Integrace Azure se spravovanými úlohami SAP RISE

Pro zákazníky s řešeními SAP, jako je RISE se SAP Enterprise Cloud Services (ECS) a SAP S/4HANA Cloud, privátní edice (PCE) nasazená v Azure, je integrace spravovaného prostředí SAP s jejich vlastním ekosystémem Azure a aplikacemi třetích stran obzvláště důležitá. Následující článek vysvětluje koncepty a osvědčené postupy pro bezpečné a výkonné řešení.

podpora Azure aspekty

RISE se SAP S/4HANA Cloud, privátní edicí a SAP Enterprise Cloud Services jsou služby spravované sap v prostředí SAP v předplatném Azure vlastněném společností SAP. To znamená, že všechny prostředky Azure vašeho prostředí SAP jsou viditelné a spravované pouze sapem. Vlastní prostředí Azure zákazníka zase obsahuje aplikace, které komunikují se systémy SAP. Prvky, jako jsou virtuální sítě, skupiny zabezpečení sítě, brány firewall, směrování, služby Azure, jako je Azure Data Factory a další spuštěné v rámci předplatného zákazníka, které přistupují k aplikacím spravovaným sap. Při zapojení do podpora Azure v tématech Azure jsou v rozsahu pouze prostředky vlastněné ve vašich vlastních zákaznických předplatných. V případě problémů s prostředky provozovanými v předplatných Azure SAP pro vaši úlohu RISE kontaktujte společnost SAP.

V rámci projektu RISE zdokumentujte body rozhraní mezi místním prostředím, vlastním prostředím Azure a úlohami SAP spravovanými systémem SAP. To musí zahrnovat všechny informace o síti, jako je adresní prostor, brány firewall a směrování, sdílené síťové složky, služby Azure, DNS a další. Zdokumentujte vlastnictví libovolného partnera rozhraní a toho, kde je spuštěný jakýkoli prostředek, abyste k informacím měli rychlý přístup v situaci podpory a mohli určit nejlepší způsob, jak podporu získat. Obraťte se na organizaci podpory společnosti SAP, která vám poskytne služby spuštěné v předplatných Azure společnosti SAP.

Důležité

Všechny podrobnosti o platformě RISE with SAP Enterprise Cloud Services a privátní edici SAP S/4HANA Cloud získáte od zástupce sap.

Možnosti připojení s využitím SAP RISE

Partnerský vztah virtuálních sítí se SAP RISE/ECS

Peering virtuálních sítí je nejvýkonnější způsob, jak bezpečně a soukromě propojit dvě samostatné virtuální sítě s využitím privátní páteřní sítě Microsoftu. Partnerské sítě se zobrazují jako sítě pro účely připojení, což aplikacím umožňuje komunikovat mezi sebou. Aplikace spuštěné v různých virtuálních sítích, předplatných, tenantech Azure nebo oblastech můžou komunikovat přímo. Podobně jako u síťového provozu v jedné virtuální síti zůstává provoz peeringu virtuálních sítí v privátní síti Microsoftu a neprochází internetem.

U nasazení SAP RISE/ECS je upřednostňovaným způsobem navázání připojení k existujícímu prostředí Azure zákazníka virtuální peering. Virtuální síť SAP i virtuální síť zákazníka jsou chráněné skupinami zabezpečení sítě (NSG) a umožňují komunikaci na portech SAP a databáze prostřednictvím partnerského vztahu virtuálních sítí. Komunikace mezi partnerskými virtuálními sítěmi je zabezpečená prostřednictvím těchto skupin zabezpečení sítě, které omezují komunikaci s prostředím SAP zákazníka. Podrobnosti a seznam otevřených portů vám poskytne zástupce SAP.

Úloha spravovaná sap by měla běžet ve stejné oblasti Azure jako centrální infrastruktura zákazníka a aplikace, které k ní přistupují. Partnerský vztah virtuálních sítí je možné nastavit ve stejné oblasti jako spravované prostředí SAP, ale také prostřednictvím globálního partnerského vztahu virtuálních sítí mezi libovolnými dvěma oblastmi Azure. Vzhledem k tomu, že SAP RISE/ECS je k dispozici v mnoha oblastech Azure, měla by se oblast shodovat s úlohami běžícími ve virtuálních sítích zákazníků kvůli latenci a nákladům na partnerský vztah virtuálních sítí. Některé scénáře (například centrální nasazení S/4HANA pro multinárodní/regionální globálně prezentovanou společnost) však také vyžadují globální peering sítí.

