安全方面 SAP Integrated Business Planning for Supply Chain 2105 股份有限公司或其关联公司版权所有,保留所有权利。 the BEST RUN 2021 SAP © 内容
Total Page:16
File Type:pdf, Size:1020Kb
安全指南 PUBLIC (公共) 文档版本: 1.5 – 2021-07-16 安全方面 SAP Integrated Business Planning for Supply Chain 2105 股份有限公司或其关联公司版权所有,保留所有权利。 THE BEST RUN 2021 SAP SAP 2021 © 内容 1 安全方面................................................................... 5 2 技术系统架构................................................................6 3 身份和访问管理...............................................................7 3.1 用户验证...................................................................9 3.2 用户权限和许可..............................................................11 角色和权限...............................................................12 数据过滤器...............................................................12 3.3 基本概念.................................................................. 48 员工...................................................................48 业务用户................................................................49 业务角色................................................................49 业务目录................................................................50 限制...................................................................69 3.4 用于身份和访问管理的应用......................................................82 维护员工(旧版本)........................................................82 维护员工................................................................84 信息生命周期管理......................................................... 84 维护业务用户.............................................................90 维护业务角色.............................................................93 业务目录................................................................98 业务角色模板............................................................100 用户组.................................................................101 显示技术用户............................................................102 IAM 信息系统............................................................105 显示限制类型............................................................106 显示通信场景............................................................106 显示权限跟踪............................................................107 IAM 关键指标............................................................107 维护已删除的业务用户......................................................108 管理升级后的业务角色更改...................................................112 管理用户许可............................................................116 我的许可............................................................... 118 3.5 常见问题..................................................................119 PUBLIC 安全方面 2 公共 内容 管理员任务..............................................................119 与 Identity Authentication 服务集成............................................120 与 SAP Identity Access Governance 集成.........................................121 与 Identity Provisioning 服务集成.............................................. 121 登录到 Excel 加载项........................................................122 用户配置...............................................................122 业务目录和 Fiori 应用...................................................... 124 业务角色和限制类型.......................................................124 许可过滤器和属性许可......................................................126 与 SAP Jam 集成..........................................................127 4 数据中心和外部审计的安全.....................................................128 5 数据集成................................................................. 130 5.1 病毒扫描..................................................................132 6 集成的安全通信.............................................................133 6.1 内向集成的安全通信..........................................................133 6.2 外向集成的安全通信..........................................................133 6.3 维护证书信任列表........................................................... 134 6.4 维护客户端证书.............................................................135 7 客户端保护................................................................136 7.1 维护保护允许清单........................................................... 136 7.2 管理内容安全策略........................................................... 137 冻结模式下的内容安全策略 (CSP)..............................................138 8 数据保护和数据隐私......................................................... 140 8.1 词汇表....................................................................141 8.2 主数据记录................................................................143 8.3 业务用户记录...............................................................144 8.4 相关业务目录...............................................................145 8.5 HTTP 会话期间的数据保护..................................................... 147 9 数据加密................................................................. 148 9.1 使用密钥管理服务切换到自控加密................................................148 10 安全审计日志记录...........................................................152 10.1 显示安全审计日志........................................................... 152 如何显示审计分析报告......................................................153 如何配置个性化视图.......................................................153 10.2 显示静态系统审计........................................................... 155 安全方面 PUBLIC 内容 公共 3 10.3 与 NTP 服务保持时间同步......................................................155 11 漏洞管理..................................................................157 11.1 客户启动的渗透测试..........................................................158 PUBLIC 安全方面 4 公共 内容 1 安全方面 目标受众 ● 技术顾问 ● 安全顾问 ● 系统管理员 为什么需要安全性? 安全始终是包括产品开发、计划和质量保证在内的所有 SAP 产品整个产品生命周期中的重要元素。与其他 SAP 产品类似,SAP Integrated Business Planning for Supply Chain (SAP IBP) 旨在在经受来自 Web 的攻击和来自云 的攻击的情况下均保护数据安全。 SAP 关注 SAP IBP 系统架构内的安全问题和数据保护。作为用户,需要确保: ● 创建相应业务角色并将其分配至业务用户 ● 保护正在运行适用于 Microsoft Excel 的 SAP IBP 加载项的客户端 ● 针对从中导入数据的系统设置安全数据集成 (面向数据服务的 SAP Cloud Integration) 相关信息 已发行平台: SAP Trust Center 我的信任中心 面向数据服务的 SAP Cluld 集成 - 安全指南 安全方面 PUBLIC 安全方面 公共 5 2 技术系统架构 SAP Integrated Business Planning (IBP) 是在 SAP 公有云或 hyperscaler 系统中运行的云产品。 由于来自 SAP 的云解决方案处理来自核心业务流程的业务数据,因此 SAP 恪守以下安全和质量需求: ● 业务数据安全地存储在 SAP 数据中心或客户的首选 hyperscaler 系统中。 ● 需要访问业务数据的用户必须对自己进行身份验证,并且其身份必须由 Identity Authentication 服务或企业 预置身份提供者验证,具体视实际系统架构而定。 ● 用户只能针对已分配许可的业务角色和许可执行操作和查看或编辑数据。有关详细信息,请参阅第 9 页 上的“用户验证”。 ● 客户数据始终属于客户。 使用唯一的客户特定 URL 可以访问来自 SAP 的云解决方案。通信通过 SAP Cloud Support 开发和维护的 SAP 数据中心中的反向代理组件 SAP Web Dispatcher 进行传输。设备和 SAP Cloud 之间的通信由顶尖开放加密标准和 协议(如传输层安全 (TLS))担保和保护。客户可通过 IBP Excel 加载项或使用 Web 浏览器访问 IBP。 IBP 提供多个面向 SAP S/4HANA 和其他 SAP Cloud 或客户服务的集成选项。要了解更多,请转到第 130 页上 的“数据集成”。 IBP 由 SAP HANA 提供支持。所有客户数据存储在 HANA 数据库中,且受 SAP Cloud 的安全基础架构和操作过 程保护。 系统架构 PUBLIC 安全方面 6 公共 技术系统架构 3 身份和访问管理 身份和访问管理 (IAM) 是一组工具的总称,允许您管理对 Fiori 应用的用户访问并指定用户可在应用中执行和查 看的内容。 IAM 的主要元素是业务目录、业务角色和业务用户。为组织中的每位员工提供可分配有业务角色的业务用户。 业务角色包含一些限制,指定允许哪些活动以及每个角色的哪些数据集可用。对于每个业务角色,可分配提供应用 访问权限的业务目录。 下图说明了如何组合这些元素: IAM 的主要元素 用户不需要了解 IAM 授予的访问权限 - 打开快速启动板时,他们只能看到可用的应用。同样,在应用内,用户 仅有权查看或使用可见的数据集和活动的命令。 示例 下图说明了 IAM 中的可能场景: 安全方面 PUBLIC 身份和访问管理 公共 7 IAM 中的可能场景 在此示例中进行以下操作: ● 将两个应用分配到业务目录。 ● 基于不同的限制创建两个不同的业务角色,但是这两者都提供对同一业务目录的访问权限,反过来业务目录也 提供对两个不同应用的访问权限。因此,两个业务角色提供对两个 Fiori 应用的访问权限,但为其施加不同的限 制。 ● 为每个业务角色分配不同的许可过滤器。 ● 创建员工。 ● 基于员工创建业务用户。 ● 将两个业务角色都分配给其中一个业务用户,并将其中一个业务角色分配给其他业务用户。 ● 为每个业务用户分配附加许可过滤器。 ● 将两个业务用户都分配给同一用户组。 上线 想要以管理员的身份使用 SAP Integrated Business Planning,您需要以下条件: ● 用于激活管理员用户的定制 URL 和用于 Identity Authentication 服务的管理控制台的 URL。此信息会以激 活电子邮件的形式发送至 IT 联系人。 ● 用于登录 SAP Integrated Business Planning 的定制 URL。此信息将发送到贵组织的 IT 联系人。 激活管理员用户之后,按第 9 页上的“用户验证”中所述创建员工和业务用户。 详细信息 要了解应用中需要执行的任务的详细信息,请参阅 SAP Community Network (SCN) 中的身份和访问管理 FAQ ,或 YouTube 的 SAP IBP - 演示视频 播放列表中的视频。 PUBLIC 安全方面 8 公共 身份和访问管理 3.1 用户验证 可以通过浏览器或适用于 Microsoft Excel 的 SAP IBP 加载项访问 SAP Integrated Business Planning。在这两种情 况下,都需要用户验证。 注意 适用于 Microsoft Excel 的 SAP IBP 加载项不支持含交互式验证的代理验证。如果贵组织需要使用验证方法 的代理服务器访问 Internet,请按照 SAP Note 2092187 中的步骤进行操作。 在为您的用户提供 SAP Integrated Business Planning 访问权限时,您可以选择以下场景之一: 使用 SAP Cloud Platform Identity Authentication 服务验证 如果组织还未实施企业身份提供者,可以通过 SAP Cloud Platform Identity Authentication 服务提供给用户访 问权限,此服务由 SAP Integrated Business Planning 提供。 可以通过以下操作将用户上载至 Identity Authentication: 1. 在“维护员工”应用中创建员工。 2. 基于“维护业务用户”应用中的员工创建业务用户。 3. 使用“维护业务用户”应用中的“下载”按钮将用户列表下载到 CSV 文件。 4. 登录到“身份验证管理控制台”并打开“导入用户”应用。 5. 上载 CSV 文件。 之后,用户将收到一封含有定向到 Identity Authentication 登录屏幕的 URL 和登录到 Identity Authentication 的凭据的电子邮件。登录之后,将自动重新定向到 SAP Integrated Business Planning。 SAP Integrated Business Planning 还支持使用与企业身份提供者的标识联合来通过 SAP Cloud Platform Identity Authentication 服务支持身份联合。有关详细信息,请参阅 https://help.sap.com/viewer/product/ IDENTITY_AUTHENTICATION/Cloud/en-US 的 SAP Cloud Identity 服务文档的以下部分 ● “Identity Authentication” “用户指南” “操作指南” “企业身份提供者” “配置身份联合” ● “Identity Authentication” “操作指南” “配置租户设置” “配置 Kerberos 验证” 注意 SAP Integrated Business Planning 中密码的使用由 Identity Authentication 应用的企业密码策略定义。 有关详细信息,请参阅位于 https://help.sap.com/viewer/product/IDENTITY_AUTHENTICATION/ Cloud/en-US 的 SAP Cloud Identity 服务文档,路径为: “Identity Authentication” “操作指南” “配置密 码策略” “针对应用程序设置密码策略。” 安全方面 PUBLIC 身份和访问管理 公共 9 利用企业身份提供者验证 如果组织已经实施了企业身份提供者 (IdP),则 Identity Authentication 将充当身份提供者和 SAP Integrated Business Planning 之间的代理。在此场景中需要进行以下操作: 1. 在企业 IdP 中创建要求的用户。 2. 在“企业身份提供者”应用中将企业 IdP 配置为受信任的 IdP,并在“应用程序”应用中将其选中以供 Identity Authentication 使用。 有关详细信息,请参阅位于 https://help.sap.com/viewer/product/IDENTITY_AUTHENTICATION/Cloud/en- US 的 SAP Cloud Identity 服务文档,路径为: “Identity Authentication” “操作指南” “企业身份提供 者。” 3. 打开 SAP Integrated Business Planning 并在“维护员工”应用中创建员工。 4. 基于“维护业务用户”应用中的员工创建业务用户。进行此操作时,请确保输入的用户名与在企业身份提供者中 的登录名完全一致。 注意 IBP Excel 加载项使用嵌入式 Microsoft Internet Explorer 11。因此,仅当企业身份提供者使用 Internet Explorer 11 兼容的 Javascript 进行验证时,才能在适用于 Microsoft Excel 的 SAP IBP