Bezpečné zveřejnění starší verze middlewaru SAP pomocí Azure PaaS

Článek
10/20/2023

Běžným požadavkem je povolení interních systémů a externích partnerů pro interakci s back-endy SAP. Stávající prostředí SAP se často spoléhají na starší verzi middlewaru SAP Process Orchestraation (PO) nebo integrace procesů (PI) pro potřeby integrace a transformace. Pro zjednodušení tento článek používá termín SAP Process Orchestraation k odkazování na obě nabídky.

Tento článek popisuje možnosti konfigurace v Azure s důrazem na internetové implementace.

Poznámka:

SAP zmíní sap Integration Suite – konkrétně SAP Cloud Integration – běží na platformě BTP (Business Technology Platform) jako následník pro SAP PO a PI. Platforma BTP i služby jsou k dispozici v Azure. Další informace najdete v tématu SAP Discovery Center. Další informace o časové ose podpory údržby pro starší komponenty najdete v poznámkovém 1648480 SAP OSS.

Přehled

Stávající implementace založené na middlewaru SAP se často spoléhaly na proprietární technologii odesílání SAP, která se nazývá SAP Web Dispatcher. Tato technologie funguje na vrstvě 7 modelu OSI. Funguje jako reverzní proxy server a řeší potřeby vyrovnávání zatížení pro úlohy podřízených aplikací SAP, jako je SAP Enterprise Resource Planning (ERP), SAP Gateway nebo SAP Process Orchestraation.

Přístupy k odesílání zahrnují tradiční reverzní proxy servery, jako je Apache, možnosti paaS (platforma jako služba), jako je Azure Load Balancer, a názorný SAP Web Dispatcher. Celkové koncepty popsané v tomto článku platí pro uvedené možnosti. Pokyny k používání nástrojů pro vyrovnávání zatížení jiných než SAP najdete na wikiwebu SAP.

Poznámka:

Všechna popsaná nastavení v tomto článku předpokládají hvězdicovou síťovou topologii, kde se sdílené služby nasazují do centra. V závislosti na závažnosti SAP možná budete potřebovat ještě větší izolaci. Další informace najdete v průvodci návrhem SAP pro hraniční sítě.

Primární služby Azure

Aplikace Azure Gateway zpracovává veřejné internetové a interní privátní směrování HTTP spolu s šifrovaným tunelováním napříč předplatnými Azure. Mezi příklady patří zabezpečení a automatické škálování.

Aplikace Azure Gateway se zaměřuje na zveřejnění webových aplikací, takže nabízí firewall webových aplikací (WAF). Úlohy v jiných virtuálních sítích, které budou komunikovat se SAP prostřednictvím služby Aplikace Azure Gateway, je možné připojit prostřednictvím privátních propojení, a to i napříč tenanty.

Diagram that shows cross-tenant communication via Azure Application Gateway.

Azure Firewall zpracovává veřejné internetové a interní privátní směrování pro typy provozu ve vrstvách 4 až 7 modelu OSI. Nabízí filtrování a analýzu hrozeb, které se chytnou přímo ze zabezpečení Microsoftu.

Azure API Management zpracovává veřejné internetové a interní privátní směrování speciálně pro rozhraní API. Nabízí omezení požadavků, kvótu využití a omezení, funkce zásad správného řízení, jako jsou zásady a klíče rozhraní API pro rozdělení služeb na klienta.

Azure VPN Gateway a Azure ExpressRoute slouží jako vstupní body do místních sítí. V diagramech se zkracují jako VPN a XR.

Důležité informace o nastavení

Architektura integrace se liší v závislosti na rozhraní, které organizace používá. Proprietární technologie SAP, jako je architektura IDoc (Intermediate Document), rozhraní BAPI (Business Application Programming Interface), transakční vzdálená volání funkcí (tRFCS) nebo prosté rfcs, vyžadují konkrétní běhové prostředí. Pracují na vrstvách 4 až 7 modelu OSI, na rozdíl od moderních rozhraní API, která obvykle spoléhají na komunikaci založenou na HTP (vrstva 7 modelu OSI). Z tohoto důvodu se rozhraní nedají považovat za stejnou.

Tento článek se zaměřuje na moderní rozhraní API a PROTOKOL HTTP, včetně scénářů integrace, jako je applicationability Statement 2 (AS2). Protokol FTP (File Transfer Protocol) slouží jako příklad pro zpracování potřeb integrace jiného typu než HTTP. Další informace o řešeních microsoftu pro vyrovnávání zatížení najdete v tématu Možnosti vyrovnávání zatížení.

Poznámka:

SAP publikuje vyhrazené konektory pro svá proprietární rozhraní. Projděte si například dokumentaci k SAP pro Javu a .NET. Podporují je také brány Microsoftu. Mějte na paměti, že IDocs lze také publikovat prostřednictvím PROTOKOLU HTTP.

