1. Analyzing User and Authorization Management on SAP BTP
비즈니스 관점에서 본 사용자 및 권한 관리
현대 IT 환경의 복잡성이 증가함에 따라, 보안의 중요성이 높아지고 있습니다. SAP BTP에서는 다음과 같은 사용자 관리와 권한 관리를 제공합니다:
- 플랫폼 사용자: 관리자, 운영자(DevOps), 개발자 등 SAP BTP 플랫폼 및 관리 도구와 상호작용하는 사용자.
- 비즈니스 사용자: SAP BTP에서 제공하는 비즈니스 애플리케이션(예: SAP Business Application Studio)을 사용하는 최종 사용자.
SAP BTP의 사용자 관리
SAP BTP는 계층적으로 구조화된 관리 방식을 채택하고 있습니다.
글로벌 계정
- SAP와의 계약을 기반으로 생성되는 가장 높은 수준의 계정.
- 글로벌 계정 관리자:
- 서비스 할당 및 청구 정보 관리.
- 디렉터리 및 서브 계정 생성.
- 다른 사용자들에게 관리자 권한 부여.
서브 계정
- 글로벌 계정의 하위 레벨로, 애플리케이션과 서비스를 제공.
- 서브 계정 관리자:
- 서브 계정 내에서 서비스 구독, 사용자 생성, 역할 할당 등 관리.
- 글로벌 계정 수준의 권한은 없음.
사용자 유형
- 플랫폼 사용자: SAP BTP Cockpit 및 클라우드 관리 도구에 직접 로그인하여 플랫폼 관리
- 비즈니스 사용자: 비즈니스 애플리케이션에 접근하며, 관리 작업 권한은 없음.
SAP BTP의 역할 및 권한 관리
역할(Role)
- 특정 서비스 또는 애플리케이션 사용을 위한 권한을 정의.
- 대부분 서비스 제공자가 미리 정의한 역할 템플릿 사용.
- 일부 역할은 사용자 맞춤 설정 가능.
역할 컬렉션(Role Collection)
- 하나 이상의 역할을 포함하는 권한 집합.
- 역할 컬렉션 특징:
- 사용자는 개별 역할이 아닌, 역할 컬렉션에 할당됨.
- 글로벌 계정, 서브 계정 등 각 계층별로 별도 관리.
- 기본 제공 역할 컬렉션 외에 사용자 정의 역할 컬렉션 생성 가능.
사용자 인증 및 권한 부여
- SAP ID 서비스(기본 신원 제공자) 또는 맞춤형 신원 제공자를 통해 사용자 관리.
- 연합(Federation):
- 사용자 그룹에 역할 컬렉션을 매핑하여 효율적 관리.
- 새 사용자를 추가하면, 해당 그룹에 매핑된 모든 권한 자동 부여.
핵심 요약
- SAP BTP는 플랫폼 사용자와 비즈니스 사용자를 구분하여 관리.
- 역할과 역할 컬렉션을 통해 권한을 구성하고, 사용자는 역할 컬렉션에 할당.
- 글로벌 계정, 디렉터리, 서브 계정 등의 계층 구조를 통해 리소스와 사용자 권한을 관리.
- 연합 기능으로 사용자 그룹 기반 관리가 가능하여 시간 절약과 효율성을 극대화.
추가 학습 자료
2. Analyzing SAP Cloud Identity Services
Identity Providers (IdPs)
SAP BTP의 애플리케이션 및 서비스는 사용자 정보를 자체적으로 저장하지 않습니다. 대신, Identity Provider(IdP)를 통한 인증 리디렉션을 통해 중앙 집중식 인증 관리가 이루어집니다.
SAP ID Service
- SAP BTP의 기본 IdP로 설정된 SAP ID Service는 모든 고객이 공유하는 SAP의 표준 공개 IdP.
- SAP ID Service의 특징:
- SAP BTP의 서브 계정에 대한 사전 구성된 신뢰 연결 제공.
- 사용자(S-Users, P-Users, D-Users)를 관리.
- 추가 비용 없이 무료 사용자 생성 가능.
- SAP의 공식 사이트(예: 개발자 및 파트너 커뮤니티)에서도 사용.
맞춤형 IdP와의 연계
- 고객사의 기업용 IdP를 통합하고자 할 경우 SAP는 SAP Cloud Identity Services – Identity Authentication Service (IAS) 사용을 권장
- IAS는 SAP BTP에 맞춤형 IdP를 연결하거나 기존 기업 IdP와 연계할 수 있도록 지원.
