安全性 - SAP 通用指南

单点登录 — SAP 业务技术平台 (BTP) 和 Amazon IAM 身份中心借助 SAP 使用 Amazon 服务增强 RISE 中的安全性

安全性

SAP 管理由 SAP Amazon Web Services 账户管理的安全性。您可以自己实施其他安全机制 Amazon Web Services 账户。

主题

单点登录 — SAP 业务技术平台 (BTP) 和 Amazon IAM 身份中心
借助 SAP 使用 Amazon 服务增强 RISE 中的安全性

单点登录 — SAP 业务技术平台 (BTP) 和 Amazon IAM 身份中心

在 RISE with SAP 中，你可以使用 SAP BTP 的身份认证集成自己的身份提供者 (IdP)，例如 Amazon IAM、Okta、Ping、微软 Windows Azure Active Directory 和其他人。

有关 Amazon IAM 身份中心的更多信息，请参阅什么是 IAM 身份中心？
有关身份验证的更多信息，请参阅 SAP 帮助门户上的 SAP 云身份服务- 身份验证。

下图显示了 SAP BTP 的身份验证与 IA Amazon M 身份中心之间的集成。

集成 SAP BTP IAS 和 IAM 身份中心

身份验证流程

用户通过互联网浏览器访问 SAP Fiori。
身份验证拦截请求并将其路由到 IAM 身份中心。
成功进行身份验证后，即可使用 SAP VPC 访问 RISE 中的 SAP S/4HANA。

借助 SAP 使用 Amazon 服务增强 RISE 中的安全性

将 RISE 与 SAP VPC 与您自己的 Amazon VPC 集成 Amazon Web Services 账户，该网络层不由 SAP 管理，以实施安全机制。有关更多信息，请参阅 VPC 到 VPC 的连接。

网络流量可以通过增强安全性并在网络层上运行的 Amazon 服务进行路由，通过 SAP VPC 进出 RISE。有关更多信息，请参阅基础架构 OU-网络帐户。

您可以使用以下 Amazon 服务通过 SAP 安全性增强 RISE。

Amazon Shield以降低拒绝服务 (DDoS) 攻击的风险。
Amazon Network Firewall实施入侵检测和防御。
Amazon WAF保护 SAP Fiori 等网络应用程序免受攻击。
Amazon Certificate Manager来处理公共 SSL 证书的管理。
亚马逊 CloudFront（包括 Amazon Shield和可选 Amazon WAF）将实施边缘安全以保护 SAP 工作负载。
Amazon 开启合作伙伴解决方案Amazon Web Services Marketplace以满足更高级的安全要求。

下图显示了带有 Amazon 服务的 SAP 安全增强功能的 RISE。

借助 SAP 安全增强功能，实现 RISE 的流量流。

交通流

用户通过互联网浏览器访问 SAP Fiori。
流量通过您管理的入站 VPC 路由。整个交通流都是通过的 Amazon Transit Gateway。
流量将路由到您管理的防火墙 VPC。根据贵公司的安全策略，网络防火墙可能会对流量进行过滤。
现在，流量将传递到在 SAP Amazon Web Services 账户托管中运行的 Amazon EC2 实例。
Amazon EC2 实例响应将路由回客户托管的防火墙 VPC。
现在，响应流量会传递到您管理的出站 VPC。
响应流量到达用户。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

连接

可靠性