Tento diagram znázorňuje typické hvězdicové virtuální sítě zákazníka SAP. Peering virtuálních sítí mezi tenanty propojuje virtuální síť SAP RISE s virtuální sítí centra zákazníka.

Vzhledem k tomu, že SAP RISE/ECS běží v předplatných a tenantech Azure společnosti SAP, nastavte partnerský vztah virtuální sítě mezi různými tenanty. Dosáhnete toho tak, že nastavíte partnerský vztah s ID prostředku Azure poskytnuté sítě SAP a partnerský vztah schválí sap. Přidejte uživatele z opačného Azure AD tenanta jako uživatele typu host, přijměte pozvání uživatele typu host a postupujte podle postupu popsaného v tématu Vytvoření partnerského vztahu virtuálních sítí – různá předplatná. Přesný požadovaný postup vám sdělí zástupce SAP. Zapojte příslušné týmy ve vaší organizaci, které se zabývají správou sítí, správou uživatelů a architekturou, aby se tento proces mohl rychle dokončit.

Připojení během migrace na ECS/RISE

Migrace prostředí SAP do ECS/RISE probíhá v několika fázích v průběhu několika měsíců nebo déle. Některá prostředí SAP se už migrují a produktivně se používají, zatímco jiné systémy SAP jsou připravené na migraci. Ve většině zákaznických projektů se největší a nejdůležitější systémy migrují uprostřed nebo na konci projektu. Je potřeba zvážit, jestli máte pro migraci dat nebo replikaci databáze dostatek šířky pásma a nebudete mít vliv na síťovou cestu vašich uživatelů k už tak produktivním prostředím ECS/RISE. Už migrované systémy SAP také můžou potřebovat komunikovat s prostředím SAP, který je stále v místním prostředí nebo u stávajícího poskytovatele služeb.

Během plánování migrace do ECS/RISE naplánujte, jak jsou v každé fázi dostupné systémy SAP pro vaši uživatelskou základnu a jak se směrují přenosy dat do virtuální sítě ECS/RISE. Často je zapojeno více umístění a stran, například stávající poskytovatel služeb a datová centra s vlastním připojením k podnikové síti. Ujistěte se, že nejsou vytvořená žádná dočasná řešení s připojeními VPN, aniž byste museli zvážit, jak se v pozdějších fázích migrují data SAP pro důležité obchodní a největší systémy.

Vpn vnet-to-vnet

Jako alternativu k vnet peeringu je možné navázat připojení virtuální privátní sítě (VPN) mezi bránami VPN, které jsou nasazené v předplatném SAP RISE/ECS i mezi zákazníky. Mezi těmito dvěma bránami VPN můžete navázat připojení typu VNet-to-vNet, což umožní rychlou komunikaci mezi těmito dvěma samostatnými virtuálními sítěmi. Příslušné virtuální sítě a brány se můžou nacházet v různých oblastech Azure.

Tento diagram znázorňuje typické hvězdicové virtuální sítě zákazníka SAP. Brána VPN, která se nachází ve virtuální síti SAP RISE, se připojuje prostřednictvím připojení vnet-to-vnet k bráně obsažené ve virtuální síti centra zákazníka.

I když je partnerský vztah virtuálních sítí doporučeným a typičtějším modelem nasazení, vpn-to-vnet může potenciálně zjednodušit složitý virtuální partnerský vztah mezi zákazníkem a virtuálními sítěmi SAP RISE/ECS. VPN Gateway funguje pouze jako vstupní bod do sítě zákazníka a je spravován a zabezpečen centrálním týmem.

Skupiny zabezpečení sítě platí pro virtuální síť zákazníka i SAP, stejně jako architektura peeringu virtuálních sítí, která podle potřeby umožňuje komunikaci s porty SAP NetWeaver a HANA. Podrobnosti o tom, jak nastavit připojení VPN a jaká nastavení se mají použít, získáte od zástupce společnosti SAP.

Připojení zpět k místnímu prostředí

Se stávajícím zákaznickým nasazením Azure je místní síť už připojená přes ExpressRoute (ER) nebo VPN. Stejná místní síťová cesta se obvykle používá pro spravované úlohy SAP RISE/ECS. Upřednostňovanou architekturou je k tomuto účelu použít stávající brány ER/VPN Gateway ve virtuální síti centra zákazníka, přičemž propojená virtuální síť SAP RISE se považuje za paprskovou síť připojenou k centru virtuální sítě zákazníka.

Tento diagram znázorňuje typické hvězdicové virtuální sítě zákazníka SAP. Je připojený k místnímu prostředí pomocí připojení. Peering virtuálních sítí mezi tenanty propojuje virtuální síť SAP RISE s virtuální sítí centra zákazníka. Partnerský vztah virtuálních sítí má povolený vzdálený průchod bránou, což umožňuje přístup k virtuální síti SAP RISE z místního prostředí.

V této architektuře se centrální zásady a pravidla zabezpečení, které řídí síťové připojení k zákaznickým úlohám, vztahují také na spravované úlohy SAP RISE/ECS. Stejná místní síťová cesta se používá pro virtuální sítě zákazníka i virtuální síť SAP RISE/ECS.

Pokud v současné době neexistuje připojení Azure k místnímu prostředí, obraťte se na zástupce SAP a požádejte ho o podrobnosti o modelech připojení, které je možné vytvořit. Jakékoli místní připojení k SAP RISE/ECS pak slouží pouze k připojení ke spravované virtuální síti SAP. Místní připojení k SAP RISE/ECS se nepoužívá pro přístup k vlastním virtuálním sítím Azure zákazníka.

Důležité upozornění: Virtuální síť může mít jenom jednu bránu, místní nebo vzdálenou. Po navázání partnerského vztahu virtuálních sítí mezi SAP RISE/ECS pomocí vzdáleného průchodu bránou není možné do virtuální sítě SAP RISE/ECS přidávat žádné brány. Není možné použít kombinaci partnerského vztahu virtuálních sítí se vzdáleným průchodem bránou a jiné brány VPN ve virtuální síti SAP RISE/ECS.

Virtual WAN se spravovanými úlohami SAP RISE/ECS

Podobně jako při použití hvězdicové síťové architektury s připojením k virtuální síti SAP RISE/ECS i k místnímu prostředí je možné centrum Azure Virtual Wan (vWAN) použít ke stejnému účelu. Obě možnosti připojení popsané výše – partnerský vztah virtuálních sítí i vpn typu vnet-to-vnet – jsou k dispozici s centrem vWAN.

Centrum sítě vWAN nasazuje a spravuje výhradně zákazník v rámci předplatného zákazníka a virtuální sítě. Také místní připojení a směrování přes síťové centrum virtuální sítě WAN spravuje výhradně zákazník.

Podrobnosti a potřebné kroky vám poskytne zástupce SAP.

Integrace DNS se spravovanými úlohami SAP RISE/ECS

Integrace sítí vlastněných zákazníkem s cloudovou infrastrukturou a zajištění konceptu bezproblémového překladu názvů je důležitou součástí úspěšné implementace projektu.

Tento diagram popisuje jeden z běžných scénářů integrace předplatných, virtuálních sítí a infrastruktury DNS vlastněných sap s místní sítí a službami DNS zákazníka. V takovém případě místní servery DNS uchovávají všechny položky DNS. Infrastruktura DNS dokáže překládat požadavky DNS přicházející ze všech zdrojů (místní klienti, služby Azure zákazníka a spravovaná prostředí SAP).

Popis a specifika návrhu:

• Vlastní konfigurace DNS pro virtuální sítě vlastněné SAP

• Dva virtuální počítače ve virtuální síti Azure RISE/STE/ECS hostující servery DNS

• Zákazníci musí poskytnout a delegovat sap subdoménu nebo zónu (například *ecs.contoso.com) pro přiřazení názvů a vytvoření dopředných a reverzních záznamů DNS pro virtuální počítače, na kterých běží prostředí spravované SAP. Servery SAP DNS mají pro delegovanou zónu hlavní roli DNS.

• Přenos zóny DNS ze serveru DNS SAP na servery DNS zákazníka je primární metodou replikace záznamů DNS z prostředí RISE/STE/ECS do místního DNS.

• Virtuální sítě Azure vlastněné zákazníkem také používají vlastní konfiguraci DNS odkazující na servery DNS zákazníka umístěné ve virtuální síti Azure Hub.

• Volitelně můžou zákazníci ve svých virtuálních sítích Azure nastavit server pro předávání DNS. Tento modul pro předávání pak odešle požadavky DNS přicházející ze služeb Azure na servery SAP DNS, které jsou cílené na delegovanou zónu (*ecs.contoso.com).

Případně je možné provést přenos zóny DNS ze serverů DNS SAP na servery DNS zákazníka umístěné ve virtuální síti centra Azure (diagram v této části). To platí pro návrhy, když zákazníci provozují vlastní řešení DNS (např. servery AD DS nebo BIND) v rámci virtuální sítě centra.

Je důležité si uvědomit, že dns i privátní zóny Azure nepodporují funkci přenosu zóny DNS, a proto není možné je použít k přijetí replikace DNS ze serverů DNS SAP RISE/STE/ECS. SAP RISE/ECS navíc obvykle nepodporuje externí poskytovatele služeb DNS.

Další informace o využití Azure DNS pro SAP najdete mimo využití sap RISE/ECS v následujícím blogovém příspěvku.

Internetové odchozí a příchozí připojení se SAP RISE/ECS

Úlohy SAP komunikující s externími aplikacemi nebo příchozími připojeními z uživatelské základny společnosti (například SAP Fiori) můžou v závislosti na požadavcích zákazníka vyžadovat síťovou cestu k internetu. V rámci spravovaných úloh SAP RISE/ECS ve spolupráci se zástupcem SAP prozkoumejte potřeby takových komunikačních cest https, RFC nebo jiných cest. Síťová komunikace do a z internetu není ve výchozím nastavení pro zákazníky SAP RISE/ECS povolená a výchozí síť využívá pouze rozsahy privátních IP adres. Připojení k internetu vyžaduje plánování s využitím SAP, aby bylo prostředí SAP zákazníka optimálně chráněno.

Pokud u zástupců SAP povolíte internetový nebo příchozí provoz, bude síťová komunikace chráněná různými technologiemi Azure, jako jsou skupiny zabezpečení sítě, skupiny zabezpečení aplikací (ASG), Application Gateway s Web Application Firewall (WAF), proxy servery a další. Tyto služby jsou plně spravovány prostřednictvím sap v rámci předplatného a virtuální sítě SAP RISE/ECS. Síťová cesta SAP RISE/ECS do a z internetu obvykle zůstává pouze ve virtuální síti SAP RISE/ECS a nepřechází do ani z vlastních virtuálních sítí zákazníka.

Aplikace ve vlastní virtuální síti zákazníka se připojují k internetu přímo z příslušné virtuální sítě nebo prostřednictvím centrálně spravovaných služeb zákazníka, jako jsou Azure Firewall, Azure Application Gateway, NAT Gateway a další. Připojení k SAP BTP z jiných aplikací než SAP RISE/ECS používá stejnou síťovou internetovou cestu. Pokud je pro takovou integraci potřeba SAP Cloud Connecter, umístí se na virtuální počítače zákazníka, které nejsou sap, které vyžadují komunikaci SAP BTP a síťovou cestu spravuje sám zákazník.

Připojení SAP BTP

SAP BTP (Business Technology Platform) poskytuje velké množství aplikací, ke kterým většinou přistupuje veřejná IP adresa nebo název hostitele přes internet. Zákaznické služby spuštěné v jejich předplatných Azure k nim přistupují buď přímo prostřednictvím připojení k internetu virtuálních počítačů nebo služeb Azure, nebo prostřednictvím tras definovaných uživatelem, které vynucují, aby veškerý provoz směřující na internet procházel centrálně spravovanou bránou firewall nebo jinými síťovými virtuálními zařízeními. Několik služeb SAP BTP, jako je například SAP Data Intelligence, se ale záměrně přistupuje prostřednictvím samostatného partnerského vztahu virtuálních sítí místo veřejného koncového bodu, který se obvykle používá pro aplikaci BTP.

SAP nabízí Private Link Service pro zákazníky, kteří používají SAP BTP v Azure. Služba SAP Private Link propojuje služby SAP BTP prostřednictvím rozsahu privátních IP adres do sítě Azure zákazníka, a proto je k dispozici soukromě prostřednictvím služby privátního propojení místo přes internet. Dostupnost této služby pro úlohy SAP RISE/ECS vám sdělí společnost SAP.

Projděte si dokumentaci společnosti SAP a řadu blogových příspěvků věnovaných architektuře služby SAP BTP Private Link Service a metodám privátního připojení, které se zabývají DNS a certifikáty v následujících blogových řadách SAP Začínáme se službou BTP Private Link Service for Azure.

Síťové komunikační porty se SAP RISE/ECS

Jakákoli služba Azure s přístupem k virtuální síti zákazníka může komunikovat s prostředím SAP spuštěným v rámci předplatného SAP RISE/ECS prostřednictvím dostupných portů.

Aplikace spuštěné místně používají vytvořený partnerský vztah virtuálních sítí nebo připojení VPN typu vnet-to-vnet prostřednictvím privátní IP adresy. Aplikace, které přistupují k veřejně dostupné IP adrese zveřejněné prostřednictvím aplikační brány Azure spravované službou SAP RISE, mohou také kontaktovat systém SAP prostřednictvím protokolu https. Podrobnosti a zabezpečení otevřených portů služby Application Gateway a NSG získáte od společnosti SAP.

Diagram otevřených portů v systému SAP RISE/ECS Připojení RFC pro BAPI a IDoc, https pro OData a Rest/SOAP. ROZHRANÍ ODBC/JDBC pro přímé databázová připojení do SAP HANA. Všechna připojení prostřednictvím privátního partnerského vztahu virtuálních sítí Application Gateway s veřejnou IP adresou pro https jako potenciální možností spravovanou prostřednictvím SAP.

Integrace se službami Azure

Informace o dostupných rozhraních pro prostředí SAP RISE/ECS umožňují několik metod integrace se službami Azure.

• Scénáře integrace dat s Azure Data Factory nebo Synapse Analytics vyžadují místní prostředí Integration Runtime nebo azure Integration Runtime. Podrobnosti najdete v následující kapitole.

• Scénáře integrace aplikací se službami Microsoftu využívající ABAP se sadou ABAP SDK pro Azure a sadou Microsoft AI SDK pro SAP Instalace vyžaduje předchozí nastavení abapGit. Další informace o platformě ABAP a cloudovém prostředí ABAP najdete v tomto příspěvku na blogu SAP .

• Scénáře integrace aplikací se službami Microsoftu využívajícími integrační služby Azure , které slouží jako zprostředkovatel pro řešení požadovaného vzoru integrace. Uživatelé, jako jsou Power Apps, Power BI, Azure Functions a Azure App Service, jsou řízeni a zabezpečeni prostřednictvím Azure API Management nasazených v prostředí zákazníka. Tato komponenta nabízí standardní funkce, jako je omezování požadavků, kvóty využití a šíření objektů zabezpečení SAP , aby se zachovala autorizace back-endu SAP u volajících ověřených Microsoft 365. Zásady API Management pro šíření objektu zabezpečení SAP najdete tady.

• Podpora vzdálených volání funkcí starších verzí protokolů SAP (RFC) s integrovanými konektory pro Azure Logic Apps, Power Apps a Power BI prostřednictvím místní brány dat Microsoftu mezi systémem SAP RISE a službou Azure. Další podrobnosti najdete v následujících kapitolách.

Komplexní přehled všech dostupných scénářů integrace SAP a Microsoftu najdete tady.

Integrace s místním prostředím Integration Runtime

Integrace systému SAP s nativními cloudovými službami Azure, jako jsou Azure Data Factory nebo Azure Synapse, by tyto komunikační kanály používala do spravovaného prostředí SAP RISE/ECS.

Následující architektura vysoké úrovně ukazuje možný scénář integrace s datovými službami Azure, jako jsou Data Factory nebo Synapse Analytics. Pro tyto služby Azure je možné použít buď místní prostředí Integration Runtime (místní prostředí IR nebo IR), nebo prostředí Azure Integration Runtime (Azure IR). Použití obou prostředí Integration Runtime závisí na zvoleném datovém konektoru. Většina konektorů SAP je k dispozici pouze pro místní prostředí IR. Konektor SAP ECC je schopný používat prostřednictvím prostředí Azure IR i místního prostředí IR. Zvolení prostředí IR určuje cestu k síti. Konektor SAP .NET se používá pro konektory tabulky SAP i konektory SAP BW a SAP OpenHub . Všechny tyto konektory používají moduly funkcí SAP (FM) v systému SAP prováděné prostřednictvím připojení RFC. Nakonec, pokud byl se sapem odsouhlasen přímý přístup k databázi, společně s uživateli a otevřenou cestou připojení, je možné použít konektor ODBC/JDBC pro SAP HANA také z místního prostředí IR.

