SAP Integration Suite'de Security Material ve Credential Store Yönetimi

SAP Integration Suite’de güvenli entegrasyon geliştirmenin temel taşlarından biri, kimlik bilgilerini ve güvenlik materyallerini doğru biçimde yönetmektir. Bu yazıda SAP BTP Cloud Integration üzerinde Security Material ve Credential Store özelliklerinin ne işe yaradığını, aralarındaki farkları, yapılandırma adımlarını ve en iyi uygulamaları ele alıyoruz. Entegrasyonlarınızda şifre, sertifika veya OAuth token gibi hassas verileri güvenle saklamanın yolunu arıyorsanız doğru yerdesiniz.

SAP Integration Suite’de Güvenlik Yönetimi Neden Bu Kadar Önemli?

Modern kurumsal entegrasyonlarda onlarca, hatta yüzlerce farklı sistem birbiriyle konuşur. Bu sistemlerin her biri API anahtarları, kullanıcı adı/şifre çiftleri, OAuth token’ları veya X.509 sertifikaları gibi kimlik doğrulama mekanizmalarına ihtiyaç duyar.

Bu bilgileri iFlow içine doğrudan yazmak — yani “hardcode” etmek — hem güvenlik açığı yaratır hem de bakımı son derece zorlaştırır. SAP Integration Suite bu sorunu iki temel araçla çözer: Security Material ve Credential Store. Her ikisi de hassas verileri iFlow mantığından soyutlayarak merkezi, güvenli ve denetlenebilir bir şekilde yönetmenizi sağlar.

Benzer konular için SAP Integration Suite’de Content Modifier ile Mesaj Dönüşümü ve SAP Integration Suite’te Header, Property ve Exchange Nedir? yazılarımızı da inceleyebilirsiniz.

Security Material Nedir? Ne Zaman Kullanılır?

Security Material, SAP Integration Suite’in Cloud Integration bileşeninde kimlik bilgilerini ve güvenlik artifaktlarını saklamak için kullanılan merkezi bir depodur. Tenant düzeyinde çalışır; yani bir tenant’a ait tüm iFlow’lar bu depoya erişebilir.

Security Material ile Saklayabileceğiniz Nesne Türleri

• User Credentials: Kullanıcı adı ve şifre çiftleri. Basic Authentication veya adapter kimlik doğrulaması için kullanılır.
• OAuth2 Client Credentials: OAuth 2.0 akışlarında kullanılan client_id ve client_secret bilgileri. Token endpoint URL’si ile birlikte yapılandırılır.
• OAuth2 Authorization Code: Kullanıcı onay akışlarında kullanılan OAuth 2.0 kimlik bilgileri.
• Keystore: X.509 sertifikaları, CA sertifikaları ve anahtar çiftleri (private key + certificate). HTTPS, AS2, WS-Security gibi protokollerde şifreleme ve imzalama için gereklidir.
• Known Hosts (SSH): SFTP bağlantılarında uzak sunucu kimlik doğrulaması için kullanılan ana makine anahtarları.
• PGP Keys: Dosya şifreleme ve imzalama işlemleri için OpenPGP anahtar çiftleri.

Security Material yönetimi SAP Integration Suite arayüzünde Monitor → Manage Security → Security Material yolundan gerçekleştirilir. Burada mevcut artifaktları görebilir, yeni ekleyebilir veya güncelleyebilirsiniz.

Credential Store Nedir? Security Material’dan Farkı Ne?

Credential Store, SAP BTP’nin platform düzeyinde sunduğu bir hizmet olup Integration Suite’e özel değildir. BTP üzerinde çalışan farklı uygulamalar ve hizmetler tarafından da kullanılabilir. Key-value çiftleri şeklinde çalışır ve üç farklı veri türünü destekler:

• Password: Şifre veya token gibi gizli metin değerleri.
• Key: RSA gibi kriptografik anahtarlar.
• Certificate: X.509 sertifikaları.

iFlow İçinde Security Material Nasıl Kullanılır?

Security Material’e kaydettiğiniz bir kimlik bilgisini iFlow’da kullanmak oldukça basittir. Örneğin bir HTTP Receiver adapter’ında Basic Authentication seçtiğinizde, Credential Name alanına daha önce Security Material’a eklediğiniz nesnenin adını yazmanız yeterlidir.

OAuth2 Token Yönetimi: Client Credentials Akışı

OAuth 2.0 Client Credentials akışı, kullanıcı etkileşimi gerektirmeyen servis-servis iletişimlerinde en yaygın kullanılan güvenlik protokolüdür. SAP Integration Suite, bu akışı otomatize etmek için OAuth2 Client Credentials tipinde bir Security Material nesnesi sunar.

Yapılandırma Adımları

1. Monitor → Manage Security → Security Material bölümüne gidin.
2. Add → OAuth2 Client Credentials seçin.
3. Name alanına tanımlayıcı bir isim verin (örn. SAP_S4HANA_OAuth).
4. Token Service URL alanına token endpoint adresini girin.
5. Client ID ve Client Secret bilgilerini ilgili alanlara ekleyin.
6. Scope alanını hedef sistemin gerektirdiği şekilde doldurun.
7. Deploy butonuna tıklayın.

