خدمات الهوية والأمان في Azure مع SAP RISE
توضح هذه المقالة تفاصيل تكامل هوية Azure وخدمات الأمان مع حمل عمل SAP RISE. بالإضافة إلى ذلك، يتم شرح استخدام بعض خدمات مراقبة Azure لمشهد SAP RISE.
تسجيل الدخول الأحادي ل SAP
تم تكوين تسجيل الدخول الأحادي (SSO) للعديد من بيئات SAP. مع تشغيل أحمال عمل SAP في ECS/RISE، لا تختلف الخطوات التي يجب تنفيذها عن نظام SAP الذي يتم تشغيله محليا. تتوفر خطوات التكامل مع تسجيل الدخول الأحادي المستند إلى معرف Microsoft Entra لأحمال العمل المدارة النموذجية ECS/RISE:
- البرنامج التعليمي: تكامل تسجيل الدخول الأحادي (SSO) ل Microsoft Entra مع SAP NetWeaver
- البرنامج التعليمي: تكامل تسجيل الدخول الأحادي (SSO) ل Microsoft Entra مع SAP Fiori
- البرنامج التعليمي: تكامل Microsoft Entra مع SAP HANA
أسلوب SSO | موفر الهوية | حالة الاستخدام النموذجي | تنفيذ |
---|---|---|---|
SAML/OAuth | Microsoft Entra ID | SAP Fiori، واجهة المستخدم الرسومية للويب، المدخل، HANA | التكوين حسب العميل |
SNC | Microsoft Entra ID | SAP GUI | التكوين حسب العميل |
SPNEGO | خدمات مجال Active Directory (AD) | واجهة المستخدم الرسومية على الويب، مدخل SAP Enterprise | التكوين حسب العميل وSAP |
يتطلب تسجيل الدخول الأحادي مقابل Active Directory (AD) لمجال Windows الخاص بك لبيئة SAP المدارة ECS/RISE، مع عميل تسجيل الدخول الآمن ل SAP SSO تكامل AD لأجهزة المستخدم النهائي. مع SAP RISE، لا يتم دمج أي أنظمة Windows مع مجال الدليل النشط للعميل. تكامل المجال ليس ضروريا لتسجيل الدخول الأحادي مع AD/Kerberos حيث تتم قراءة رمز أمان المجال على جهاز العميل وتبادله بأمان مع نظام SAP. اتصل ب SAP إذا كنت بحاجة إلى أي تغييرات لدمج تسجيل الدخول الأحادي المستند إلى AD أو استخدام منتجات جهات خارجية بخلاف SAP SSO Secure Login Client، حيث قد تكون هناك حاجة إلى بعض التكوين على الأنظمة المدارة من RISE.
Copilot for Security مع SAP RISE
Copilot for Security هو منتج أمان الذكاء الاصطناعي توليدي يمكن الأمن ومحترفي تكنولوجيا المعلومات من الاستجابة للتهديدات الإلكترونية وإشارات المعالجة وتقييم التعرض للمخاطر بالسرعة والحجم الذكاء الاصطناعي. لديها مدخلها الخاص وتجاربها المضمنة في Microsoft Defender XDR وMicrosoft Sentinel وIntune.
يمكن استخدامه مع أي مصدر بيانات يدعمه Defender XDR و Sentinel، بما في ذلك SAP RISE/ECS. يظهر أدناه التجربة المستقلة.
بالإضافة إلى أن تجربة Copilot for Security مضمنة في مدخل Defender XDR. بجانب ملخص تم إنشاؤه الذكاء الاصطناعي، يتم توفير التوصيات والمعالجة مثل إعادة تعيين كلمة المرور ل SAP خارج الصندوق. تعرف على المزيد حول تعطيل هجوم SAP التلقائي هنا.
Microsoft Sentinel مع SAP RISE
يسمح لك حل Microsoft Sentinel المعتمد من SAP RISE لتطبيقات SAP بمراقبة الأنشطة المشبوهة واكتشافها والاستجابة لها. يحمي Microsoft Sentinel بياناتك الهامة من الهجمات الإلكترونية المتطورة لأنظمة SAP المستضافة على Azure أو السحب الأخرى أو البنية الأساسية المحلية. يقوم حل Microsoft Sentinel ل SAP BTP بتوسيع هذه التغطية إلى SAP Business Technology Platform (BTP).
يسمح لك الحل بالحصول على رؤية لأنشطة المستخدم على SAP RISE/ECS وطبقات منطق أعمال SAP وتطبيق المحتوى المضمن في Sentinel.