V případě datových konektorů využívajících Azure IR toto prostředí IR přistupuje k prostředí SAP prostřednictvím veřejné IP adresy. SAP RISE/ECS poskytuje tento koncový bod prostřednictvím aplikační brány a komunikace a přesun dat probíhá prostřednictvím protokolu https.

Datové konektory v místním prostředí Integration Runtime komunikují se systémem SAP v rámci předplatného SAP RISE/ECS a virtuální sítě pouze prostřednictvím vytvořeného partnerského vztahu virtuálních sítí a adresy privátní sítě. Vytvořená pravidla skupiny zabezpečení sítě omezují, která aplikace může komunikovat se systémem SAP.

Zákazník zodpovídá za nasazení a provoz místního prostředí Integration Runtime v rámci svého předplatného a virtuální sítě. Komunikace mezi službami Azure PaaS, jako jsou Data Factory nebo Synapse Analytics, a místním prostředím Integration Runtime je v rámci předplatného zákazníka. SAP RISE/ECS zveřejňuje komunikační porty pro tyto aplikace, které je možné použít, ale nemá žádné znalosti ani podporu o jakýchkoli podrobnostech o připojené aplikaci nebo službě.

Kontaktujte společnost SAP a požádejte o podrobnosti o komunikačních cestách, které máte se sap RISE k dispozici, a o nezbytných krocích k jejich otevření. Společnost SAP je také potřeba kontaktovat s informacemi o případných licencích SAP, které mají vliv na přístup k datům SAP prostřednictvím externích aplikací.

Další informace o celkové podpoře scénáře integrace dat SAP najdete v našem Cloud Adoption Framework s podrobným úvodem ke každému konektoru SAP, porovnáním a pokyny. Dokument white paper o integraci dat SAP pomocí Azure Data Factory dokument white paper dokončí obrázek.

Místní brána dat

Další služby Azure, jako jsou Azure Logic Apps, Power Apps nebo Power BI , komunikují a vyměňují si data se systémy SAP prostřednictvím místní brány dat tam, kde je to potřeba. Místní brána dat je virtuální počítač, který běží v Azure nebo místně. Poskytuje zabezpečený přenos dat mezi těmito službami Azure a vašimi systémy SAP, včetně možnosti podpory modulu runtime a ovladačů pro SAP RFC.

Díky SAP RISE se místní brána dat může připojit ke službám Azure spuštěným v předplatném Azure zákazníka. Tento virtuální počítač, na kterém běží brána dat, je nasazený a provozovaný zákazníkem. Následující architektura vysoké úrovně slouží jako přehled, podobnou metodu lze použít pro obě služby.

Prostředí SAP RISE zde poskytuje přístup k portům SAP pro RFC a https popsané výše. Komunikační porty jsou přístupné z adresy privátní sítě prostřednictvím partnerského vztahu virtuálních sítí nebo připojení VPN typu site-to-site. Virtuální počítač místní brány dat spuštěný v předplatném Azure zákazníka používá konektor SAP .NET ke spouštění volání RFC, BAPI nebo IDoc prostřednictvím připojení RFC. V závislosti na službě a způsobu nastavení komunikace se navíc může vyžadovat připojení k veřejné IP adrese rozhraní REST API systémů SAP prostřednictvím protokolu https. Připojení HTTPS k veřejné IP adrese je možné zveřejnit prostřednictvím spravované aplikační brány SAP RISE/ECS. Tato architektura vysoké úrovně ukazuje možný scénář integrace. Alternativy k němu, jako je použití jednoho tenanta a privátních koncových bodů Logic Apps k zabezpečení komunikace a další, se dají považovat za rozšíření a nejsou zde popsány.

SAP RISE/ECS zveřejňuje komunikační porty pro tyto aplikace, které je možné použít, ale nemá žádné informace o žádných podrobnostech o připojené aplikaci nebo službě spuštěné v předplatném zákazníka.

