Administración de identidades y acceso para SAP
Este artículo se basa en varias consideraciones y recomendaciones que se definen en el artículo Área de diseño de la zona de aterrizaje de Azure para la administración de identidades y de acceso. En este artículo se describen las recomendaciones de administración de identidades y acceso para implementar una plataforma SAP en Microsoft Azure. SAP es una plataforma crítica, por lo que debe incluir en el diseño instrucciones sobre las áreas de diseño de la zona de aterrizaje de Azure.
Consideraciones de diseño
Revise las actividades de administración y supervisión de Azure que deben llevar a cabo el equipo. Considere la infraestructura de SAP en Azure. Determine el mejor reparto posible de responsabilidades dentro de la organización.
Determine cuáles son los límites de administración de recursos de Azure y los límites de administración de SAP Basis entre los equipos de infraestructura y de SAP Basis. Considere la posibilidad de proporcionar al equipo de SAP Basis privilegios elevados de acceso a la administración de recursos de Azure en un entorno de SAP que no sea de producción. Por ejemplo, asigne a sus miembros un rol de colaborador de la máquina virtual. También puede concederles privilegios parcialmente elevados de acceso a la administración, como el rol de colaborador de la máquina virtual parcial en un entorno de producción. Ambas opciones ofrecen un buen equilibrio entre la separación de las obligaciones y la eficacia operativa.
En el caso de los equipos centrales de TI y SAP Basis, considere la posibilidad de usar Privileged Identity Management (PIM) y la autenticación multifactor para acceder a los recursos de máquina virtual de SAP desde Azure Portal y la infraestructura subyacente.
Estas son las actividades comunes para la administración y supervisión de SAP en Azure:
| Recurso de Azure | Proveedor de recursos de Azure | Actividades |
|---|---|---|
| Máquinas virtuales | Microsoft.Compute/virtualMachines | Iniciar, detener, reiniciar, desasignar, implementar, volver a implementar, cambiar, cambiar el tamaño, extensiones, conjuntos de disponibilidad, grupos con ubicación por proximidad |
| Máquinas virtuales | Microsoft.Compute/disks | Leer y escribir en disco |
| Storage | Microsoft.Storage | Leer, cambiar en cuentas de almacenamiento (por ejemplo, diagnósticos de arranque) |
| Storage | Microsoft.NetApp | Leer, cambiar en volúmenes y grupos de capacidad de NetApp |
| Storage | Microsoft.NetApp | Instantáneas de ANF |
| Storage | Microsoft.NetApp | Replicación entre regiones de ANF |
| Redes | Microsoft.Network/networkInterfaces | Leer, crear y cambiar interfaces de red |
| Redes | Microsoft.Network/loadBalancers | Leer, crear y cambiar equilibradores de carga |
| Redes | Microsoft.Network/networkSecurityGroups | Leer grupos de seguridad de red |
| Redes | Microsoft.Network/azureFirewalls | Leer firewall |
Si usa servicios de SAP Business Technology Platform (BTP), considere la posibilidad de usar la propagación de entidades de seguridad para reenviar una identidad desde la aplicación SAP BTP a su entorno de SAP mediante SAP Cloud Connector.
Considere la posibilidad de usar el servicio de aprovisionamiento de Microsoft Entra para aprovisionar y desaprovisionar automáticamente usuarios y grupos en SAP Analytics Cloud y SAP Identity Authentication.
Considere la posibilidad de que una migración a Azure sea una oportunidad para revisar y volver a alinear los procesos de administración de identidades y acceso. Revise los procesos en la infraestructura de SAP y los procesos en el nivel de empresa:
- Revise las directivas de bloqueo de usuarios inactivos de SAP.
- Revise la directiva de contraseña de usuario de SAP y alineela con Microsoft Entra ID.
- Revise los procedimientos de incorporaciones, cambios y bajas y alineelos con Microsoft Entra ID. Si usa SAP Human Capital Management (HCM), es probable que este sistema sea el que controle estos procedimientos.
Considere la posibilidad de aprovisionar usuarios de SuccessFactors Employee Central en Microsoft Entra ID, con escritura diferida opcional de la dirección de correo electrónico en SuccessFactors.
