SAP 認証 - AWS SDK for SAP ABAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SAP 認証

このセクションでは、次のトピックについて説明します。

設定の権限

SDK for SAP ABAP を設定するには、以下の権限が必要です。

  • S_TCODE

    • TCD = /AWS1/IMG

  • S_TABU_DIS

    • ACTVT = 02, 03

    • DICBERCLS

      次の権限グループから選択します。
      • /AWS1/CFG - AWS SDK for SAP ABAP v1 - コンフィグ

      • /AWS1/MOD - AWS SDK for SAP ABAP v1 - ランタイム

      • /AWS1/PFL - AWS SDK for SAP ABAP v1 - SDK プロファイル

      • /AWS1/RES - AWS SDK for SAP ABAP v1 - 論理リソース

      • /AWS1/TRC - AWS SDK for SAP ABAP v1 - トレース

エンドユーザー向けの SAP 認証

前提条件: SDK プロファイルの定義

SAP セキュリティ管理者zがロールを定義する前に、ビジネスアナリストはトランザクション /AWS1/IMG で SDK プロファイルを定義します。通常、SDK プロファイルにはビジネス機能 (ZFINANCE、ZBILLING、ZMFG、ZPAYROLL など) に従って名前が付けられます。ビジネスアナリストは SDK プロファイルごとに、CFO、AUDITOR、REPORTING などの短い名前で論理 IAM ロールを定義します。これらは IAM セキュリティ管理者によって実際の IAM ロールにマッピングされます。

PFCG ロールを定義する

次に、SAP セキュリティ管理者は SDK プロファイルへのアクセスを許可する認証オブジェクト /AWS1/SESS を追加します。

認証オブジェクト /AWS1/SESS

  • フィールド /AWS1/PROF = ZFINANCE

また、ユーザーを職務に応じて各 SDK プロファイルの論理 IAM ロールにマッピングする必要があります。例えば、レポートへのアクセス権を持つ財務監査人には、AUDITOR という論理 IAM ロールの権限が与えられる場合があります。

認証オブジェクト /AWS1/LROL

  • フィールド /AWS1/PROF = ZFINANCE

  • フィールド /AWS1/LROL = AUDITOR

一方、読み取り/書き込み権限を持つ CFO には、CFO の論理的な役割を許可する PFCG ロールが与えられる場合があります。

認証オブジェクト /AWS1/LROL

  • フィールド /AWS1/PROF = ZFINANCE

  • フィールド /AWS1/LROL = CFO

一般に、ユーザーは SDK プロファイルごとに 1 つの論理 IAM ロールに対してのみ認証される必要があります。1 人のユーザーが複数の IAM ロールに対して認証されている場合 (例えば、CFO が CFOAUDITOR の両方の論理 IAM ロールに対して権限を付与されている場合)、AWS SDK は優先順位が高い (シーケンス番号が小さい) ロールが有効になるようにすることで、この関係を解消します。

すべてのセキュリティシナリオと同様に、ユーザーには職務を遂行するための最小特権を与える必要があります。PFCG ロールを管理する簡単な方法は、許可する SDK プロファイルと論理ロールに従って単一の PFCG ロールに名前を付けることです。例えば、ロール Z_AWS_PFL_ZFINANCE_CFO はプロファイル ZFINANCE と論理 IAM ロール CFO へのアクセスを許可します。その後、これらの単一ロールを、職務を定義する複合ロールに割り当てることができます。各企業には役割管理に関する独自の戦略があるため、自社に合った PFCG 戦略を定義することをお勧めします。