SAP Cloud Identity Services 구성요소
1. Identity Authentication
Identity Authentication은 웹 애플리케이션에 대해 안전하고 간단한 접근을 제공합니다.
- 기능:
- SAML 2.0 기반의 신원 연합.
- 웹 및 데스크톱 SSO 제공.
- 소셜 로그인 및 이중 인증 지원.
- 사용자 관리:
- 온프레미스 사용자 저장소와의 통합.
- 비밀번호 재설정 및 사용자 프로필 관리 같은 사용자 셀프 서비스.
- IdP Proxy 기능:
- 기존 SSO 인프라 재사용.
- SAML 2.0 표준 기반 연합.
2. Identity Provisioning
Identity Provisioning은 사용자의 계정과 권한을 클라우드 및 온프레미스 애플리케이션에 할당할 수 있도록 지원합니다.
- 기능:
- 중앙화된 사용자 라이프사이클 관리(생성, 변경, 삭제 포함).
- 온보딩 프로세스 간소화 및 신속한 관리.
- 사용자 계정과 권한 관리를 위한 클라우드 및 온프레미스 저장소 통합.
Key Concepts
SAML (Security Assertion Markup Language)
- XML 기반의 보안 표준으로, IdP와 서비스 제공자 간의 인증 및 권한 데이터를 교환.
SSO (Single Sign-On)
- 사용자가 한 번의 인증으로 여러 시스템에 접근할 수 있는 메커니즘.
핵심 요약
- SAP BTP와 애플리케이션은 사용자 정보를 자체적으로 저장하지 않고, Identity Provider(IdP)를 통해 인증을 처리.
- SAP ID Service는 SAP BTP의 기본 IdP로 설정되어 사전 구성된 신뢰 연결을 제공.
- SAP Cloud Identity Services는 두 가지 주요 서비스로 구성:
- Identity Authentication: 인증 및 SSO 제공.
- Identity Provisioning: 사용자 및 권한 라이프사이클 관리.
- SAML 및 SSO 같은 표준 기술을 기반으로 안전하고 효율적인 인증 환경 제공.
추가 학습 자료
- SAP Cloud Identity Services - Identity Authentication 공식 문서
- SAP Cloud Identity Services - Identity Provisioning 공식 문서
3. Illustrating SAP Authorization and Trust Management Service (XSUAA)
SAP Authorization and Trust Management Service (XSUAA)
XSUAA 개요
- XSUAA는 SAP BTP 환경에서 사용자, IdP(Identity Provider), 애플리케이션 또는 서비스 간의 인증 및 권한 부여 흐름을 관리.
- SAP의 클라우드 환경인 Cloud Foundry에 기반을 둔 서비스로, SAP는 오픈 소스인 UAA(Universal Authentication Authority)를 확장하여 XSUAA를 개발.
XSUAA의 주요 특징
- IdP와 신뢰 연결 필요:
- SAP ID Service 또는 통합된 기업용 IdP와 연결.
- SAP Cloud Identity Services - Identity Authentication Service (IAS)와 통합 가능.
- OAuth 및 JWT:
- OAuth를 사용하여 서비스 간 인증 및 IdP 연결.
- JWT(JSON Web Token)를 활용하여 사용자 정보 및 접근 권한을 안전하게 전달.
- 중앙 인증 인프라:
- SAP BTP의 Cloud Foundry 환경에서 비즈니스 사용자 인증 및 권한 부여를 위한 핵심 구성 요소.
- SAP 확장:
- 서비스 브로커, 다중 테넌시 지원, 관리 API 기능 추가.
OAuth란?
- 애플리케이션 및 웹사이트 간의 권한 관리를 위한 오픈 표준 프로토콜.
- 비밀번호 데이터를 공유하지 않고 인증 토큰을 사용하여 권한 승인.
- 토큰의 유형: JWT (JSON Web Token).
- JWT의 특징:
- 안전하고 간결한 방식으로 정보를 전송.
- 사용자 정보 및 접근 권한을 인증.
- JWT의 특징:
App Router
App Router란?
- Application Router는 여러 마이크로서비스로 구성된 비즈니스 애플리케이션에 단일 진입점을 제공합니다.
- Node.js 기반 애플리케이션으로, xs-app.json 구성 파일에 따라 동작.
App Router의 주요 기능
- 정적 콘텐츠 제공:
- 파일 시스템 구조에서 문서나 이미지를 제공.
- 사용자 인증:
- 인증 요청을 XSUAA 서비스로 전달.
