خدمات الهوية والأمان في Azure مع SAP RISE

توضح هذه المقالة تفاصيل تكامل هوية Azure وخدمات الأمان مع حمل عمل SAP RISE. بالإضافة إلى ذلك، يتم شرح استخدام بعض خدمات مراقبة Azure لمشهد SAP RISE.

تسجيل الدخول الأحادي ل SAP

تم تكوين تسجيل الدخول الأحادي (SSO) للعديد من بيئات SAP. مع تشغيل أحمال عمل SAP في ECS/RISE، لا تختلف الخطوات التي يجب تنفيذها عن نظام SAP الذي يتم تشغيله محليا. تتوفر خطوات التكامل مع تسجيل الدخول الأحادي المستند إلى معرف Microsoft Entra لأحمال العمل المدارة النموذجية ECS/RISE:

أسلوب SSO موفر الهوية حالة الاستخدام النموذجي تنفيذ
SAML/OAuth Microsoft Entra ID SAP Fiori، واجهة المستخدم الرسومية للويب، المدخل، HANA التكوين حسب العميل
SNC Microsoft Entra ID SAP GUI التكوين حسب العميل
SPNEGO خدمات مجال Active Directory (AD) واجهة المستخدم الرسومية على الويب، مدخل SAP Enterprise التكوين حسب العميل وSAP

يتطلب تسجيل الدخول الأحادي مقابل Active Directory (AD) لمجال Windows الخاص بك لبيئة SAP المدارة ECS/RISE، مع عميل تسجيل الدخول الآمن ل SAP SSO تكامل AD لأجهزة المستخدم النهائي. مع SAP RISE، لا يتم دمج أي أنظمة Windows مع مجال الدليل النشط للعميل. تكامل المجال ليس ضروريا لتسجيل الدخول الأحادي مع AD/Kerberos حيث تتم قراءة رمز أمان المجال على جهاز العميل وتبادله بأمان مع نظام SAP. اتصل ب SAP إذا كنت بحاجة إلى أي تغييرات لدمج تسجيل الدخول الأحادي المستند إلى AD أو استخدام منتجات جهات خارجية بخلاف SAP SSO Secure Login Client، حيث قد تكون هناك حاجة إلى بعض التكوين على الأنظمة المدارة من RISE.

Copilot for Security مع SAP RISE

Copilot for Security هو منتج أمان الذكاء الاصطناعي توليدي يمكن الأمن ومحترفي تكنولوجيا المعلومات من الاستجابة للتهديدات الإلكترونية وإشارات المعالجة وتقييم التعرض للمخاطر بالسرعة والحجم الذكاء الاصطناعي. لديها مدخلها الخاص وتجاربها المضمنة في Microsoft Defender XDR وMicrosoft Sentinel وIntune.

يمكن استخدامه مع أي مصدر بيانات يدعمه Defender XDR و Sentinel، بما في ذلك SAP RISE/ECS. يظهر أدناه التجربة المستقلة.

لقطة شاشة ل Copilot لتجربة الأمان مع أحداث SAP RISE/ECS.

بالإضافة إلى أن تجربة Copilot for Security مضمنة في مدخل Defender XDR. بجانب ملخص تم إنشاؤه الذكاء الاصطناعي، يتم توفير التوصيات والمعالجة مثل إعادة تعيين كلمة المرور ل SAP خارج الصندوق. تعرف على المزيد حول تعطيل هجوم SAP التلقائي هنا.

لقطة شاشة ل Copilot المضمنة لتجربة الأمان في Defender مع حوادث SAP RISE/ECS.

Microsoft Sentinel مع SAP RISE

يسمح لك حل Microsoft Sentinel المعتمد من SAP RISE لتطبيقات SAP بمراقبة الأنشطة المشبوهة واكتشافها والاستجابة لها. يحمي Microsoft Sentinel بياناتك الهامة من الهجمات الإلكترونية المتطورة لأنظمة SAP المستضافة على Azure أو السحب الأخرى أو البنية الأساسية المحلية. يقوم حل Microsoft Sentinel ل SAP BTP بتوسيع هذه التغطية إلى SAP Business Technology Platform (BTP).

يسمح لك الحل بالحصول على رؤية لأنشطة المستخدم على SAP RISE/ECS وطبقات منطق أعمال SAP وتطبيق المحتوى المضمن في Sentinel.

  • استخدم وحدة تحكم واحدة لمراقبة جميع ممتلكات مؤسستك بما في ذلك مثيلات SAP في SAP RISE/ECS على Azure والسحب الأخرى، وSAP Azure الأصلية والملكية المحلية
  • الكشف عن التهديدات والاستجابة لها تلقائيا: الكشف عن النشاط المشبوه بما في ذلك تصعيد الامتيازات والتغييرات غير المصرح بها والمعاملات الحساسة واختراق البيانات والمزيد مع قدرات الكشف الجاهزة
  • ربط نشاط SAP بإشارات أخرى: الكشف عن تهديدات SAP بشكل أكثر دقة من خلال الربط المتقاطع عبر نقاط النهاية وبيانات Microsoft Entra والمزيد
  • تخصيص بناء على احتياجاتك - إنشاء عمليات الكشف الخاصة بك لمراقبة المعاملات الحساسة ومخاطر الأعمال الأخرى
  • تصور البيانات باستخدام المصنفات المضمنة

رسم تخطيطي يوضح كيفية توصيل Sentinel ب SAP RISE/ECS.

