SAP提供了用户认证、权限管理和单点登录等安全相关的解决方案。但是随着云平台的兴起,企业已经部署的安全解决方案如何与云平台的安全解决方案集成呢?这是摆在我们面前的一个问题,而且是一个至关重要、需要认真思考的问题。
本文将探讨SAP提供的本地部署和云平台的安全解决方案产品集:SAP Single Sign-On, SAP Cloud Platform Identity Authentication, SAP Identity Management, 和SAP Cloud Platform Identity Provisioning。
首先我们将介绍用户身份验证解决方案
SAP Single Sign-On
SAP Cloud Platform Identity Authentication
前者为企业本地部署(On-Premise)的用户身份验证产品,后者为SAP云平台提供的身份验证产品。
SAP Single Sign-On
用户身份验证简单的讲就是用户名和密码验证登录功能。企业内部可以通过AD(Active Directory)登录操作系统进入局域网,然后通过本地存储的客户端证书完成身份验证。
SAP在企业本地部署(On-Premise)系统架构下提供了SAP Single Sign-On产品,现在最新版本是2016年7月发布的3.0版本,它可以提供单点登录功能,支持包括SAP GUI,SAP GUI for HTML和基于Fiori的用户界面。SAP Single Sign-On提供多种安全标准,比如SAML,Kerberos协议和X.509安全证书。虽然SAP Single Sign-On是本地部署产品,但是也可以提供云应用单点登录功能,通过SAML交互完成云应用的身份验证,但是需要和云产品SAP Cloud Platform Identity Authentication配合使用,后文有详细介绍。
SAP Cloud Platform Identity Authentication
在2014年SAP推出运行在SAP云平台的服务SAP Cloud Platform Identity Authentication,它提供简单、安全基于云的单点登录功能,为SAP和非SAP的云应用提供多种设备的安全认证功能。支持SAML,OAuth和Kerberos等协议。
那么对两种身份验证产品如何选择呢?
SAP Single Sign-On是企业本地部署架构的理想身份验证、单点登录解决方案。SAP Cloud Platform Identity Authentication是企业对于云应用身份验证和单点登录的解决方案。
应用场景
企业现有的SAP ERP系统已经部署好用户身份验证、权限管理,单点登录解决方案,现在企业本地部署的系统需要扩展一部分应用到云平台,组成混合式系统架构,用户身份验证、权限管理和单点登录的功能需要重新设计,来满足云平台应用的身份验证、权限管理和单点登录功能。
系统蓝图设计如下:
在本地部署环境里, Kerberos/SPNEGO 是主流的单点登录技术,也比较容易安装和部署。当使用Kerberos时,集团的终端用户只需要登录微软的Windows系统的域,即可获得进入系统的权限而无需输入用户名密码。但是当公司扩展系统蓝图到云端之后,会如何呢?基于云端的应用支持SAML 而非Kerberos,因为云端的应用是在企业局域网之外,而且不仅给企业内部用户使用,也可提供外部客户的使用权限。所以SAP云平台同时为内部员工和外部客户提供单点登录功能,在企业局域网内部的用户还可以登录系统既可以进入应用程序。那么如何实现企业内部员工登录局域网系统既可以进入系统呢?SAP的解决方案是集成两种单点登录场景。 SAP云平台身份验证服务接受Kerberos/SPNEGO的权限认证,这意味你需要配置SAP云平台接受Kerberos令牌作为身份验证来确保企业局域网的用户获得SAP云平台创建的SAML断言,实现局域网和与平台的无缝对接。
从终端用户的角度来看,这是最完美的解决方案,他们无需手动输入身份信息,只要登录企业的局域网系统,即可进入部署到云端的应用程序。但是这不意味着云端的应用程序只可让企业内部用户访问,如果云平台的身份验证服务没有接收到Kerberos 令牌,它会弹出输入用户名密码的页面,企业客户可以通过手动输入用户名密码来实现单点登录。重要的一点是:对于应用程序来说无需做任何修改,无论是通过企业内部用户的Kerberos 认证,还是手动输入用户信息的认证,应用程序都将受到SAML断言来确保程序安全。
身份管理解决方案
已经登录的用户,还需要管理用户的身份和权限。对于系统蓝图范围比较广的组织,而且用户数据来源比较多的场景下,用户身份、权限和角色管理就更加至关重要。如果每个系统单独管理身份和权限,既繁琐又易出错。组织为了减少风险,需要集中管理系统架构下的用户身份的整个生命周期。 SAP提供了两种集中身份管理产品,SAP Identity Management用于实施在本地部署的系统解决方案中,SAP Cloud Platform Identity Provisioning service实施在SAP云平台上。
对于本地部署和云平台混合场景下的身份管理解决方案
下图就是混合集成模式下身份管理解决方案架构图,在本地部署系统中安装SAP Identity Management(IDM),然后在云端使用SAP Cloud Platform Identity Provisioning服务来管理用户身份和权限。
以下是SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理所涉及的所有产品,部署的环境和连接到的环境信息。
如果您感兴趣SAP最新技术:Fiori, S/4HANA, SAP Cloud Platform 请关注公众号:Fiori