- 요청 라우팅:
- 백엔드 애플리케이션(마이크로서비스)으로 요청을 디스패치.
App Router와 XSUAA의 상호작용
- App Router는 XSUAA 서비스와 바인딩되어 인증 요청을 처리.
- 애플리케이션 간 라우팅 및 정적 리소스 제공.
핵심 요약
- XSUAA는 SAP BTP에서 IdP와 애플리케이션 간의 인증 및 권한 부여를 담당하며, 사용자 데이터를 저장하지 않음.
- XSUAA는 OAuth를 사용하여 안전하고 효율적인 인증 환경을 제공하며 JWT를 통해 정보를 전달.
- App Router는 비즈니스 애플리케이션의 단일 진입점 역할을 하며, 정적 리소스 제공 및 백엔드 서비스와의 연결을 지원.
추가 학습 자료
4. SAP BTP: 보안 기초 - 퀴즈
Q1. App Router는 다음 중 어떤 작업을 수행하나요?
(정답 3개를 선택하세요.)
- A. 정적 콘텐츠 또는 파일 제공
- B. 사용자 인증(Authentication)
- C. 백엔드 애플리케이션으로 요청 디스패치
- D. 글로벌 및 하위 계정 관리
정답:
- A. 정적 콘텐츠 또는 파일 제공
- B. 사용자 인증(Authentication)
- C. 백엔드 애플리케이션으로 요청 디스패치
정답 이유:
App Router는 SAP BTP에서 비즈니스 애플리케이션의 단일 진입점 역할을 하며, 다음을 수행합니다:
- 정적 콘텐츠(예: 문서, 이미지) 제공
- XSUAA 서비스를 통해 사용자 인증 처리
- 백엔드 애플리케이션 또는 마이크로서비스로 요청 전달
Q2. 글로벌 계정 관리자가 서브 계정을 생성하면, 자동으로 해당 서브 계정의 관리자가 됩니다.
- A. True
- B. False
정답: A. True
정답 이유:
SAP BTP에서 글로벌 계정 관리자가 새 서브 계정을 생성하면, 시스템은 해당 관리자를 서브 계정의 관리자 역할에 자동으로 할당합니다.
Q3. 역할 컬렉션(Role Collections)은 여러 개별 역할(roles)로 구성됩니다.
- A. True
- B. False
정답: A. True
정답 이유:
역할 컬렉션(Role Collections)은 여러 개의 개별 역할(Role)을 묶어서 사용자가 쉽게 관리하고 애플리케이션 또는 서비스를 통해 액세스를 부여할 수 있도록 구성한 것입니다.
Q4. Identity Authentication 서비스의 주요 책임은 무엇인가요?
(정답 2개를 선택하세요.)
- A. Authentication
- B. Encryption
- C. Single Sign-On
- D. Trust configuration
정답:
- A. Authentication
- C. Single Sign-On
정답 이유:
Identity Authentication 서비스는 인증(Authentication)과 싱글 사인온(SSO)을 통해 안전하고 간편한 사용자 액세스를 제공하는 데 초점이 맞춰져 있습니다. 암호화나 신뢰 구성은 이 서비스의 주요 역할이 아닙니다.
Q5. SAP ID 서비스는 SAP BTP의 기본 ID 제공자(Identity Provider)입니다.
- A. True
- B. False
정답: A. True
정답 이유:
SAP ID 서비스(account.sap.com)는 SAP BTP에서 기본으로 제공되는 ID 제공자이며, 모든 고객이 사용할 수 있도록 사전 구성되어 있습니다.
Q6. XSUAA 서비스는 사용자 기록 데이터를 저장합니다.
- A. True
- B. False
정답: B. False
정답 이유:
XSUAA 서비스는 SAP BTP에서 인증 및 권한 부여를 처리하는 중앙 인프라 역할을 하지만, 사용자 데이터나 사용자 기록을 저장하지 않습니다. IdP(예: SAP ID 서비스 또는 다른 회사의 ID 제공자)에 의존하여 사용자 정보를 처리합니다.
'SAP > BTP' 카테고리의 다른 글
| Exploring Why A Clean Core Is Necessary (1) | 2025.01.06 |
|---|---|
| SAP Cloud for Sustainable Enterprises (3) | 2025.01.03 |
| SAP BTP: AI (3) | 2024.12.21 |
| SAP BTP: Data and Analytics (0) | 2024.12.21 |
| SAP BTP: Integration (0) | 2024.12.21 |
