Verwaltete Assets
In diesem Abschnitt finden Sie eine Übersicht über die sicherheitsrelevanten Assets im Rahmen von SAP Landscape Management.
|
Asset |
Beschreibung |
Relevante Agents und Speicher |
|---|---|---|
|
Serverzertifikate von SAP Landscape Management |
Zertifikate zur Authentifizierung des Servers von SAP Landscape Management und zur Verschlüsselung der Kommunikation, wenn SAP Landscape Management bei HTTPS als Server verwendet wird. |
SAP NetWeaver Application Server für Java kapselt die Netzwerkkommunikation. Das Zertifikat wird im NW-Zertifikatsspeicher abgelegt. Partneradapter, die zusammen mit SAP Landscape Management installiert werden, können die Zertifikate von SAP Landscape Management zur Authentifizierung über die API nutzen. |
|
Credentials für verwaltete Systems (z.B. sapadm, <sapsid>adm, HANA SYSTEM USER). |
Credentials zur Verwaltung der SAP-Systeme bei der Ausführung einer Operation. Zusätzlich kopiert oder löscht SAP Landscape Management Benutzer bei der ausgeführten Operation. Dies kann lokal auf dem Host oder in der zentralen Benutzerablage erfolgen. Weitere Informationen finden Sie im Betriebsleitfaden im SAP Help Portal unter https://help.sap.com/viewer/lama_operations. |
SAP Landscape Management für die Verarbeitung. Der sichere Speicher von NW zur Ablage dieser Credentials. Die Credentials werden zur Authentifizierung am jeweiligen Service über das Netzwerk übertragen. Der SAP-Host-Agent kann die Credentials für das verwaltete System während der ausgeführten Operation empfangen. Je nachdem, wie Kundenerweiterungen (Hooks, Operationen) konfiguriert sind, können die Credentials an diese übergeben werden. Credentials werden an die Partneradapter für die jeweilige Managementfunktion übergeben. |
|
Credentials für die Infrastrukturkommunikation (z.B. LDAP-Administration, Virtual Resource Management). |
Credentials zum Abrufen oder Aktualisieren von Daten in der Infrastruktur, die für die Ausführung einer bestimmten Operation von SAP Landscape Management relevant sind, z.B. das Kopieren eines <sapsid>adm-Benutzers in einen neuen <sapsid>adm-Benutzer im Rahmen einer Systemkopie. Credentials können außerdem zum Anstoßen eines kundendefinierten Hooks oder eine kundendefinierten Operation verwendet werden. Die Credentials für die Verbindung mit dem jeweiligen Service werden nicht von SAP Landscape Management geändert. |
SAP Landscape Management zur Verarbeitung von Credentials. Der sichere Speicher von NW zur Ablage dieser Credentials. Die Credentials werden zur Authentifizierung am jeweiligen Service über das Netzwerk übertragen. |
|
Client-Zertifikate |
SAP Landscape Management kann anstelle von Kennwörtern Client-Zertifikate für die Authentifizierung nutzen, z.B. den SAP-Host-Agent oder sonstige Infrastrukturservices. |
SAP Landscape Management für die Verarbeitung über die NW-API. NW-Zertifikatsspeicher zur Ablage der Zertifikate. |
|
Datenbankinhalte (Protokolle und Landschaft) |
Informationen zur Landschaft des verwalteten Systems einschließlich SAP-Services und Infrastruktur. Repositorys, Servicekonfigurationen und spezielle Konfigurationen von SAP Landscape Management wie kundendefinierte Hooks. Benutzerspezifische UI-Konfigurationen. Protokolle von ausgeführten Aktivitäten mit Benutzer-IDs. |
Der Datenbankzugriff von SAP Landscape Management erfolgt über JDBC, um die Daten von der bzw. an die UI oder eine sonstige Schnittstelle zu übertragen (z.B. REST API, Konfigurations-Servlet). SAP Landscape Management nutzt diese Daten auch für Operationsaufgaben. Die ausgeführte Operation bestimmt, an welchen Agent die Daten übertragen werden können. |
|
Archivierte Protokolle |
Archivierte Protokolle sind Exportdateien von Datenbank-Protokollen. Sie geben die Benutzer-IDs und die Aktivitäten mit Zeitstempel an. |
SAP Landscape Management liest die Protokolle aus der Datenbank und schreibt sie als komprimierte Archive in das konfigurierte Verzeichnis. Archivierte Protokolle werden aus der Datenbank entfernt. |
|
Einträge im zentralen Verzeichnis |
SAP Landscape Management muss die Namensauflösung beim Anlegen oder Ändern von Hosts oder SAP-Systemen ändern und passt die Benutzerablagen beim Kopieren oder Klonen von Systemen an. |
SAP Landscape Management liest und ändert den Nameserver und die zentralen Benutzerablagen. Abhängig von der ausgeführten Operation legt SAP Landscape Management eventuell nur auf dem verwalteten Host Benutzer an. |
|
Verwaltete Hosts, verwaltete Systeme, Datenspeicher |
SAP Landscape Management ändert verwaltete Hosts und Systeme mitsamt ihren Datenspeichern. Die Änderungen können dabei die lokale Namensauflösung, das Mounten von Remote-Verzeichnissen, das Löschen von Sicherungen oder Speichern, die Neukonfiguration von lokalen iptables-Einträgen usw. betreffen. |
Die SAP-Host-Agents, Partneradapter und SAP Landscape Management selbst müssen die je nach Anwendungsfall erforderlichen Änderungen ausführen. |