Proteja la comunicación Network File System (NFS) entre Azure NetApp Files y Azure Virtual Machines con cifrado de cliente NFS mediante Kerberos. Azure NetApp Files admite Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services para las conexiones de Microsoft Entra. Considere el efecto en el rendimiento de Kerberos en NFS v4.1.
SAP Identity Management (IDM) se integra en Microsoft Entra ID mediante el aprovisionamiento de identidades en la nube de SAP como servicio proxy. Considere Microsoft Entra ID como origen de datos central para los usuarios que usan SAP IDM. Proteja la comunicación de Network File System (NFS) entre Azure NetApp Files y Azure Virtual Machines con cifrado de cliente NFS mediante Kerberos. Azure NetApp Files requiere una conexión de AD DS o Microsoft Entra Domain Services para el vale de Kerberos. Considere el efecto en el rendimiento de Kerberos en NFS v4.1.
Proteja las conexiones de Remote Function Call (RFC) entre sistemas SAP con comunicaciones de red seguras (SNC) mediante un nivel de protección adecuado, como la calidad de protección (QoP). La protección SNC genera una sobrecarga de rendimiento. Para proteger la comunicación RFC entre servidores de aplicaciones del mismo sistema SAP, SAP recomienda el uso de la seguridad de red en lugar de SNC. Los siguientes servicios de Azure admiten conexiones RFC protegidas por SNC a un sistema de destino de SAP: proveedores de Azure Monitor para soluciones de SAP, el entorno de ejecución de integración autohospedado en Azure Data Factory y la puerta de enlace de datos local en caso de Power BI, Power Apps, Power Automate, Azure Analysis Services y Azure Logic Apps. SNC es obligatorio para configurar el inicio de sesión único (SSO) en estos casos.
Recomendaciones de diseño
Implemente el SSO mediante Windows AD, Microsoft Entra ID o AD FS, según el tipo de acceso, para que los usuarios finales puedan conectarse a aplicaciones de SAP sin un identificador de usuario y una contraseña una vez que el proveedor de identidades central los autentique correctamente.
- Implemente el SSO en aplicaciones SaaS de SAP, como SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics y SAP C4C con Microsoft Entra ID mediante SAML.
- Implemente el SSO en aplicaciones web basadas en SAP NetWeaver, como SAP Fiori, SAP WebGUI mediante SAML.
- Puede implementar el SSO en la GUI de SAP mediante el SSO de SAP NetWeaver o la solución de un asociado.
- Para el SSO para la GUI de SAP y el acceso al explorador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociación GSSAPI simple y protegido) debido a su facilidad de configuración y mantenimiento. Para el SSO con certificados de cliente X.509, tenga en cuenta SAP Secure Login Server, que es un componente de la solución de SSO de SAP.
- Implemente el SSO mediante OAuth para SAP NetWeaver para permitir que las aplicaciones personalizadas o de terceros accedan a los servicios OData de SAP NetWeaver.
- Implementación del SSO en SAP HANA
Considere Microsoft Entra ID un proveedor de identidades para sistemas SAP hospedados en RISE. Para obtener más información, consulte Integración del servicio con Microsoft Entra ID.
En el caso de las aplicaciones que acceden a SAP, es posible que desee usar la propagación de entidades de seguridad para establecer el SSO.
Si usa servicios de SAP BTP o soluciones SaaS que requieren SAP Identity Authentication Service (IAS), considere la posibilidad de implementar el SSO entre SAP Cloud Identity Authentication Services y Microsoft Entra ID para acceder a esos servicios de SAP. Esta integración permite que SAP IAS actúe como proveedor de identidades de proxy y reenvíe las solicitudes de autenticación a Microsoft Entra ID, que actúa como almacén central de usuarios y proveedor de identidades.
Si usa SAP SuccessFactors, considere la posibilidad de usar el aprovisionamiento automatizado de usuarios de Microsoft Entra ID. Con esta integración, a medida que agrega nuevos empleados a SAP SuccessFactors, puede crear automáticamente sus cuentas de usuario en Microsoft Entra ID. De manera opcional, puede crear cuentas de usuario en Microsoft 365 u otras aplicaciones SaaS compatibles con Microsoft Entra ID. Use la reescritura de la dirección de correo electrónico en SAP SuccessFactors.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de