بالنسبة إلى SAP RISE/ECS، يجب نشر حل Microsoft Sentinel في اشتراك Azure الخاص بالعميل. تتم إدارة جميع أجزاء حل Sentinel من قبل العميل وليس بواسطة SAP. مطلوب اتصال الشبكة الخاصة من شبكة العميل الظاهرية للوصول إلى مناظر SAP المدارة بواسطة SAP RISE/ECS. عادة ما يكون هذا الاتصال عبر نظير vnet الذي تم إنشاؤه أو من خلال البدائل الموضحة في هذا المستند.

لتمكين الحل، لا يلزم سوى مستخدم RFC معتمد ولا يلزم تثبيت أي شيء على أنظمة SAP. يمكن تثبيت عامل جمع بيانات SAP المستند إلى الحاوية المضمن مع الحل إما على الجهاز الظاهري أو AKS/أي بيئة Kubernetes. يستخدم عامل المجمع مستخدم خدمة SAP لاستهلاك بيانات سجل التطبيق من مشهد SAP الخاص بك من خلال واجهة RFC باستخدام استدعاءات RFC القياسية.

  • أساليب المصادقة المدعومة في SAP RISE: اسم مستخدم SAP وكلمة المرور أو شهادات X509/SNC
  • الاتصالات المستندة إلى RFC فقط ممكنة حاليا مع بيئات SAP RISE/ECS

هام

  • يتطلب تشغيل Microsoft Sentinel في بيئة SAP RISE/ECS: استيراد طلب تغيير نقل SAP لحقول السجل/المصدر التالية: معلومات عنوان IP للعميل من سجل تدقيق أمان SAP، وسجلات جدول DB (معاينة)، وسجل إخراج spool. يوفر المحتوى المضمن في Sentinel (الاكتشافات والمصنفات ودلائل المبادئ) تغطية وارتباطا واسعين دون مصادر السجل هذه.
  • لا تتوفر البنية الأساسية ل SAP وسجلات نظام التشغيل ل Sentinel في RISE، بسبب نموذج المسؤولية المشتركة.

الاستجابة التلقائية مع قدرات SOAR الخاصة ب Sentinel

استخدم أدلة المبادئ التي تم إنشاؤها مسبقا لقدرات الأمان والتزامن والأتمتة والاستجابة (SOAR) للرد على التهديدات بسرعة. السيناريو الأول الشائع هو حظر مستخدم SAP مع خيار التدخل من Microsoft Teams. يمكن تطبيق نمط التكامل على أي نوع حادث وخدمة مستهدفة تمتد إلى SAP Business Technology Platform (BTP) أو معرف Microsoft Entra فيما يتعلق بالحد من سطح الهجوم.

لمزيد من المعلومات حول Microsoft Sentinel وSOAR ل SAP، راجع سلسلة المدونة من الصفر إلى تغطية الأمان الرئيسية باستخدام Microsoft Sentinel للحصول على إشارات أمان SAP الهامة.

استخدام قدرة Sentinel SOAR مع SAP RISE/ECS.

لمزيد من المعلومات حول Microsoft Sentinel وSAP، بما في ذلك دليل التوزيع، راجع وثائق منتج Sentinel.

مراقبة Azure لـ SAP مع SAP RISE

Azure Monitor لحلول SAP هو حل Azure أصلي لمراقبة نظام SAP الخاص بك. إنه يوسع قدرة مراقبة النظام الأساسي للشاشة Azure مع دعم لجمع البيانات بشأن SAP NetWeaver وقاعدة البيانات وتفاصيل نظام التشغيل.

تُعد SAP RISE / ECS خدمة مُدارة بالكامل لمناظر SAP الخاصة بك، وبالتالي لا يُقصد من Azure Monitoring لـ SAP استخدامها في مثل هذه البيئة المُدارة. لا يدعم SAP RISE/ECS أي تكامل مع Azure Monitor لحلول SAP. يتم استخدام المراقبة وإعداد التقارير الخاصة ب SAP وتقديمها للعميل كما هو محدد من خلال وصف الخدمة الخاص بك مع SAP.

Azure Center for SAP Solutions

كما هو الحال مع Azure Monitoring لحلول SAP، لا يدعم SAP RISE/ECS أي تكامل مع Azure Center لحلول SAP في أي قدرة. يتم نشر جميع أحمال عمل SAP RISE بواسطة SAP وتشغيلها في مستأجر Azure والاشتراك في SAP، دون أي وصول من قبل العميل إلى موارد Azure.

الخطوات التالية

تحقق من الوثائق: