Services d’identité et de sécurité Azure avec SAP RISE
Cet article détaille l’intégration des services d’identité et de sécurité Azure avec une charge de travail SAP RISE. En outre, l’utilisation de certains services de monitoring Azure est expliquée pour un paysage SAP RISE.
Authentification unique pour SAP
L’authentification unique (SSO) est configurée pour de nombreux environnements SAP. Avec les charges de travail SAP exécutées dans ECS/RISE, les étapes à implémenter ne diffèrent pas d’un système SAP exécuté en mode natif. Les étapes d’intégration de l’authentification unique basée sur Microsoft Entra ID sont disponibles pour les charges de travail classiques managées ECS/RISE :
- Tutoriel : Intégration de l’authentification unique Microsoft Entra à SAP NetWeaver
- Tutoriel : Configurer l’authentification unique Microsoft Entra avec le protocole SAP Fiori
- Tutoriel : Intégration de Microsoft Entra avec SAP HANA
| Méthode SSO | Fournisseur d’identité | Cas d’utilisation typique | Implémentation |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, interface graphique utilisateur web, portail, HANA | Configuration par le client |
| SNC | Microsoft Entra ID | SAP GUI | Configuration par le client |
| SPNEGO | Active Directory (AD) | Interface graphique web, portail d’entreprise SAP | Configuration par le client et SAP |
L’authentification unique sur Active Directory (AD) de votre domaine Windows pour un environnement SAP managé ECS/RISE avec SAP SSO Secure Login Client nécessite l’intégration d’AD pour les appareils des utilisateurs finaux. Avec SAP RISE, tous les systèmes Windows ne sont pas intégrés au domaine Active Directory du client. L’intégration de domaine n’est pas nécessaire pour l’authentification unique avec AD/Kerberos, car le jeton de sécurité de domaine est lu sur l’appareil client et échangé en toute sécurité avec le système SAP. Contactez SAP si vous avez besoin de modifications pour intégrer l’authentification unique basée sur AD ou à l’aide de produits tiers autres que SAP SSO Secure Login Client, car il est possible que les systèmes managés RISE nécessitent une configuration.
Microsoft Sentinel avec SAP RISE
La solution Microsoft Sentinel certifiée SAP RISE pour les applications SAP vous permet de surveiller et de détecter les activités suspectes, et d’y répondre. Microsoft Sentinel protège vos données critiques contre les cyber-attaques sophistiquées pour les systèmes SAP hébergés sur Azure, d’autres clouds ou un infrastructure locale.
La solution vous permet d’obtenir une visibilité sur les activités des utilisateurs sur SAP RISE/ECS et les couches logiques métier SAP, et d’appliquer le contenu intégré de Sentinel.
- Utilisez une console unique pour surveiller l’ensemble de votre patrimoine d’entreprise, y compris les instances SAP dans SAP RISE/ECS sur Azure et d’autres clouds, SAP Azure en natif et votre patrimoine local
- Détectez les menaces et répondez-y automatiquement : détectez les activités suspectes, notamment l’élévation des privilèges, les modifications non autorisées, les transactions sensibles, l’exfiltration de données et plus encore grâce à des fonctionnalités de détection prêtes à l’emploi
- Corrélez l’activité SAP avec d’autres signaux : détectez de manière plus précise les menaces SAP en effectuant des corrélations croisées entre les points de terminaison, les données Microsoft Entra et plus encore
- Personnalisez la solution en fonction de vos besoins : créez vos propres détections pour surveiller les transactions sensibles et d’autres risques métier
- Visualisez les données à l’aide de classeurs intégrés
Ce diagramme montre un exemple de Microsoft Sentinel connecté au système SAP managé par SAP par le biais d’une machine virtuelle ou d’un conteneur intermédiaire. La machine virtuelle ou le conteneur intermédiaire s’exécute dans le propre abonnement du client avec l’agent du connecteur de données SAP configuré.
Pour SAP RISE/ECS, la solution Microsoft Sentinel doit être déployée dans l’abonnement Azure du client. Toutes les parties de la solution Sentinel sont gérées par le client, et non par SAP. Une connectivité au réseau privé à partir du réseau virtuel du client est nécessaire pour atteindre les paysages SAP managés par SAP RISE/ECS. En règle générale, cette connexion est établie via le peering de réseaux virtuels établi ou au moyen des alternatives décrites dans ce document.
Pour activer la solution, seul un utilisateur RFC autorisé est requis et il n’est pas nécessaire d’installer quoi que ce soit sur les systèmes SAP. L’agent de collecte de données SAP basé sur un conteneur inclus dans la solution peut être installé sur une machine virtuelle ou sur AKS/n’importe quel environnement Kubernetes. L’agent collecteur fait appel à un utilisateur de service SAP pour consommer les données de journal des applications à partir de votre paysage SAP via l’interface RFC à l’aide d’appels RFC standard.
- Méthodes d’authentification prises en charge dans SAP RISE : nom d’utilisateur et mot de passe SAP ou certificats X509/SNC
- Seules les connexions RFC sont actuellement possibles avec les environnements SAP RISE/ECS
Remarque concernant l’exécution de Microsoft Sentinel dans un environnement SAP RISE/ECS :
- Les champs/sources de journal suivants nécessitent une demande de modification de transport SAP : les informations d’adresse IP du client à partir du journal d’audit de sécurité SAP, les journaux de table de base de données (préversion), le journal de sortie du spool. Le contenu intégré de Sentinel (détections, classeurs et playbooks) fournit une couverture et une corrélation étendues sans ces sources de journal.
- Les journaux de l’infrastructure et du système d’exploitation SAP ne sont pas disponibles pour Sentinel dans RISE, notamment les machines virtuelles exécutant SAP, les sources de données SAPControl et les ressources réseau placées dans ECS. SAP surveille les éléments du système d’exploitation et de l’infrastructure Azure indépendamment.
Utilisez des playbooks prédéfinis pour la sécurité, l’orchestration, l’automatisation et les fonctionnalités de réponse (SOAR) pour réagir rapidement aux menaces. Le blocage de l’utilisateur SAP avec option d’intervention de Microsoft Teams est un premier scénario populaire. Le modèle d’intégration peut être appliqué à n’importe quel type d’incident et service cible s’étendant vers SAP Business Technology Platform (BTP) ou Microsoft Entra ID en ce qui concerne la réduction de la surface d’attaque.
Pour plus d’informations sur Microsoft Sentinel et SOAR pour SAP, consultez la série de blogs De zéro à une couverture de sécurité exceptionnelle avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques.
Cette image montre un incident SAP détecté par Sentinel offrant l’option de bloquer l’utilisateur suspect sur SAP ERP, SAP Business Technology Platform ou Microsoft Entra ID.
Pour plus d’informations sur Microsoft Sentinel et SAP, y compris un guide de déploiement, consultez la Documentation produit Sentinel.
Azure Monitoring pour SAP avec SAP RISE
Azure Monitor pour SAP Solutions est une solution native Azure pour surveiller votre système SAP. Il étend la fonctionnalité de surveillance de plateforme d’Azure Monitor avec un support pour collecter des données détaillées sur SAP NetWeaver, la base de données et le système d’exploitation.
SAP RISE/ECS étant un service entièrement géré pour votre paysage SAP, Azure Monitoring pour SAP n’est pas destiné à être utilisé pour un tel environnement managé. SAP RISE/ECS ne prend en charge aucun intégration avec Azure Monitor pour SAP Solutions. Le monitoring et le reporting propres à SAP sont utilisés et fournis au client, comme défini par votre description de service avec SAP.
Centre Azure pour les solutions SAP
Comme avec Azure Monitor pour SAP Solutions, SAP RISE/ECS ne prend pas en charge l’intégration avec Centre Azure pour les solutions SAP de quelque manière que ce soit. Toutes les charges de travail SAP RISE sont déployées par SAP et exécutées dans le locataire et l’abonnement Azure de SAP, sans accès par le client aux ressources Azure.
Étapes suivantes
Consultez la documentation :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour