Cloud Identity Services(2/2)

최초 작성일: 2024-11-18

최종 작성일: 2024-11-18

목표: Cloud Identity Services 이해하기

 

url : What Are Cloud Identity Services? | SAP Help Portal

 

1) Manage Identities, Authorizations and SSO across cloud and on-premise solutions

2) SAP Cloud Identity Services are a group of services of SAP BTP, which enable you to integrate identity and access management between systems.

3) SAP IAS는 Identity Authentication(사용자 확인), Identity Provisioning(조직 내 IT 관리자가 사용자 및 권한 관리 작업을 보다 효율적이고 안전하게 수행할 수 있도록 지원) , Identity Directory, Authorization Management(사용자 권한 관리)로 구성됨

 

-> cloud identity server의 최종 골은 시스템과 데이터 접근을 안정적으로 유지하면서 시스템 간 심리스한 SSO를 제공함. 

 

IAS의 구성 요소

 

1) Identity Authentication(사용자 신원확인)

Identity Authentication(사용자 신원확인)은 비즈니스 프로세스, 어플리케이션 그리고 데이터에 대한 통제된 클라우드 기반의 접근권한을 제공함.

사용자 신원 확인 메카니즘, SSO, 온프레미스 연동 그리고 사용자 친화적인 기능을 제공함

 

-사용자 신원 확인 : 모든 SAP Cloud 어플리케이션을 모든 사용자 들에게 동일한 사용자 신원확인 메커니즘을 제공하며,MFA 기반 강력한 사용자 신원확인을 함 (same authentifation mechanism / strong authentication- MFA)

-SSO : central SSO end point(중앙에서 SSO을 관리)

-SAP 어플레케이션 연동 :  Common identity, Unified way for user management

IAS는 통합된 사용자 신원(ID)-하나의 ID로 연동 해서 사용하는 것, 중앙관리식 사용자 관리 기능 제공

어플리케이션 간 데이터를 연관성을 가짐.

 

2) Identity Provisioning(조직 내 IT 관리자가 사용자 및 권한 관리 작업을 보다 효율적이고 안전하게 수행할 수 있도록 지원) 

IAS는 신원 확인 및 권한 부여에 대한 프로비저닝, 디프로비저닝 서비스를 통해서 좀 더 쉽고 안정성이 높은 사용자 신원 확인 라이프 사이클 관리를 제공함. 

이것은 사용자가 온보딩, 오프보딩하는 데 좀 더 빠르고 효과적으로 세팅할 수 있도록 지원함/

IAS 프로비저닝을 클라우드 상 통합된 사용자 인증의 중앙화된 생애주기 관리를 지원함.

게다가, 클라우드 어플리케이션에 이미 존재하는 온프레미스 사용자 신원확인을 자동화 하여 프로비저닝도 가능함

 

 

3)Identity Directory

Identity Directory는 SAP IAS의 영속성 있는 계층임. 이것은 유저와 유저 그룹 정보를 저장하고 관리하는 중앙 저장소임. 이 SCIM 2.0 REST API는 고객 맞춤형 스키마로 정의할 수 있도록 함.

 

Identity Directory는 Global User ID를 생성하여, 전체 시스템 환경(landscape)에서 유일한 사용자 식별자로 사용합니다. 이 Global User ID는 SAP Task Center와 같은 SAP 클라우드 애플리케이션에 Identity Provisioning을 통해 전달되며, 통합 시나리오에서 **공통 사용자 식별자(common user identifier)**로 활용됨

 

 

4)Authorization Management(사용자 권한 관리)

권한 관리 시스템은 SAP BTP 기반의 비즈니스 어플리케이션에서 사용가능한 리소스에 대한 접근권한을 제공하는 사용자 권환 관리 관련 정책을 정의함.

-> 권한관리 시스템을 SAP BTP 기반의 비즈니스 어플리케이션에서 리소스에 대한 접근 권한을 관리하는 정책을 정의

정책은 사용자나 비즈니스 오브젝트의 속성 값에 따라 제한할 수 있음.

정책은 Identity Directory의 그룹 관리 기능을 통해 사용자의 그룹에 할당 할 수 있음

SAP IAS 또는 Identity Directory의 SCIM API를 사용하여 연동할 수 있음

 

-> Provision은 좀 더 공부할 필요가 있음(실제 사용을 통해)