- استخدم وحدة تحكم واحدة لمراقبة جميع ممتلكات مؤسستك بما في ذلك مثيلات SAP في SAP RISE/ECS على Azure والسحب الأخرى، وSAP Azure الأصلية والملكية المحلية
- الكشف عن التهديدات والاستجابة لها تلقائيا: الكشف عن النشاط المشبوه بما في ذلك تصعيد الامتيازات والتغييرات غير المصرح بها والمعاملات الحساسة واختراق البيانات والمزيد مع قدرات الكشف الجاهزة
- ربط نشاط SAP بإشارات أخرى: الكشف عن تهديدات SAP بشكل أكثر دقة من خلال الربط المتقاطع عبر نقاط النهاية وبيانات Microsoft Entra والمزيد
- تخصيص بناء على احتياجاتك - إنشاء عمليات الكشف الخاصة بك لمراقبة المعاملات الحساسة ومخاطر الأعمال الأخرى
- تصور البيانات باستخدام المصنفات المضمنة
بالنسبة إلى SAP RISE/ECS، يجب نشر حل Microsoft Sentinel في اشتراك Azure الخاص بالعميل. تتم إدارة جميع أجزاء حل Sentinel من قبل العميل وليس بواسطة SAP. مطلوب اتصال الشبكة الخاصة من شبكة العميل الظاهرية للوصول إلى مناظر SAP المدارة بواسطة SAP RISE/ECS. عادة ما يكون هذا الاتصال عبر نظير vnet الذي تم إنشاؤه أو من خلال البدائل الموضحة في هذا المستند.
لتمكين الحل، لا يلزم سوى مستخدم RFC معتمد ولا يلزم تثبيت أي شيء على أنظمة SAP. يمكن تثبيت عامل جمع بيانات SAP المستند إلى الحاوية المضمن مع الحل إما على الجهاز الظاهري أو AKS/أي بيئة Kubernetes. يستخدم عامل المجمع مستخدم خدمة SAP لاستهلاك بيانات سجل التطبيق من مشهد SAP الخاص بك من خلال واجهة RFC باستخدام استدعاءات RFC القياسية.
- أساليب المصادقة المدعومة في SAP RISE: اسم مستخدم SAP وكلمة المرور أو شهادات X509/SNC
- الاتصالات المستندة إلى RFC فقط ممكنة حاليا مع بيئات SAP RISE/ECS
هام
- يتطلب تشغيل Microsoft Sentinel في بيئة SAP RISE/ECS: استيراد طلب تغيير نقل SAP لحقول السجل/المصدر التالية: معلومات عنوان IP للعميل من سجل تدقيق أمان SAP، وسجلات جدول DB (معاينة)، وسجل إخراج spool. يوفر المحتوى المضمن في Sentinel (الاكتشافات والمصنفات ودلائل المبادئ) تغطية وارتباطا واسعين دون مصادر السجل هذه.
- لا تتوفر البنية الأساسية ل SAP وسجلات نظام التشغيل ل Sentinel في RISE، بسبب نموذج المسؤولية المشتركة.
الاستجابة التلقائية مع قدرات SOAR الخاصة ب Sentinel
استخدم أدلة المبادئ التي تم إنشاؤها مسبقا لقدرات الأمان والتزامن والأتمتة والاستجابة (SOAR) للرد على التهديدات بسرعة. السيناريو الأول الشائع هو حظر مستخدم SAP مع خيار التدخل من Microsoft Teams. يمكن تطبيق نمط التكامل على أي نوع حادث وخدمة مستهدفة تمتد إلى SAP Business Technology Platform (BTP) أو معرف Microsoft Entra فيما يتعلق بالحد من سطح الهجوم.
لمزيد من المعلومات حول Microsoft Sentinel وSOAR ل SAP، راجع سلسلة المدونة من الصفر إلى تغطية الأمان الرئيسية باستخدام Microsoft Sentinel للحصول على إشارات أمان SAP الهامة.
لمزيد من المعلومات حول Microsoft Sentinel وSAP، بما في ذلك دليل التوزيع، راجع وثائق منتج Sentinel.
مراقبة Azure لـ SAP مع SAP RISE
Azure Monitor لحلول SAP هو حل Azure أصلي لمراقبة نظام SAP الخاص بك. إنه يوسع قدرة مراقبة النظام الأساسي للشاشة Azure مع دعم لجمع البيانات بشأن SAP NetWeaver وقاعدة البيانات وتفاصيل نظام التشغيل.
تُعد SAP RISE / ECS خدمة مُدارة بالكامل لمناظر SAP الخاصة بك، وبالتالي لا يُقصد من Azure Monitoring لـ SAP استخدامها في مثل هذه البيئة المُدارة. لا يدعم SAP RISE/ECS أي تكامل مع Azure Monitor لحلول SAP. يتم استخدام المراقبة وإعداد التقارير الخاصة ب SAP وتقديمها للعميل كما هو محدد من خلال وصف الخدمة الخاص بك مع SAP.
Azure Center for SAP Solutions
كما هو الحال مع Azure Monitoring لحلول SAP، لا يدعم SAP RISE/ECS أي تكامل مع Azure Center لحلول SAP في أي قدرة. يتم نشر جميع أحمال عمل SAP RISE بواسطة SAP وتشغيلها في مستأجر Azure والاشتراك في SAP، دون أي وصول من قبل العميل إلى موارد Azure.
الخطوات التالية
تحقق من الوثائق: