Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP
Las cargas de trabajo típicas de SAP consistirán en múltiples sistemas y, por lo tanto, múltiples identidades. Un enfoque centralizado para administrar estos usuarios puede reducir el riesgo de seguridad y la complejidad operativa. El énfasis está en cómo puede utilizar los servicios de AWS y las herramientas de terceros en su enfoque, considerando la administración centralizada de usuarios, el inicio de sesión único y la autenticación multifactor.
Sugerencia 7.3.1: determine un proveedor de identidad para usuarios designados
Los usuarios se asociarán con un almacén de identidades, por ejemplo, Active Directory. Dicho almacén actúa como un repositorio central para administrar información de identidad, como roles, permisos e identificadores. Determine si cada conjunto de identidades se puede asociar con un proveedor de identidad. Un proveedor de identidad le permite desvincularse de la autenticación de los usuarios. Facilita el SSO y también administra el ciclo de vida de identidad de los usuarios (por ejemplo, los que ingresan, los que se trasladan y los que se van).
Considere excepciones para usuarios designados que no están asociados con un ser humano. Esto puede incluir lotes, programación de trabajos, integración y supervisión de usuarios.
-
Documentación de AWS: AWS Directory Service | Amazon Web Services (AWS)
Sugerencia 7.3.2: determine los mecanismos de autenticación
Comprenda los mecanismos de autenticación admitidos (por ejemplo, SAML, Kerberos, X.509, tickets de inicio de sesión único de SAP) en cada una de las capas de su carga de trabajo de SAP. Evalúe los requisitos para integrarse con su aplicación. Siempre que sea posible, utilice el inicio de sesión único para evitar el impacto administrativo y de seguridad de administrar múltiples credenciales de usuarios.
-
Documentación de SAP: User Authentication and single sign-on (Autenticación de usuario e inicio de sesión único)
-
Documentación de AWS: Aplicaciones de la nube: AWS Single Sign-On
-
Blog de SAP on AWS: Enable SAP Single Sign On with AWS SSO Part 1: Integrate SAP NetWeaver ABAP with AWS SSO (Habilite el SSO de SAP con AWS SSO parte 1: integre SAP NetWeaver ABAP con AWS SSO)
-
Blog de SAP on AWS: Enable SAP Single Sign On with AWS SSO Part 2: Integrate SAP NetWeaver Java (Habilite el SSO de SAP en AWS SSO Parte 2: integre SAP NetWeaver Java)
-
Blog de SAP on AWS: Enable Single Sign On for SAP Cloud Platform Foundry and SAP Cloud Platform Neo with AWS SSO (Habilite el SSO para SAP Cloud Platform Foundry y SAP Cloud Platform Neo con AWS SSO)
Sugerencia 7.3.3: considere utilizar la autenticación multifactor
La Multi-Factor Authentication (MFA, autenticación multifactor) es una práctica recomendada que añade una capa de protección adicional que se complementa con sus credenciales de inicio de sesión. Estos factores múltiples le brindan una mayor seguridad a su aplicación SAP. Entre los casos de uso, se encuentran el acceso a SAP desde un dispositivo que no es de confianza, acceso a AWS Management Console y actividades privilegiadas, como la eliminación de copias de seguridad o la terminación de instancias de EC2.
-
Blog de SAP on AWS: Securing SAP Fiori with MFA (Protección de SAP Fiori con MFA)
-
Documentación de AWS: Uso de dispositivos MFA con la página de inicio de sesión de IAM:AWS Identity and Access
-
Documentación de AWS: Configuración de la eliminación de MFA: Amazon Simple Storage Service
-
Documentación de AWS: Amazon EC2: Requiere MFA (GetSessionToken) para operaciones EC2 específicas
Sugerencia 7.3.4: determine el enfoque para la administración de certificados
Los certificados basados en el cliente se pueden utilizar para la autenticación sin la necesidad de credenciales. Determine un enfoque que incluya el vencimiento basado en el tiempo para la administración de sesiones y la rotación de certificados para la comunicación entre sistemas. AWS brinda una autoridad de certificación en la que confía SAP. Los certificados se pueden emitir y administrar utilizando
AWS Certificate Manager (ACM)
-
Notas de SAP: 2801396 - SAP Global Trust List (Lista de confianza global de SAP)
[Se necesita acceso al portal de SAP] -
Notas de SAP: 3040959 - How to get a CA signed server certificate in ABAP (¿Cómo obtener un certificado de servidor firmado por CA en ABAP?)
[Se necesita acceso al portal de SAP] -
SAP Lens [excelencia operativa]: Sugerencia 3.4.1: cree manuales de procedimientos específicos de operaciones de seguridad de SAP
-
SAP Lens [excelencia operativa]: Sugerencia 4.1.2: lleve un calendario del vencimiento de las credenciales, los certificados y las licencias