Obavy zabezpečení vyžadují použití bran firewall pro protokoly nižší úrovně a WAF k řešení provozu založeného na protokolu HTTP pomocí protokolu TLS (Transport Layer Security). Aby byly relace TLS efektivní, musí se ukončit na úrovni WAF. Pokud chcete podporovat přístupy nulové důvěryhodnosti, doporučujeme znovu šifrovat později, abyste zajistili kompletní šifrování.

Integrační protokoly, jako je AS2, můžou vyvolat výstrahy pomocí standardních pravidel WAF. K identifikaci a lepšímu pochopení toho, proč se pravidlo aktivuje, doporučujeme použít sešit WAF služby Application Gateway, abyste mohli efektivně a bezpečně napravit. Open Web Application Security Project (OWASP) poskytuje standardní pravidla. Podrobnou video relaci týkající se tohoto tématu s důrazem na expozici SAP Fiori najdete v SAP na webovém vysílání Azure.

Zabezpečení můžete dále vylepšit pomocí vzájemného protokolu TLS (mTLS), který se také označuje jako vzájemné ověřování. Na rozdíl od normálního protokolu TLS ověřuje identitu klienta.

Poznámka:

Fondy virtuálních počítačů vyžadují nástroj pro vyrovnávání zatížení. Kvůli lepší čitelnosti diagramy v tomto článku nezobrazují nástroj pro vyrovnávání zatížení.

Poznámka:

Pokud nepotřebujete funkce vyrovnávání specifické pro SAP, které poskytuje SAP Web Dispatcher, můžete je nahradit službou Azure Load Balancer. Toto nahrazení poskytuje výhodu spravované nabídky PaaS místo nastavení infrastruktury jako služby (IaaS).

Scénář: Prioritní příchozí připojení HTTP

SAP Web Dispatcher nenabízí WAF. Proto doporučujeme Aplikace Azure Bránu pro bezpečnější nastavení. SAP Web Dispatcher a orchestrace procesů zůstávají na starosti, aby pomohly chránit back-end SAP před přetížením požadavků pomocí pokynů k určení velikosti a souběžných limitů požadavků. V úlohách SAP není k dispozici žádná schopnost omezování.

Neúmyslnému přístupu se můžete vyhnout prostřednictvím seznamů řízení přístupu v SAP Web Dispatcheru.

Jedním ze scénářů komunikace orchestrace procesů SAP je příchozí tok. Provoz může pocházet z místních, externích aplikací nebo uživatelů nebo z interního systému. Následující příklad se zaměřuje na HTTPS.

Diagram that shows an inbound HTTP scenario with SAP Process Orchestration on Azure.

Scénář: Prioritní odchozí připojení HTTP/FTP

Pro směr zpětné komunikace může orchestrace procesů SAP použít směrování virtuální sítě k dosažení místních úloh nebo internetových cílů prostřednictvím přerušení internetu. Aplikace Azure Brána funguje jako reverzní proxy v takových scénářích. Pro komunikaci bez protokolu HTTP zvažte přidání služby Azure Firewall. Další informace najdete v tématu Scénář: Soubor založený na souborech a porovnání komponent brány dále v tomto článku.

Následující scénář odchozích přenosů ukazuje dvě možné metody. Jeden používá protokol HTTPS prostřednictvím brány Aplikace Azure volání webové služby (například adaptér SOAP). Druhý používá protokol FTP přes SSH (SFTP) prostřednictvím služby Azure Firewall, který přenáší soubory na server SFTP obchodního partnera.

Diagram that shows an outbound scenario with SAP Process Orchestration on Azure.

Scénář: Služba API Management zaměřená na

Ve srovnání se scénáři příchozího a odchozího připojení přidává zavedení služby Azure API Management v interním režimu (pouze privátní IP adresa a integrace virtuální sítě) integrované funkce, jako jsou:

Omezování.
Zásady správného řízení rozhraní API
Další možnosti zabezpečení, jako jsou moderní toky ověřování.
Integrace Microsoft Entra ID
Příležitost přidat rozhraní SAP API do centrálního řešení rozhraní API v celé společnosti.

Diagram that shows an inbound scenario with Azure API Management and SAP Process Orchestration on Azure.

Pokud nepotřebujete WAF, můžete službu Azure API Management nasadit v externím režimu pomocí veřejné IP adresy. Toto nasazení zjednodušuje nastavení a zároveň zachovává možnosti omezení a zásad správného řízení rozhraní API. Základní ochrana se implementuje pro všechny nabídky Azure PaaS.

Diagram that shows an inbound scenario with Azure API Management in external mode and SAP Process Orchestration.

Scénář: Globální dosah

Aplikace Azure Gateway je služba vázaná na oblast. V porovnání s předchozími scénáři zajišťuje Azure Front Door globální směrování mezi oblastmi, včetně firewallu webových aplikací. Podrobnosti o rozdílech najdete v tomto porovnání.

Následující diagram kondenzuje SAP Web Dispatcher, SAP Process Orchestraation a back-end do jediné image, aby byl lépe čitelný.