Bu nesneyi bir HTTP Receiver Adapter’ında kullandığınızda, Integration Suite token’ı otomatik olarak alır ve yeniler. Token süresini veya yenileme mantığını kendiniz yönetmenize gerek kalmaz — bu büyük bir operasyonel kolaylık sağlar.

Keystore Yönetimi: Sertifika ve Anahtar Çiftleri

Keystore, TLS/SSL bağlantıları, WS-Security mesaj imzalama, AS2 şifreleme gibi senaryolarda kullanılan sertifikaları ve anahtar çiftlerini barındırır. Her tenant’ın bir varsayılan tenant keystore’u bulunur; bunun yanı sıra kullanıcı tanımlı keystoreler de oluşturulabilir.

Sertifika Yükleme ve Yenileme

• Sertifika yükleme: Monitor → Manage Security → Keystore → Add yoluyla .p12, .jks veya .pem formatında sertifika ekleyebilirsiniz.
• Sertifika yenileme: Süresi dolmadan önce yeni sertifikayı aynı alias ile yükleyin. Aktif iFlow’ları durdurmaya gerek kalmaz.
• Sertifika izleme: Keystore ekranında her sertifikanın geçerlilik tarihi görüntülenir. Süresi dolmak üzere olan sertifikalar için SAP BTP Alert Notification servisi ile uyarı kurabilirsiniz.

Önemli uyarı: Tenant keystore’daki sertifikalar tüm iFlow’larca paylaşıldığından, bir sertifikayı silmeden önce hangi iFlow’ların o sertifikayı kullandığını mutlaka kontrol edin.

Security Material Yönetiminde En İyi Uygulamalar

• İsimlendirme kuralı belirleyin: Credential isimlerinde sistem_ortam_tür formatını kullanın. Örneğin: S4H_PROD_BasicAuth, SFTP_DEV_SSH, ERP_QA_OAuth.
• Hardcode yazmayın: Hiçbir şifre, API anahtarı veya token değerini iFlow XML’ine veya script içine doğrudan yazmayın. Her zaman Security Material referansı kullanın.
• Ortam ayrımı yapın: Dev, QA ve Production için farklı credential nesneleri oluşturun.
• Erişim denetimini takip edin: Üretim ortamında sadece yetkili kişilerin credential güncelleyebildiğinden emin olun.
• Periyodik rotasyon planlayın: Şifre ve token gibi kimlik bilgileri düzenli aralıklarla (90 günde bir) değiştirilmelidir. Rotasyon için iFlow’u yeniden deploy etmenize gerek yoktur.
• Sertifika sürelerini izleyin: Sona erme tarihlerini SAP ALM veya SAP BTP Alert Notification ile takip edin.

Sık Yapılan Hatalar ve Çözüm Önerileri

“Credential Name not found” Hatası

iFlow içindeki credential adı ile Security Material’daki nesne adı eşleşmiyordur. İsimler büyük/küçük harfe duyarlıdır (case-sensitive).

OAuth Token Yenilenmiyor

Token endpoint URL’sinde /oauth/token yerine /oauth2/token gibi bir yol farklılığı olabilir. Ayrıca bazı IdP’lerin scope parametresini zorunlu kıldığını unutmayın.

Sertifika Güven Zinciri Sorunları

Outbound SSL handshake hatasında, hedef sunucunun CA sertifikasını tenant keystore’una eklemeniz gerekebilir. Özel CA’lar için sertifika manuel olarak yüklenir.

SAP Integration Suite ile Güvenli Entegrasyon Projenizi Planlıyor musunuz?

Security Material ve Credential Store, SAP Integration Suite’in güvenlik mimarisinin temel yapı taşlarıdır. SAP BTP entegrasyon projelerinizde uzman desteğine ihtiyaç duyuyorsanız ekibimizle iletişime geçebilirsiniz. Ayrıca SAP PI/PO’dan SAP Integration Suite’e Geçiş yazımız da bu konuda faydalı bir kaynak olacaktır.

Sık Sorulan Sorular (SSS)

Security Material ile Credential Store aynı şey midir?

Hayır. Security Material, Integration Suite’e özgü ve tenant düzeyinde çalışan bir mekanizmadır. Credential Store ise SAP BTP’nin platform genelinde kullanılabilen bağımsız bir hizmetidir.

iFlow yeniden deploy etmeden credential güncellenebilir mi?

Evet. Security Material nesnesi güncellendikten sonra çalışan iFlow’lar otomatik olarak yeni değeri kullanır. Bu, sertifika yenileme ve şifre rotasyonunu kesintisiz yapmanıza olanak tanır.

Bir credential’ın hangi iFlow’larca kullanıldığını nasıl öğrenirim?

SAP Integration Suite’de doğrudan bir bağımlılık haritası sunulmaz. Credential isimlerini tutarlı tutmak ve iFlow XML’lerini düzenli gözden geçirmek en güvenli yaklaşımdır.

Referanslar

• SAP Help Portal – Managing Security Material
• SAP BTP Credential Store Documentation
• SAP Community – Cloud Integration Security Best Practices
• SAP Help Portal – Keystore Monitor

Kerem Kırlı

SAP Entegrasyon Danışmanı