Product Information
SAP S/4HANA Cloud 2302亮点前瞻:身份和访问管理(IAM),安全
在此博客中,您将了解有关 SAP S/4HANA Cloud 2302 身份和访问管理 (IAM) ,以及安全方面的版本亮点。借助 IAM,我们非常自豪地为维护业务角色和业务用户提供批量维护功能、面向 SAP S/4HANA Cloud 和集成产品的身份管理指南,以及用于业务角色和业务用户更改的新 API 等。
身份管理
访问管理
安全
身份管理
面向 SAP S/4HANA Cloud 和集成产品的身份管理指南
- 指南的第一个版本发布在 SAP 帮助文档 中。
- 它为 SAP Cloud 架构中的身份管理提供参考架构和分步说明(包括SAP S/4HANA Cloud、SAP BTP、SAP Cloud Identity Services、企业用户存储、HR 系统)。
- 根据您的IT 架构的设置,您可以在 SAP S/4HANA Cloud 系统的不同身份管理场景和集成产品之间进行选择。
- 对于用户、员工和工作协议的主系统,身份管理场景有所不同。
- 不包含集成 HR 系统的身份管理场景:
- SAP S/4HANA Cloud 作为用户的主导系统
- SAP Cloud Identity Services 作为用户的主导系统
- 企业用户存储作为用户的主系统
图1:SAP S/4HANA Cloud 作为用户的主导系统
图2: SAP Cloud Identity Services 作为用户的主导系统
图3 : 企业用户存储作为用户的主系统
访问管理
访问管理的新应用
维护业务角色组
新应用“维护业务角色组”
- 创建业务角色组并为其分配多个业务角色。
- 组织并轻松搜索特定类别的所有业务角色。
- 批量处理属于某一业务角色组的业务角色。
- 新限制类型业务角色 (S_BRL) 允许确定关键用户是否有权显示/维护属于特定组的业务角色。
- 新限制类型业务角色用户分配 (S_BRL_ASG) 允许确定关键用户是否有权向业务用户分配业务角色。
图 4 : 借助新的“维护业务角色组”应用,您可以创建业务角色组并为其分配多个业务角色
维护业务用户组
新应用“维护业务用户组”
- 创建业务用户组,并为其分配多个业务用户
- 组织并轻松搜索特定类别的所有业务用户
- 批量处理属于某一业务用户组的业务用户
- 新引入的限制类型业务用户 (CLASS) 允许确定关键用户是否有权显示/维护属于特定组的业务用户
- 新限制类型业务角色用户分配 (S_BRL_ASG) 允许确定关键用户是否有权将业务用户分配到业务角色
图 5 : 借助新的“维护业务用户组”应用,您可以创建业务用户组并为其分配多个业务用户
访问管理的新特性
“维护业务角色”应用的批量维护
“维护业务角色”应用中新增了批量维护功能
- 单独或通过属性(如业务角色组)选择一组业务角色
- 具有一组业务角色的批量维护可能性示例:
- 分配业务角色组
- 分配一组业务用户
- 分配一组业务目录
- 添加/移除快速启动板空间分配
- 分配业务角色模板的 SAP 提供的空间
- 维护访问类别
图 6 : 在“维护业务角色”应用中,您现在可以进行批量维护
“维护业务用户”应用的批量维护
“维护业务用户”应用中新增了批量维护功能
- 单独或通过属性(如业务用户组)选择一组业务用户
- 包含一组业务用户的批量维护可能性示例:
- 分配业务用户组
- 维护用户数据属性,如有效期、时区、小数/时间/日期格式、语言
- 锁定/解锁
- 添加或移除业务角色
图 7 : 在“维护业务用户”应用中,您现在可以进行批量维护
SAP Fiori 快速启动板 – 空间和页面
-
- SAP 提供的 SAP Fiori 快速启动板空间现在也可用于业务角色模板 SAP_BR_EMPLOYEE 和 SAP_BR_ADMINISTRATOR
- 从现在起,新系统的缺省进入页面布局基于具有空间和页面的主页,不再基于组。之前的“主页”页面将在所有客户的 SAP S/4HANA Cloud 未来版本中删除。
(有关替换/时间表的详细信息,请参阅 SAP Note 2970113) - 现在,可以直接将 SAP 提供的 SAP Fiori 快速启动板空间分配给业务角色,而无需先复制。可将其分配到从头创建的业务角色,以及派生自业务角色模板的业务角色。通过应用“维护业务角色”中的批量更改选项,可以更改到 SAP 提供的空间的现有分配,或者对业务角色进行初始空间分配,从而更快地从典型主页移动到新的空间和页面布局。
图 8 : 通过“维护业务角色”应用中的批量更改选项,您可以更改 SAP 提供的空间的现有分配,或对业务角色进行初始空间分配
安全
安全审计日志 API
在 2302 版本中,安全审计日志应用已得到增强。如您所知,安全审计日志显示 SAP S/4HANA Cloud 系统中最相关的安全事件。您可以检查客户用户和 SAP 员工的安全相关活动。安全审计日志显示以下事件:
- 时间戳
- 终端标识
- 审计日志事件
图 9 : 在 2302 版本中,安全审计日志应用已得到增强
业务用户更改 API
客户可以查看对业务用户所做的所有更改,以及有关所做更改的信息:
- 时间(时间戳)
- 执行人(用户)
- 已更改的值
业务角色更改 API
客户可以查看对业务角色的更改,并提供以下信息:
- 更改人(用户)
- 新角色
- 时间戳
图 10 : 新的业务角色更改 API 允许您检查所有业务角色相关的更改
安全建议
SAP S/4HANA Cloud 尽可能提供安全的缺省配置。但是,您可能希望查看一些设置并根据您的特定用例和公司策略对其进行调整。
为客户安全设置建议最佳实践方法:
- 通信用户
- 前端安全
- 业务用户验证
- 业务用户的权限
- 企业预置组件
- 受信任证书
- 读取访问日志记录
更多信息