SAP RISE/ECS zveřejňuje komunikační porty pro tyto aplikace, které je možné použít, ale nemá žádné informace o žádných podrobnostech o připojené aplikaci nebo službě spuštěné v předplatném zákazníka. Pokud chcete získat jakékoli podrobnosti o licenci SAP, obraťte se na společnost SAP, pokud máte jakékoli důsledky pro přístup k datům SAP prostřednictvím služby Azure, která se připojuje k systému NEBO databázi SAP.

Identita, zabezpečení a monitorování se SAP RISE

Jednotné přihlašování pro SAP

Jednotné přihlašování (SSO) je nakonfigurované pro mnoho prostředí SAP. U úloh SAP spuštěných v ECS/RISE je možné postupovat podle kroků identických s nativním systémem SAP. Postup integrace s jednotným přihlašováním založeným na Azure Active Directory (Azure AD) je k dispozici pro typické spravované úlohy ECS/RISE:

• Kurz: Integrace jednotného přihlašování (SSO) Azure Active Directory se SAP NetWeaverem
• Kurz: Integrace jednotného přihlašování (SSO) Azure Active Directory se SAP Fiori
• Kurz: Integrace Azure Active Directory se SAP HANA

Metoda jednotného přihlašování	Zprostředkovatel identity	Typický případ použití	Implementace
SAML/OAuth	Azure AD	SAP Fiori, webové grafické uživatelské rozhraní, portál, HANA	Konfigurace zákazníka
SNC	Azure AD	SAP GUI	Konfigurace zákazníka
SPNEGO	Active Directory (AD)	Webové grafické uživatelské rozhraní, portál	Konfigurace zákazníka

Jednotné přihlašování ke službě Active Directory (AD) vaší domény Windows pro prostředí SAP spravovaného službou ECS/RISE se sap SSO Secure Login Client vyžaduje integraci AD pro zařízení koncových uživatelů. Se SAP RISE nejsou žádné systémy Windows integrované s doménou active directory zákazníka. Pro jednotné přihlašování s AD/Kerberos to není nutné, protože token zabezpečení domény se načítá na klientském zařízení a bezpečně se vyměňuje se systémem SAP. Pokud potřebujete nějaké změny pro integraci jednotného přihlašování založeného na AD nebo používání jiných produktů třetích stran než SAP SSO Secure Login Client, kontaktujte společnost SAP, protože může být vyžadována určitá konfigurace ve spravovaných systémech RISE.

Microsoft Sentinel se SAP RISE

Řešení Microsoft Sentinel s certifikací SAP RISE pro aplikace SAP umožňuje monitorovat, detekovat a reagovat na podezřelé aktivity a chránit důležitá data před sofistikovanými kybernetickými útoky na systémy SAP hostované v Azure, jiných cloudech nebo místní infrastruktuře.

Řešení umožňuje získat přehled o aktivitách uživatelů na platformě SAP RISE/ECS a vrstvách obchodní logiky SAP a použít integrovaný obsah služby Sentinel.

• Použití jedné konzoly k monitorování všech podnikových aktiv, včetně instancí SAP v SAP RISE/ECS v Azure a dalších cloudech, nativních a místních aktiv SAP Azure
• Detekce hrozeb a automatická reakce na ně: Detekce podezřelých aktivit, včetně eskalace oprávnění, neoprávněných změn, citlivých transakcí, exfiltrace dat a dalších, díky funkcím pro detekci předdefinovaných zařízení
• Korelace aktivity SAP s jinými signály: přesnější detekce hrozeb SAP prostřednictvím křížových korelací mezi koncovými body, Azure AD dat a dalších
• Přizpůsobení na základě vašich potřeb – vytvořte vlastní detekce pro monitorování citlivých transakcí a dalších obchodních rizik.
• Vizualizace dat pomocí předdefinovaných sešitů

Tento diagram znázorňuje příklad služby Microsoft Sentinel připojené prostřednictvím zprostředkujícího virtuálního počítače nebo kontejneru k systému SAP spravovanému systémem SAP. Zprostředkující virtuální počítač nebo kontejner běží ve vlastním předplatném zákazníka s nakonfigurovaným agentem datového konektoru SAP.

