Identity a služby zabezpečení Azure s využitím SAP RISE
Tento článek podrobně popisuje integraci identit Azure a služeb zabezpečení s úlohou SAP RISE. Kromě toho je vysvětleno použití některých monitorovacích služeb Azure pro prostředí SAP RISE.
Jednotné přihlašování pro SAP
Jednotné přihlašování (SSO) je nakonfigurované pro mnoho prostředí SAP. S úlohami SAP běžícími v ECS/RISE se kroky implementace neliší od nativně spuštěného systému SAP. Kroky integrace s jednotným přihlašováním založeným na Microsoft Entra ID jsou k dispozici pro typické úlohy spravované ECS/RISE:
- Kurz: Integrace jednotného přihlašování (SSO) Microsoftu s SAP NetWeaverem
- Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra se SAP Fiori
- Kurz: Integrace Microsoft Entra se SAP HANA
| Metoda jednotného přihlašování | Zprostředkovatel identity | Typický případ použití | Implementace |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, webové grafické uživatelské rozhraní, portál, HANA | Konfigurace podle zákazníka |
| SNC | Microsoft Entra ID | SAP GUI | Konfigurace podle zákazníka |
| SPNEGO | Active Directory (AD) | Webové grafické uživatelské rozhraní, portál SAP Enterprise | Konfigurace podle zákazníka a SAP |
Jednotné přihlašování vůči službě Active Directory (AD) vaší domény Windows pro spravované prostředí SAP ECS/RISE s klientem zabezpečeného přihlašování SAP vyžaduje integraci AD pro zařízení koncových uživatelů. Se SAP RISE nejsou všechny systémy Windows integrované s doménou active directory zákazníka. Integrace domény není nutná pro jednotné přihlašování se službou AD/Kerberos, protože token zabezpečení domény se načítá na klientském zařízení a bezpečně se vyměňuje se systémem SAP. Pokud potřebujete nějaké změny pro integraci jednotného přihlašování založeného na AD nebo používání jiných produktů než SAP SSO Secure Login Client, kontaktujte SAP, protože může být vyžadována nějaká konfigurace spravovaných systémů RISE.
Copilot for Security with SAP RISE
Copilot for Security je produkt pro zabezpečení generující AI, který umožňuje odborníkům v oblasti zabezpečení a IT reagovat na kybernetické hrozby, procesní signály a posoudit ohrožení rizik rychlostí a škálou umělé inteligence. Má vlastní portál a vložená prostředí v programu Microsoft Defender XDR, Microsoft Sentinel a Intune.
Dá se použít s libovolným zdrojem dat, který defender XDR a Sentinel podporuje, včetně SAP RISE/ECS. Níže vidíte samostatné prostředí.
Kromě toho, že prostředí Copilot for Security je vloženo na portálU XDR v programu Defender. Vedle souhrnného přehledu vygenerovaného AI jsou k dispozici doporučení a náprava, jako je resetování hesla pro SAP. Další informace o automatickém přerušení útoku SAP najdete tady.
Microsoft Sentinel se SAP RISE
Certifikované řešení SAP RISE pro aplikace SAP pro aplikace SAP umožňuje monitorovat, zjišťovat a reagovat na podezřelé aktivity. Microsoft Sentinel chrání důležitá data před sofistikovanými kybernetickými útoky pro systémy SAP hostované v Azure, jiných cloudech nebo místní infrastruktuře. Řešení Microsoft Sentinel pro SAP BTP rozšiřuje toto pokrytí na platformu SAP Business Technology Platform (BTP).
Řešení umožňuje získat přehled o aktivitách uživatelů v SAP RISE/ECS a vrstvách obchodní logiky SAP a použít integrovaný obsah služby Sentinel.
- Pomocí jedné konzoly můžete monitorovat všechna podniková aktiva včetně instancí SAP v SAP RISE/ECS v Azure a dalších cloudech, nativních a místních aktiv SAP Azure.
- Detekce a automatická reakce na hrozby: detekce podezřelých aktivit, včetně eskalace oprávnění, neoprávněných změn, citlivých transakcí, exfiltrace dat a dalších možností detekce
- Korelace aktivity SAP s jinými signály: přesněji rozpoznává hrozby SAP křížovým korelací mezi koncovými body, daty Microsoft Entra a dalšími
- Přizpůsobení na základě vašich potřeb – vytvořte vlastní detekce pro monitorování citlivých transakcí a dalších obchodních rizik.
