모범 사례 7.3 - 조직의 자격 증명 관리 접근 방식 및 SAP에 대한 적용 이해 - SAP Lens

모범 사례 7.3 - 조직의 자격 증명 관리 접근 방식 및 SAP에 대한 적용 이해

일반적인 SAP 워크로드는 여러 시스템으로 구성되므로 자격 증명도 여러 개입니다. 이러한 사용자를 관리하기 위한 중앙 집중식 접근 방식은 보안 위험과 운영 복잡성을 줄일 수 있습니다. 중앙 집중식 사용자 관리, 통합 인증(SSO) 및 멀티 팩터 인증을 고려하여 접근 방식에서 AWS 서비스 및 서드 파티 도구를 사용하는 방법에 초점을 맞춥니다.

제안 사항 7.3.1 – 명명된 사용자에 대한 자격 증명 공급자를 결정

사용자는 Active Directory와 같은 자격 증명 스토어와 연결됩니다. 이는 역할, 권한, 식별자와 같은 자격 증명 정보를 관리하기 위한 중앙 리포지토리 역할을 합니다. 각 자격 증명 세트에 대해 자격 증명 공급자와 연결할 수 있는지 여부를 판단합니다. 자격 증명 공급자를 사용하면 사용자 인증을 오프로드할 수 있습니다. 통합 인증(SSO)을 용이하게 하고 사용자 자격 증명 수명 주기(예: 입사, 전근, 퇴사)도 관리합니다.

사람과 연결되지 않은 명명된 사용자에 대한 예외를 고려합니다. 여기에는 배치, 작업 예약, 통합 및 모니터링 사용자가 포함될 수 있습니다.

제안 사항 7.3.2 – 인증 메커니즘을 결정

SAP 워크로드의 각 계층에서 지원되는 인증 메커니즘(예: SAML, Kerberos, X.509, SAP Single Sign-On 티켓)을 이해합니다. 애플리케이션과 통합하기 위한 요구 사항을 평가합니다. 여러 사용자 자격 증명을 관리할 때 관리 및 보안에 미치는 영향을 방지하려면 가능한 경우 통합 인증(SSO)을 사용합니다.

제안 사항 7.3.3 – 멀티 팩터 인증을 고려

멀티 팩터 인증(MFA)은 로그온 자격 증명 위에 추가 보호 계층을 더하는 모범 사례입니다. 이러한 멀티 팩터는 SAP 애플리케이션의 보안을 강화합니다. 사용 사례에는 신뢰할 수 없는 디바이스에서 SAP에 액세스, AWS Management Console에 액세스, 백업 삭제 또는 EC2 인스턴스 종료와 같은 권한 있는 작업이 포함됩니다.

제안 사항 7.3.4 – 인증서 관리 접근 방식을 결정

클라이언트 기반 인증서는 자격 증명 필요 없이 인증에 사용할 수 있습니다. 세션 관리를 위한 시간 기반 만료와 시스템 간 통신을 위한 인증서 교체를 포함하는 접근 방식을 결정합니다. AWS는 SAP에서 신뢰하는 인증 기관을 제공합니다. 인증서는 AWS Certificate Manager(ACM) 를 사용하여 발급 및 관리할 수 있습니다.