View a markdown version of this page

Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP - SAP Lens

Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP

Las cargas de trabajo típicas de SAP consistirán en múltiples sistemas y, por lo tanto, múltiples identidades. Un enfoque centralizado para administrar estos usuarios puede reducir el riesgo de seguridad y la complejidad operativa. El énfasis está en cómo puede utilizar los servicios de AWS y las herramientas de terceros en su enfoque, considerando la administración centralizada de usuarios, el inicio de sesión único y la autenticación multifactor.

Sugerencia 7.3.1: determine un proveedor de identidad para usuarios designados

Los usuarios se asociarán con un almacén de identidades, por ejemplo, Active Directory. Dicho almacén actúa como un repositorio central para administrar información de identidad, como roles, permisos e identificadores. Determine si cada conjunto de identidades se puede asociar con un proveedor de identidad. Un proveedor de identidad le permite desvincularse de la autenticación de los usuarios. Facilita el SSO y también administra el ciclo de vida de identidad de los usuarios (por ejemplo, los que ingresan, los que se trasladan y los que se van).

Considere excepciones para usuarios designados que no están asociados con un ser humano. Esto puede incluir lotes, programación de trabajos, integración y supervisión de usuarios.

Sugerencia 7.3.2: determine los mecanismos de autenticación

Comprenda los mecanismos de autenticación admitidos (por ejemplo, SAML, Kerberos, X.509, tickets de inicio de sesión único de SAP) en cada una de las capas de su carga de trabajo de SAP. Evalúe los requisitos para integrarse con su aplicación. Siempre que sea posible, utilice el inicio de sesión único para evitar el impacto administrativo y de seguridad de administrar múltiples credenciales de usuarios.

Sugerencia 7.3.3: considere utilizar la autenticación multifactor

La Multi-Factor Authentication (MFA, autenticación multifactor) es una práctica recomendada que añade una capa de protección adicional que se complementa con sus credenciales de inicio de sesión. Estos factores múltiples le brindan una mayor seguridad a su aplicación SAP. Entre los casos de uso, se encuentran el acceso a SAP desde un dispositivo que no es de confianza, acceso a AWS Management Console y actividades privilegiadas, como la eliminación de copias de seguridad o la terminación de instancias de EC2.

Sugerencia 7.3.4: determine el enfoque para la administración de certificados

Los certificados basados en el cliente se pueden utilizar para la autenticación sin la necesidad de credenciales. Determine un enfoque que incluya el vencimiento basado en el tiempo para la administración de sesiones y la rotación de certificados para la comunicación entre sistemas. AWS brinda una autoridad de certificación en la que confía SAP. Los certificados se pueden emitir y administrar utilizando AWS Certificate Manager (ACM) .