- Vizualizace dat pomocí předdefinovaných sešitů
V případě SAP RISE/ECS musí být řešení Microsoft Sentinel nasazené v předplatném Azure zákazníka. Všechny části řešení Sentinel spravuje zákazník, nikoli SAP. K dosažení prostředí SAP spravovaného SAP RISE/ECS je potřeba privátní síťové připojení z virtuální sítě zákazníka. Toto připojení obvykle probíhá přes vytvořený partnerský vztah virtuálních sítí nebo prostřednictvím alternativ popsaných v tomto dokumentu.
Pokud chcete řešení povolit, vyžaduje se jenom autorizovaný uživatel RFC a v systémech SAP není potřeba nic instalovat. Agent shromažďování dat SAP založený na kontejneru, který je součástí řešení, se dá nainstalovat buď do virtuálního počítače, nebo do prostředí AKS nebo libovolného prostředí Kubernetes. Agent kolektoru používá uživatele služby SAP ke zpracování dat protokolu aplikací z prostředí SAP prostřednictvím rozhraní RFC pomocí standardních volání RFC.
- Metody ověřování podporované v SAP RISE: Uživatelské jméno a heslo SAP nebo certifikáty X509/SNC
- V současné době je možné s prostředími SAP RISE/ECS pouze připojení založená na RFC.
Důležité
- Spuštění služby Microsoft Sentinel v prostředí SAP RISE/ECS vyžaduje: Import žádosti o změnu přenosu SAP pro následující pole protokolu/zdroj: Informace o IP adrese klienta z protokolu auditu zabezpečení SAP, protokoly tabulek DATABÁZE (Preview), výstupní protokoly fondu. Integrovaný obsah sentinelu (detekce, sešity a playbooky) poskytuje rozsáhlé pokrytí a korelaci bez těchto zdrojů protokolů.
- Protokoly infrastruktury a operačního systému SAP nejsou pro Sentinel ve službě RISE dostupné kvůli modelu sdílené odpovědnosti.
Automatická odpověď s funkcemi SOAR služby Sentinel
Pomocí předem připravených playbooků můžete rychle reagovat na hrozby pomocí funkcí zabezpečení, orchestrace, automatizace a reakce (SOAR). Oblíbeným prvním scénářem je blokování uživatelů SAP s možností zásahu z Microsoft Teams. Model integrace je možné použít pro jakýkoli typ incidentu a cílovou službu, která se vztahuje na PLATFORMU SAP Business Technology Platform (BTP) nebo Na ID Microsoft Entra s ohledem na snížení prostoru útoku.
Další informace o Službě Microsoft Sentinel a SOAR pro SAP najdete v sérii blogů Od nuly po zabezpečení hero s Microsoft Sentinelem pro důležité signály zabezpečení SAP.
Další informace o Microsoft Sentinelu a SAP, včetně průvodce nasazením, najdete v dokumentaci k produktu Sentinel.
Monitorování Azure pro SAP s využitím SAP RISE
Azure Monitor pro řešení SAP je nativní řešení Azure pro monitorování systému SAP. Rozšiřuje možnosti monitorování platformy Azure Monitor s podporou shromažďování dat o SAP NetWeaver, databázi a podrobnostech operačního systému.
SAP RISE/ECS je plně spravovaná služba pro vaše prostředí SAP, a proto monitorování Azure pro SAP není určené k využití pro takové spravované prostředí. SAP RISE/ECS nepodporuje žádnou integraci se službou Azure Monitor pro řešení SAP. Vlastní monitorování a generování sestav SAP se používá a poskytuje zákazníkovi podle popisu vaší služby pomocí SAP.
Azure Center for SAP Solutions
Stejně jako monitorování Azure pro řešení SAP nepodporuje SAP RISE/ECS žádnou integraci se službou Azure Center pro řešení SAP v žádné možnosti. Všechny úlohy SAP RISE nasadí SAP a běží v tenantovi a předplatném SAP bez přístupu zákazníka k prostředkům Azure.
Další kroky
Projděte si dokumentaci:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro