翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SAP 認証
の設定に必要な認可SDKは、SDKエディションによって異なります。
設定の権限
詳細については、以下のタブを参照してください。
SAP エンドユーザーの認証
前提条件: SDKプロファイルを定義する
SAP セキュリティ管理者がロールを定義する前に、ビジネスアナリストは /AWS1/IMG
の AWS SDKトランザクションでSDKプロファイルを定義SAPABAPし、 のカスタムビジネス設定アプリケーションは - BTP Edition SAP ABAP SDKのプロファイルを定義します。通常、SDKプロファイルには、ビジネス関数 ZFINANCE、、ZBILLINGZMFG、 ZPAYROLLなどに従って名前が付けられます。ビジネスアナリストは、SDKプロファイルごとに、CFO、、 などの短い名前の論理IAMロールを定義しますAUDITORREPORTING。これらは、IAMセキュリティ管理者によって実際のIAMロールにマッピングされます。
PFCGまたはビジネスロールの定義
注記
PFCG ロールはBTP、SAP、 ABAP環境ではビジネスロールと呼ばれます。
次に、SAPセキュリティ管理者はSDK、プロファイルへのアクセス/AWS1/SESS
を許可する承認オブジェクトを追加します。
認証オブジェクト /AWS1/SESS
-
フィールド
/AWS1/PROF
=ZFINANCE
また、ユーザーは、ジョブ機能に応じて、各SDKプロファイルの論理IAMロールにマッピングする必要があります。例えば、レポートアクセス権を持つ財務監査者は、 という論理IAMロールに対して承認される場合がありますAUDITOR
。
認証オブジェクト /AWS1/LROL
-
フィールド
/AWS1/PROF
=ZFINANCE
-
フィールド
/AWS1/LROL
=AUDITOR
一方、読み取り/書き込み認証CFOを持つ には、 の論理PFCGロールを承認するロールがある場合がありますCFO
。
認証オブジェクト /AWS1/LROL
-
フィールド
/AWS1/PROF
=ZFINANCE
-
フィールド
/AWS1/LROL
=CFO
一般に、プロファイルごとに 1 つの論理IAMロールに対してのみユーザーを承認する必要がありますSDK。ユーザーが複数のIAMロールに対して承認されている場合 (例えば、 CFO が AUDITOR
CFO
と論理IAMロールの両方に対して承認されている場合)、 は AWS SDK優先度の高い (シーケンス番号が低い) ロールが有効になるようにして、関連付けを切断します。
すべてのセキュリティシナリオと同様に、ユーザーには職務を遂行するための最小特権を与える必要があります。PFCG ロールを管理するための簡単な戦略は、承認するSDKプロファイルと論理PFCGロールに従って単一のロールに名前を付けることです。例えば、ロールはプロファイルZFINANCE
と論理IAMロール へのアクセスZ_AWS_PFL_ZFINANCE_CFO
を許可しますCFO
。これらの単一のロールは、ジョブ関数を定義する複合ロールに割り当てることができます。各企業にはロール管理のための独自の戦略があります。そのため、お客様に適したPFCG戦略を定義することをお勧めします。