Diagram that shows a global reach scenario with SAP Process Orchestration on Azure.

Scénář: Souborové

Protokoly jiného typu než HTTP, jako je FTP, se nedají řešit pomocí služby Azure API Management, Application Gateway nebo Služby Azure Front Door, jak je znázorněno v předchozích scénářích. Místo toho spravovaná instance služby Azure Firewall nebo ekvivalentní síťové virtuální zařízení převezme roli zabezpečení příchozích požadavků.

Soubory je potřeba uložit, aby je SAP mohl zpracovat. Doporučujeme používat protokol SFTP. Azure Blob Storage nativně podporuje SFTP.

Diagram that shows a file-based scenario with Azure Blob Storage and SAP Process Orchestration on Azure.

Alternativní možnosti SFTP jsou v případě potřeby k dispozici na Azure Marketplace.

Následující diagram znázorňuje variantu tohoto scénáře s cíli integrace externě i místně. Různé typy zabezpečeného ftp ilustrují komunikační cestu.

Diagram that shows a file-based scenario with on-premises file share and external party using SAP Process Orchestration on Azure.

Přehled o sdílených složkách systému souborů NFS (Network File System) jako alternativu ke službě Blob Storage najdete v tématu Sdílené složky NFS ve službě Azure Files.

Scénář: Specifické pro SAP RISE

Nasazení SAP RISE jsou technicky identická se scénáři popsanými výše, s výjimkou, že SAP sám spravuje cílovou úlohu SAP. Zde lze použít popsané koncepty.

Následující diagramy znázorňují dvě nastavení jako příklady. Další informace najdete v referenční příručce SAP RISE.

Důležité

Obraťte se na SAP a ujistěte se, že jsou povolené a otevřené komunikační porty pro váš scénář v NSG.

Příchozí provoz HTTP

V prvním nastavení se zákazník řídí integrační vrstvou, včetně orchestrace procesů SAP a úplné příchozí cesty. Pouze konečný cíl SAP běží v předplatném RISE. Komunikace s úlohou hostovanou službou RISE se konfiguruje prostřednictvím partnerského vztahu virtuálních sítí, obvykle přes centrum. Potenciální integrací může být IDocs publikováno do webové služby /sap/bc/idoc_xml SAP ERP externí stranou.

Diagram that shows an inbound scenario with Azure API Management and self-hosted SAP Process Orchestration on Azure in the RISE context.

Tento druhý příklad ukazuje nastavení, ve kterém SAP RISE spouští celý řetězec integrace s výjimkou vrstvy API Management.

Diagram that shows an inbound scenario with Azure API Management and SAP-hosted SAP Process Orchestration on Azure in the RISE context.

Odchozí přenos souborů

V tomto scénáři instance orchestrace procesů spravovaná sap zapisuje soubory do sdílené složky spravované zákazníkem v Azure nebo do úlohy sedící místně. Zákazník to zpracuje.

Diagram that shows a file share scenario with SAP Process Orchestration on Azure in the RISE context.

Porovnání nastavení brány

Poznámka:

Metriky výkonu a nákladů předpokládají úrovně na úrovni produkce. Další informace najdete v tématu Cenová kalkulačka Azure. Projděte si také následující články: Výkon služby Azure Firewall, podpora vysokého provozu ve službě Application Gateway a kapacita instance služby Azure API Management.

A table that compares the gateway components discussed in this article.

V závislosti na protokolech integrace, které používáte, možná budete potřebovat více komponent. Další informace o výhodách různých kombinací zřetězování brány Aplikace Azure Gateway se službou Azure Firewall najdete v tématu Azure Firewall a Application Gateway pro virtuální sítě.

Pravidlo integrace palce

Pokud chcete zjistit, které scénáře integrace popsané v tomto článku nejlépe vyhovují vašim požadavkům, vyhodnoťte je podle případu. Zvažte povolení následujících možností:

Omezování požadavků pomocí služby API Management
Limity souběžných požadavků pro SAP Web Dispatcher
Vzájemné šifrování TLS pro ověření klienta a příjemce
WAF a opětovné šifrování po ukončení protokolu TLS
Azure Firewall pro integrace jiného typu než HTTP
Vysoká dostupnost a zotavení po havárii pro úlohy integrace SAP založené na virtuálních počítačích
Moderní mechanismy ověřování, jako je OAuth2, pokud je to možné
Spravované úložiště klíčů, jako je Azure Key Vault , pro všechny zahrnuté přihlašovací údaje, certifikáty a klíče

Alternativy k orchestraci procesů SAP s využitím integračních služeb Azure

S portfoliem Azure Integration Services můžete nativně řešit scénáře integrace, které se týká orchestrace procesů SAP. Přehled o tom, jak navrhovat vzory SAP IFlow prostřednictvím nativních cloudových prostředků, najdete v této sérii blogů. Průvodce konektorem obsahuje další podrobnosti o AS2 a EDIFACT.

Další informace najdete v konektorech Azure Logic Apps pro požadovaná rozhraní SAP.