Gestión de usuarios en SAP BTP

En esta publicación de blog, echemos un vistazo a la gestión de usuarios en SAP BTP, entorno Neo y SAP BTP, entorno Cloud Foundry.

Gestión de Usuarios en SAP BTP, Neo Environment

Administrar usuarios en SAP BTP, Neo entorno juega un papel clave en la seguridad. Puede administrar usuarios comerciales, usuarios administrativos y desarrolladores de varias maneras. Básicamente, se debe hacer una distinción entre usuarios de cuentas globales, usuarios de subcuentas y usuarios finales, teniendo en cuenta las siguientes consideraciones:

• Usuarios de nivel de cuenta global son exclusivamente administradores que crean subcuentas y asignan recursos a las subcuentas para su uso dentro de la subcuenta. Además, el personal de apoyo y los auditores deben agregarse como usuarios a nivel de cuenta global. Estos usuarios se autentican con el servicio de ID de SAP sin excepción. Por lo general, estos usuarios son usuarios S que crea en el mercado de servicios.
• Usuarios a nivel de subcuenta se crean para administradores, desarrolladores y personal de soporte. Los usuarios finales de las aplicaciones implementadas en esta subcuenta no se crean como usuarios de subcuenta (miembros).
• Usuarios finales de la aplicación no necesita ningún permiso en la subcuenta. Estos usuarios se mantienen en el proveedor de identidad de la aplicación y no requieren roles de plataforma, solo roles de aplicación. Estos roles de aplicación generalmente se asignan a grupos en el proveedor de identidad de la aplicación.

Un requisito previo para la asignación directa de usuarios es que las cuentas de usuario correspondientes ya deben estar registradas en el servicio de ID de SAP. Si no se cumple este requisito, SAP Support Portal le permite crear usuarios S para su empresa.

Para crear usuarios S para usuarios de cuentas globales, debe iniciar sesión en el https://soporte.sap.com/ página con un usuario S para su empresa. Este usuario debe tener los permisos de administración de usuarios apropiados. Luego, proceda con los siguientes pasos:

1. En el menú SAP Support Portal, seleccione el Administrar usuarios entrada en el menú para saltar al mantenimiento del usuario, como se muestra en esta figura.

2. Ahora se encuentra en la vista general de usuarios.

Clickea en el Solicitar Usuario en la barra de herramientas inferior para crear un nuevo usuario.

3. En el cuadro de diálogo de creación, ingrese los detalles del usuario, como se muestra aquí.

4. Termina el proceso de creación haciendo clic en Entregar.

El usuario S no se crea inmediatamente, ya que SAP primero debe confirmar su creación, lo que puede demorar hasta 24 horas. SAP también asigna el ID de usuario S durante este proceso. Una vez aprobado, el usuario recibirá un correo electrónico de invitación con instrucciones sobre cómo activar la cuenta de usuario.

Los requisitos previos para administrar usuarios a nivel de subcuenta incluyen, primero, iniciar sesión en la subcuenta y, segundo, tener permisos suficientes para la administración de usuarios. Al usuario que creó la subcuenta se le asignan automáticamente las funciones de administrador y desarrollador de la subcuenta. Inicialmente, solo este usuario tiene acceso a la subcuenta.

Para crear usuarios adicionales en el nivel de subcuenta (que se denominan miembros), cambie a la pantalla de administración de usuarios. Para esta tarea, seleccione el miembros elemento de menú en el cockpit de SAP BTP, como se muestra a continuación.

En la pantalla de descripción general del usuario, verá todos los usuarios actualmente asignados a la subcuenta, como se muestra en la figura a continuación. Estos usuarios se pueden editar y eliminar en este punto. Solo su propio usuario no se puede eliminar.

Para agregar un nuevo usuario a la subcuenta, haga clic en el Añadir miembros botón.

Puede crear hasta 100 usuarios a la vez. En el ID de usuario campo, especifique los ID de usuario S generados por el servicio de ID de SAP, como se muestra a continuación. El sistema no verifica si estos ID realmente existen, ni si los usuarios correspondientes están asignados a los datos maestros de usuario de su empresa en SAP Support Portal. Por lo tanto, verifique las identificaciones cuidadosamente; de lo contrario, es posible que se conceda acceso a personas ajenas a su empresa.

En el mismo cuadro de diálogo, puede asignar roles a los usuarios. Puede usar los roles estándar entregados por SAP o usar roles autodefinidos.

Una vez que los usuarios se hayan asignado correctamente, aparecerán en la descripción general del usuario con la nota -subcuenta aún no visitada- en el Nombre columna, como se muestra a continuación. Una vez que un usuario ha iniciado sesión en la subcuenta por primera vez, se usa el nombre del usuario mantenido en el servicio de ID de SAP en lugar de esta nota.

Usar el servicio de ID de SAP para autenticar a los usuarios de una subcuenta tiene algunas desventajas. Por ejemplo, no puede almacenar un período de validez para un usuario en la subcuenta. Tampoco tiene forma de bloquear o desbloquear un usuario directamente en la subcuenta.

En la pantalla de descripción general del usuario, también tiene la opción de ver todos los cambios realizados en los usuarios haciendo clic en el botón Historia botón. Aquí se muestra el historial de cambios de la subcuenta utilizada en el libro en el que se basa esta publicación.

La forma en que un usuario inicia sesión en la subcuenta depende de si se usa el servicio de ID de SAP para la autenticación o si el servicio de autenticación de identidad asume el rol de proveedor de identidad de la plataforma para la subcuenta. Si se utiliza el servicio de ID de SAP, los usuarios pueden iniciar sesión con sus datos de usuario a través de la URL https://cuenta.hana.ondemand.com/. Después de iniciar sesión correctamente, como usuario, verá una descripción general de todas las cuentas globales a las que está asignado directamente o en las que está asignado al menos a través de una subcuenta, como se muestra en esta figura.

Si navega al cockpit de SAP BTP de la cuenta global, vaya a subcuentas > Paisaje del sistema para acceder al resumen de todas las subcuentas a las que está asignado, como se muestra en esta figura.

Cuando un usuario ha iniciado sesión en la subcuenta por primera vez, el nombre de usuario se lee y se almacena en la descripción general del usuario de la subcuenta, como se muestra aquí.

Puede eliminar un usuario haciendo clic en el icono de eliminar en el Comportamiento columna para la entrada de un usuario, como se muestra a continuación. Esta acción se registra y se puede ver a través del historial de cambios.

SAP BTP también ofrece la opción de eliminar más de un usuario a la vez. Para esta tarea, seleccione los usuarios deseados y luego haga clic en el Borrar botón, como se muestra a continuación. Esta acción se registra como la eliminación de un solo usuario y se puede ver a través del historial de cambios.

Gestión de Usuarios en SAP BTP, Cloud Foundry Environment

Puede agregar usuarios como miembros a una organización dentro de su subcuenta en SAP BTP, entorno Cloud Foundry. A su vez, asignará roles a estos miembros para autorizarlos a realizar acciones. Un requisito previo para crear miembros y asignar roles es que se le haya asignado el rol de administrador de la organización. El usuario que creó la subcuenta se agrega automáticamente como miembro y se le asigna este rol.

También puede agregar miembros a un espacio y asignar roles a estos miembros. El requisito previo para esta capacidad es que debe tener el rol de administrador de espacio o administrador de organización. Si solo tiene el rol de administrador del espacio, los usuarios que desea agregar al espacio como miembros ya deben haber sido asignados a la organización como miembros con anterioridad. Si tiene el rol de administrador de la organización, el nuevo miembro no solo se agregará al espacio, sino también a la organización principal automáticamente. En el entorno SAP BTP, Cloud Foundry, los miembros se identifican a nivel de subcuenta y a nivel de espacio únicamente por sus direcciones de correo electrónico.

Se puede acceder a la pantalla de administración de usuarios a través de la ruta del menú Seguridad > Usuarios en la cabina de SAP BTP. La siguiente figura muestra una vista estándar de la pantalla de administración de usuarios para un usuario de administración que se ha asignado como proveedor de identidad a través del servicio de ID de SAP. En nuestro ejemplo, otro usuario que se ha proporcionado a través de Microsoft Azure AD. Para ambos usuarios, la dirección de correo electrónico se especifica como el Nombre de usuario en cada caso.

Haga clic en el Crear botón para crear nuevos usuarios. Para los usuarios que se originan en el servicio de ID de SAP (según lo indicado por Proveedor de identidad predeterminado en la pantalla de resumen), debe crear usuarios explícitamente. Para otros proveedores de identidad, no necesita agregar usuarios explícitamente.

En la pantalla de creación de usuario, ingrese la dirección de correo electrónico del usuario en el Nombre de usuario y Correo electrónico campos como una característica única, como se muestra en la siguiente figura. También especifica el Proveedor de identidad que proporciona este usuario. Confirme sus entradas haciendo clic en el Crear botón.

Después de crear el usuario, para mostrar la vista de detalles del usuario, puede verificar los datos del usuario nuevamente haciendo clic en la flecha en el lado derecho de la línea, como se muestra en la siguiente figura. En este punto, también puede asignar roles directamente al usuario. También puede eliminar un usuario haciendo clic en el Borrar botón.

Para los administradores, este proceso es la forma predeterminada de crear nuevos usuarios a nivel de subcuenta. Por otro lado, si desea que los usuarios finales tengan acceso a una aplicación en la nube que se ejecuta en una subcuenta de SAP BTP, los usuarios generalmente se crean automáticamente desde el propio proveedor de identidad de la empresa. Para esta tarea, seleccionará una marca de verificación durante la configuración del proveedor de identidad. En la práctica, esta configuración le ahorra varios pasos al crear usuarios para usuarios finales.

Un punto que vale la pena mencionar es que debe tener al menos dos administradores asignados al estándar específico de la subcuenta rol de administrador de subcuenta. Este enfoque le permite administrar la subcuenta de manera integral. También debe administrar al menos dos usuarios a través del proveedor de identidad predeterminado en caso de que el proveedor de identidad externo no esté disponible en algún momento.

Nota del editor: Esta publicación ha sido adaptada de una sección del libro. Seguridad y Autorizaciones para SAP Business Technology Platform de Martin Koch y Siegfried Zeilinger.