本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SAP授权
配置所需的授权取决于SDK版本。SDK
配置授权
有关更多详细信息,请参阅以下选项卡。
SAP最终用户的授权
先决条件:定义SDK配置文件
在SAP安全管理员定义其角色之前,业务分析师将在交易/AWS1/IMG
中为 for SAP ABAP 或 for BTP 版本的 “自定义业务配置” 应用程序定义配置SDK文件。 Amazon SDK SDK SAP ABAP通常,SDK配置文件将根据其业务职能命名:ZFINANCEZBILLING、ZMFG、ZPAYROLL、等。对于每个SDK配置文件,业务分析师将使用简称定义逻辑IAM角色,例如CFO、AUDITOR、REPORTING。这些角色将由IAM安全管理员映射到实际IAM角色。
定义PFCG我们的业务角色
注意
PFCG角色被称为ABAP环境中的SAPBTP业务角色。
然后,SAP安全管理员将添加授权对象/AWS1/SESS
以授予对SDK配置文件的访问权限。
身份验证对象 /AWS1/SESS
-
字段
/AWS1/PROF
=ZFINANCE
还应根据用户的工作职能,将用户映射到每个SDK配置文件的逻辑IAM角色。例如,具有报告访问权限的财务审计师可能会被授权IAM担任名为的逻辑角色AUDITOR
。
身份验证对象 /AWS1/LROL
-
字段
/AWS1/PROF
=ZFINANCE
-
字段
/AWS1/LROL
=AUDITOR
同时CFO,拥有读/写权限的,可能具有授权其逻PFCG辑角色的角色。CFO
身份验证对象 /AWS1/LROL
-
字段
/AWS1/PROF
=ZFINANCE
-
字段
/AWS1/LROL
=CFO
通常,每个SDK配置文件只能授权用户使用一个逻辑IAM角色。如果用户获得了多个角色的授权(例如,如果同时对两个IAM角色CFO
和AUDITOR
逻辑IAM角色都进行了授权),则通过确保优先级较高(序列号较低)的角色生效来 Amazon SDK打破平局。CFO
与所有安全场景一样,应授予用户履行其工作职能的最低权限。管理PFCG角色的简单策略是根据PFCG角色授权的SDK配置文件和逻辑角色来命名单个角色。例如,角色Z_AWS_PFL_ZFINANCE_CFO
授予对配置文件ZFINANCE
和逻辑IAM角色的访问权限CFO
。 然后可以将这些单一角色分配给定义工作职能的复合角色。每家公司都有自己的角色管理策略,我们鼓励您PFCG制定适合自己的策略。