updated date: 22.Mar.2023
La seguridad es una de las principales prioridades para los clientes empresariales. Para los usuarios finales de la empresa, tener un proceso de inicio de sesión continuo en diferentes sistemas automáticamente sin ingresar manualmente las credenciales, no solo puede mejorar la experiencia del usuario sino también aumentar la seguridad de la empresa. Dicho esto, SSO juega un papel clave en el proceso.
En este artículo, estamos abordando escenarios donde RISE con SAP Private Cloud Edition Los clientes (sus cargas de trabajo de SAP administradas por SAP en hiperescaladores o SAP DC) se ejecutan en entornos de múltiples nubes y tienen más de un IDP empresarial. Con esta configuración, pueden federar SOO dentro de su entorno SAP con SAP IDP y soluciones de seguridad, mientras tanto también pueden armonizar SSO y la gestión del flujo de trabajo de seguridad con otros IDP de terceros (como Azure AD). Lo que significa que cada desplazado interno para sus propios fines puede mantener su autonomía y aún puede federarse hasta cierto punto a pedido.
En este artículo, nos enfocamos principalmente en escenarios de SSO directo de cliente a servidor.
Próximamente se publicará un blog de seguimiento con respecto a los escenarios de SSO de servidor a servidor.
Inicio de sesión único (abreviatura de SSO) |
|
Proveedor de identidad (abreviatura de desplazado interno) |
|
Proveedor de servicio (abreviatura como SP) |
|
Gestión de identidad (abreviatura como IDM) |
|
Gestión de identidad y acceso (abreviatura como IAM) |
|
SSO federado |
|
SSO armonizado [Highly Recommended] |
|
Fig. 1: Roles y responsabilidades del proceso SSO
En esta sección, primero revisaremos los IDP e IDM de SAP que se utilizan para la federación de SSO del entorno de SAP, y también enumeraremos la integración de SSO de los principales productos de SAP. Luego, a continuación, consideraremos los clientes de RISE con SAP Private Cloud Edition en entornos de múltiples nubes, luego propondremos el concepto ‘Security Hub and Spoke’ que puede hacer la armonización de SSO en tales configuraciones.
Solución de proveedor de identidad | Método admitido | Despliegue |
Servicios de identidad en la nube de SAP – Autenticación de identidad |
SAML 2.0 Conexión de identificación abierta OAuth2 SPNEGO X.509 Inicio de sesión social |
Suscripción a la nube en BTP |
Inicio de sesión único de SAP 3.0 |
Kerberos SPNEGO X.509 SAML 2.0 |
Máquina virtual administrada por SAP RISE |
Los IDM de SAP le brindan gestión de flujo de trabajo de IAM de nivel empresarial, gestión del ciclo de vida de la identidad, control de acceso y audición.
* Tenga en cuenta que la lista a continuación no puede enumerar todos los productos de SAP y todos los escenarios de integración, se puede encontrar más soporte en la documentación oficial de SAP.
En un entorno de múltiples nubes, podría haber múltiples proveedores de identidad (IDP), cada IDP está diseñado para su propio propósito con integración nativa con su propio grupo de proveedores de servicios.
Como la mayoría de los clientes empresariales utilizan Microsoft Office 365 y es posible que ya tenga instalado Azure AD, por lo que proponemos la arquitectura ‘Security Hub and Spoke’. Sugerimos usar Microsoft Azure AD como el «centro» para la armonización de SSO, luego SAP IDP y otros IDP hiperescaladores jugarán como «habla» en el panorama de múltiples nubes. (ver Figura 2 – 4)
En los casos en que los clientes utilicen Google G-Suite en cambio, los clientes aún pueden generar confianza entre SAP IDP y Google IDP. (ver Figura 5)
Con estas configuraciones, cada IDP mantendrá su autonomía, sin dejar de tener la «confianza» armonizada y la sincronización en su lugar.
Integración con Azure IPD (Azure AD) (ver Figura 2) |
|
|
Integración con AWS IPD (Amazon Cognito) (ver Fig. 3) |
||
Integración con GCP IPD (Identidad de la nube de Google) |
(ver Figura 4) | |
(ver Figura 5) |
Fig. 2: Diseño de arquitectura para clientes de RISE PCE que realizan un SSO armonizado en un entorno de múltiples nubes (el propio hiperescalador del cliente es Azure, como ejemplo)
Fig. 3: Diseño de arquitectura para clientes de RISE PCE que realizan SSO armonizado en un entorno de múltiples nubes (el propio hiperescalador del cliente es AWS y Azure, como ejemplo)
Fig. 4: Diseño de arquitectura para clientes de RISE PCE que realizan SSO armonizado en un entorno de múltiples nubes (el propio hiperescalador del cliente es GCP y Azure, como ejemplo)
Fig. 5: Diseño de arquitectura para clientes de RISE PCE que realizan un SSO armonizado en un entorno de múltiples nubes (como ejemplo, el propio hiperescalador del cliente es GCP)
Ke Ma (también conocido como Mark), coautor, consultor sénior, grupo SAP IES AI CoE/RISE Cloud Advisory RA
Frank Gong, coautor, Gerente de Compromiso con el Cliente DigitalSAP ECS
Stephan Andre, seguridad de SAP BTP, gerente de desarrollo
Tommaso Nuccio, Arquitecto de Seguridad, SAP IES Security
Yash Karia, Consultor SAP IAM, Plataforma SAP IES
Sven Herzog, Consultor SAP IAM, Plataforma SAP IES
Kevin Flanagan, Jefe de arquitectura y asesoramiento en la nube, RISE Cloud Advisory, EMEA Norte
Luc DUCOIN, arquitecto y asesor de la nube, RISE Cloud Advisory
Richard Traut, arquitecto y asesor de la nube, RISE Cloud Advisory
Sven Bedorf, Jefe de arquitectura y asesoramiento en la nube, RISE Cloud Advisory, MÍ
Samuel Grevillot, ingeniero de atención al cliente, Google
Extended Reading: Join our SAP Single Sign-On community here Google Cloud Identity integration with SAP Cloud Identity Services, by SAP colleague, Alexander Zubev A SSO Guide for SAP RISE PCE customers, by SAP colleague, Matthias SSO with SAML 2.0: how does it work, by VMware Youtube Channel
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073