云管理平台(MCP)即可快速实现业务的跨云容灾.现场听众纷纷表示这是在跨

ArcGIS for Javascript API 3.16本地部署

1. 下载ArcGIS JavaScript API 下载地址为(需要注册账号):https://developers.arcgis.com/en/downloads/ 当前最新版本为4.0,在下载页面中选择v3.16 2. 本地部署API (1)web服务器:在服务管理器中添加角色,选择需要安装的IIS服务. IIS的部署十分简单,默认安装即可(全部勾选),不再赘述. (2)将下载的API解压至IIS生成的目录下:目录结构如下:里面包含install.html的安装API说明(英文版),您可以

使用SAP iRPA Studio创建的本地项目,如何部署到SAP云平台上?

本文是2020年第15篇原创文章,也是汪子熙公众号总共第198篇原创文章. 最近在微软Bing搜索里输入China,就会出现这样的提示... 没太多可说的,唯愿天佑中华. 以前看威尔-史密斯主演的<我是传奇>,影片里的人类世界被病毒肆虐之后,荒草丛生满目疮痍,只剩主人公一个人一只狗,好可怕. 如果说<我是传奇>里神秘病毒的爆发,是由于科学家们想攻克癌症进行研究时的无心之失,那么这次现实中的新型冠状病毒肺炎的肆虐,原因在哪,大家都心知肚明,无语. 牢骚归牢骚,既然在这种非常时期,大家

企业数字化转型与SAP云平台

我们生活在一个数字化时代.信息领域里发展迅猛的数字技术和成本不断降低的硬件设备,正以前所未有的方式改变着我们工作和生活的方式. Digital Mesh 美国一家著名的从事信息技术研究和提供咨询服务的Gartner公司,在2015年提出了未来IT技术的十大发展趋势.Gartner公司副总裁,David Cearley,在2015年美国Orlando召开的ITxpo专题研讨会上,将这十大发展趋势分为三类: 1. 数字网格 2. 智能机器/设备 3. 新的IT现实技术 隶属于这三类里的十大发展趋势并