ベストプラクティス 7.3 – 組織の ID 管理アプローチと SAP への適用を理解する
一般的な SAP ワークロードは複数のシステムで、したがって複数の ID で構成されます。これらのユーザーを管理するための集中アプローチにより、セキュリティリスクとオペレーションの複雑性を軽減できます。焦点は、集中的なユーザー管理、シングルサインオン、および多要素認証を考慮して、AWS サービスとサードパーティーツールをアプローチでどのように使用できるかです。
提案 7.3.1 – 指名ユーザーの ID プロバイダーを決める
ユーザーはアクティブディレクトリなどの ID ストアに関連付けられます。これは、ロール、許可、ID などのアイデンティティ情報を管理するための中央リポジトリとして機能します。ID の各セットについて、これを ID プロバイダーに関連付けることができるかどうか判断します。ID プロバイダーによって、ユーザー認証の負担を軽減できます。シングルサインオン (SSO) を容易にし、ユーザー ID のライフサイクル (新規加入者、移動者、退去者など) も管理します。
人間に関連付けられない名前付きユーザーの例外を考慮します。これには、バッチ、ジョブスケジューリング、統合、およびモニタリングユーザーなどが含まれます。
-
AWS ドキュメント: AWS ディレクトリサービス | Amazon Web Services (AWS)
提案 7.3.2 – 認証メカニズムを決める
SAP ワークロードの各レイヤーでサポートされる認証メカニズム (SAML、Kerberos、X.509、SAP シングルサインオンチケットなど) を理解します。アプリケーションと統合するための要件を評価します。可能な場合は、シングルサインオンを使用して、複数のユーザー認証情報を管理する管理上およびセキュリティ上の影響を回避します。
-
SAP ドキュメント: User Authentication and single sign-on (ユーザー認証とシングルサインオン)
-
AWS ドキュメント: クラウドアプリケーション - AWS シングルサインオン
-
SAP on AWS ブログ: AWS SSO による SAP シングルサインオンの有効化 パート 1: SAP Netweaver ABAP と AWS SSO の統合
-
SAP on AWS ブログ: AWS SSO による SAP シングルサインオンの有効化 パート 2: SAP Netweaver Java と AWS SSO の統合
提案 7.3.3 – 多要素認証を検討する
多要素認証 (MFA) は、ログオン認証情報に加えて保護を強化するベストプラクティスです。これら複数の要素により、SAP アプリケーションのセキュリティが強化されます。ユースケースとしては、信頼できないデバイスから SAP へのアクセス、AWS 管理コンソールへのアクセス、バックアップの削除や EC2 インスタンスの終了などの特権アクティビティがあります。
-
SAP on AWS ブログ: Securing SAP Fiori with MFA (MFA による SAP Fiori の保護)
-
AWS ドキュメント: IAM のサインインページでの MFA デバイスの使用 - AWS ID とアクセス
-
AWS ドキュメント: MFA 削除の設定 - Amazon Simple Storage Service
-
AWS ドキュメント: Amazon EC2: 特定の EC2 オペレーション (GetSessionToken) に対して MFA を要求する
提案 7.3.4 – 証明書管理のアプローチを決める
クライアントベースの証明書は認証に使用でき、認証情報が不要です。システム間通信のセッション管理と証明書ローテーションのための時間ベースの有効期限切れを含むアプローチを決めます。AWS は SAP によって信頼される認証局を提供します。証明書は、次を使用して発行、管理できます。
AWS Certificate Manager (ACM)
-
SAP Note: 2801396 - SAP Global Trust List (SAP グローバル信頼リスト)
[SAP ポータルへのアクセス権が必要] -
SAP Note: 3040959 - How to get a CA signed server certificate in ABAP (ABAP で CA 署名付きサーバー証明書を取得する方法)
[SAP ポータルへのアクセス権が必要] -
SAP Lens [運用上の優秀性]: 提案 3.4.1 - SAP セキュリティオペレーションのための具体的なランブックを作成する
-
SAP Lens [運用上の優秀性]: 提案 4.1.2 - 認証情報、証明書およびライセンスの有効期限のカレンダーを管理する