Pro SAP RISE/ECS musí být řešení Microsoft Sentinel nasazené v předplatném Azure zákazníka. Všechny části řešení Sentinel spravuje zákazník, nikoli SAP. K dosažení prostředí SAP spravovaného službou SAP RISE/ECS je potřeba připojení privátní sítě z virtuální sítě zákazníka. Toto připojení obvykle probíhá přes zavedený partnerský vztah virtuálních sítí nebo prostřednictvím alternativ popsaných v tomto dokumentu.

K povolení řešení je potřeba pouze autorizovaný uživatel RFC a do systémů SAP není potřeba nic instalovat. Agenta shromažďování dat SAP založeného na kontejnerech, který je součástí řešení, je možné nainstalovat buď na virtuální počítač, nebo na AKS nebo jakékoli prostředí Kubernetes. Agent kolektoru používá uživatele služby SAP k využívání dat aplikačního protokolu z prostředí SAP prostřednictvím rozhraní RFC pomocí standardních volání RFC.

• Podporované metody ověřování v SAP RISE: uživatelské jméno a heslo SAP nebo certifikáty X509/SNC
• V prostředích SAP RISE/ECS jsou v současné době možná pouze připojení založená na RFC.

Poznámka ke spuštění služby Microsoft Sentinel v prostředí SAP RISE/ECS:

• Následující pole nebo zdroj protokolu vyžadují žádost o změnu přenosu SAP: informace o IP adrese klienta z protokolu auditu zabezpečení SAP, protokoly tabulek databáze (Preview) a výstupní protokol zařazování. Integrovaný obsah služby Sentinel (detekce, sešity a playbooky) poskytuje rozsáhlé pokrytí a korelaci bez těchto zdrojů protokolů.
• Protokoly infrastruktury a operačního systému SAP nejsou pro sentinel ve službě RISE dostupné, včetně virtuálních počítačů se systémem SAP, zdrojů dat SAPControl a síťových prostředků umístěných v ECS. SAP nezávisle monitoruje prvky infrastruktury a operačního systému Azure.

Pomocí předem připravených playbooků můžete rychle reagovat na hrozby pomocí funkcí zabezpečení, orchestrace, automatizace a reakce (SOAR). Oblíbeným prvním scénářem je blokování uživatelů SAP pomocí možnosti zásahu z Microsoft Teams. Model integrace se dá použít na jakýkoli typ incidentu a cílovou službu, která se vztahuje na SAP BTP (Business Technology Platform) nebo Azure AD s ohledem na zmenšení prostoru pro útok.

Další informace o službách Microsoft Sentinel a SOAR pro SAP najdete v sérii blogu Pokrytí zabezpečení od nuly k hrdinovi pomocí služby Microsoft Sentinel pro důležité signály zabezpečení SAP.

Tento obrázek ukazuje incident SAP zjištěný službou Sentinel, která nabízí možnost blokovat podezřelého uživatele na platformě SAP ERP, SAP Business Technology Platform nebo Azure AD.

Další informace o službě Microsoft Sentinel a SAP, včetně průvodce nasazením, najdete v produktové dokumentaci ke službě Sentinel.

Monitorování Azure pro SAP s využitím SAP RISE

Monitorování Azure pro SAP je nativní řešení Azure pro monitorování systému SAP. Rozšiřuje možnosti monitorování platformy Azure Monitor o podporu shromažďování dat o SAP NetWeaveru, databázích a podrobnostech operačního systému.

Poznámka

SAP RISE/ECS je plně spravovaná služba pro prostředí SAP, a proto monitorování Azure pro SAP není určené pro takové spravované prostředí.

SAP RISE/ECS nepodporuje žádnou integraci s monitorováním Azure pro SAP. Vlastní monitorování a vytváření sestav platformy RISE/ECS se poskytuje zákazníkovi tak, jak je definováno v popisu služby se systémem SAP.

Azure Center for SAP Solutions

Stejně jako u monitorování Azure pro SAP nepodporuje SAP RISE/ECS žádnou integraci se službou Azure Center for SAP Solutions v žádné funkci. Všechny úlohy SAP RISE jsou nasazené společností SAP a spuštěné v tenantovi a předplatném Sap Azure, aniž by zákazník přistupoval k prostředkům Azure.

Další kroky

Podívejte se na dokumentaci:

• Úlohy SAP na platformě Azure: kontrolní seznam pro plánování a nasazování
• Partnerský vztah virtuální sítě
• SAP Integrace Dat s využitím Azure Data Factory