Identitás- és hozzáférés-kezelés az SAP-hoz
Ez a cikk az Identitás- és hozzáférés-kezelés azure-beli célzóna-tervezési területében meghatározott számos szempontra és javaslatra épül. Ez a cikk az SAP-platform Microsoft Azure-beli üzembe helyezésére vonatkozó identitás- és hozzáférés-kezelési javaslatokat ismerteti. Az SAP egy kritikus fontosságú platform, ezért az Azure célzóna tervezési területére vonatkozó útmutatást is be kell vonnia a tervezésbe.
Kialakítási szempontok
Tekintse át a csapatához szükséges Azure-felügyeleti és felügyeleti tevékenységeket. Fontolja meg az SAP-t az Azure-beli környezetben. A felelősségek lehető legjobb elosztásának meghatározása a szervezeten belül.
Határozza meg az Azure-erőforrások felügyeletének határait az infrastruktúra és az SAP Basis-csapatok közötti SAP-alapfelügyeleti határokkal szemben. Fontolja meg, hogy az SAP Alap csapata emelt szintű Azure-erőforrás-adminisztrációs hozzáférést biztosítson egy nem éles SAP-környezetben. Adjon nekik például egy virtuálisgép-közreműködői szerepkört. Részben emelt szintű rendszergazdai hozzáférést is biztosíthat nekik, például részleges virtuálisgép-közreműködőt éles környezetben. Mindkét lehetőség jó egyensúlyt teremt a vámok elkülönítése és a működési hatékonyság között.
A központi informatikai és SAP-alapcsapatok számára fontolja meg a Privileged Identity Management (PIM) és a többtényezős hitelesítés használatát az SAP virtuális gépek erőforrásainak az Azure Portalról és a mögöttes infrastruktúrából való eléréséhez.
Az SAP általános felügyeleti és felügyeleti tevékenységei az Azure-ban:
Azure-erőforrás | Azure-erőforrás-szolgáltató | Tevékenységek |
---|---|---|
Virtual machines (Virtuális gépek) | Microsoft.Compute/virtualMachines | Indítás, leállítás, újraindítás, felszabadítás, üzembe helyezés, ismételt üzembe helyezés, módosítás, átméretezés, bővítmények, rendelkezésre állási csoportok, közelségi elhelyezési csoportok |
Virtual machines (Virtuális gépek) | Microsoft.Compute/disks | Olvasás és írás lemezre |
Storage | Microsoft.Storage | Tárfiókok olvasása, módosítása (például rendszerindítási diagnosztika) |
Storage | Microsoft.NetApp | NetApp-kapacitáskészletek és -kötetek olvasása, módosítása |
Storage | Microsoft.NetApp | ANF-pillanatképek |
Storage | Microsoft.NetApp | AZ ANF régiók közötti replikációja |
Networking | Microsoft.Network/networkInterfaces | Hálózati adapterek olvasása, létrehozása és módosítása |
Networking | Microsoft.Network/loadBalancers | Terheléselosztók olvasása, létrehozása és módosítása |
Networking | Microsoft.Network/networkSecurityGroups | NSG olvasása |
Networking | Microsoft.Network/azureFirewalls | Tűzfal olvasása |
Ha SAP Business Technology Platform (BTP) szolgáltatásokat használ, fontolja meg a fő propagálás használatát az SAP BTP-alkalmazás identitásának az SAP-környezetbe való továbbításához az SAP Cloud Csatlakozás or használatával.
Fontolja meg a Microsoft Entra kiépítési szolgáltatást, hogy automatikusan kiépíthesse és kiépíthesse a felhasználókat és csoportokat az SAP Analytics Cloud és az SAP Identity Authentication szolgáltatásban.
Vegye figyelembe, hogy az Azure-ba történő migrálás lehetőséget jelenthet az identitás- és hozzáférés-kezelési folyamatok áttekintésére és átigazítására. Tekintse át az SAP-környezet folyamatait és a vállalati szintű folyamatokat:
- Tekintse át az SAP alvó felhasználói zárolási szabályzatát.
- Tekintse át az SAP felhasználói jelszóházirendet, és igazítsa a Microsoft Entra-azonosítóhoz.
- Tekintse át a indítók, a mozgatók és a kezdők (LMS) eljárásait, és igazítsa őket a Microsoft Entra-azonosítóhoz. Ha SAP Human Capital Managementet (HCM) használ, az SAP HCM valószínűleg az LMS-folyamatot hajtja.
Fontolja meg, hogy kiépíthet felhasználókat a SuccessFactors Employee Centralból a Microsoft Entra-azonosítóba, és az e-mail-cím nem kötelező visszaírásával a SuccessFactors-be.
Biztonságos hálózati fájlrendszer (NFS) kommunikáció az Azure NetApp Files és az Azure Virtual Machines között NFS-ügyféltitkosítással a Kerberos használatával. Az Azure NetApp Files támogatja a Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra Domain Services szolgáltatást a Microsoft Entra-kapcsolatokhoz. Fontolja meg a Kerberos teljesítményhatását az NFS 4.1-s verziójára.
Az SAP Identity Management (IDM) integrálható a Microsoft Entra ID-val az SAP felhőbeli identitáskiépítés proxyszolgáltatásként való használatával. A Microsoft Entra ID-t tekintse központi adatforrásnak az SAP IDM-et használó felhasználók számára. Az Azure NetApp Files és az Azure Virtual Machines közötti hálózati fájlrendszer (NFS) kommunikáció védelme NFS-ügyféltitkosítással a Kerberos használatával. Az Azure NetApp Fileshoz AD DS vagy Microsoft Entra Domain Services-kapcsolat szükséges a Kerberos-jegykészítéshez. Fontolja meg a Kerberos teljesítményhatását az NFS 4.1-s verziójára.
Biztonságos távoli függvényhívási (RFC) kapcsolatok biztonságos hálózati kommunikációval (SNC) rendelkező SAP-rendszerek között a megfelelő védelmi szintek, például a védelem minősége (QoP) használatával. Az SNC-védelem némi teljesítményterhelést okoz. Az ugyanazon SAP-rendszer alkalmazáskiszolgálói közötti RFC-kommunikáció védelme érdekében az SAP az SNC helyett a hálózati biztonságot javasolja. Az alábbi Azure-szolgáltatások támogatják az SNC által védett RFC-kapcsolatokat egy SAP-célrendszerhez: az Azure Monitor sap-megoldásokhoz készült szolgáltatói, az Azure Data Factory saját üzemeltetésű integrációs modulja, valamint a helyszíni adatátjáró a Power BI, a Power Apps, a Power Automate, az Azure Analysis Services és az Azure Logic Apps esetében. Ezekben az esetekben az egyszeri bejelentkezés (SSO) konfigurálásához SNC szükséges.
Tervezési javaslatok
A hozzáférés típusától függően implementálja az egyszeri bejelentkezést a Windows AD, a Microsoft Entra ID vagy az AD FS használatával, hogy a végfelhasználók felhasználói azonosító és jelszó nélkül csatlakozzanak az SAP-alkalmazásokhoz, miután a központi identitásszolgáltató sikeresen hitelesíti őket.
- SSO implementálása SAP SaaS-alkalmazásokhoz, például SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics és SAP C4C a Microsoft Entra ID-val az SAML használatával.
- SSO implementálása az SAP NetWeaver-alapú webalkalmazásokhoz, például az SAP Fiorihoz és az SAP Web GUI-hoz SAML használatával.
- Az SSO-t az SAP GUI-ba az SAP NetWeaver SSO vagy egy partnermegoldás használatával implementálhatja.
- Az SAP GUI-hoz és webböngésző-hozzáféréshez használható egyszeri bejelentkezéshez implementálja az SNC – Kerberos/SPNEGO (egyszerű és védett GSSAPI tárgyalási mechanizmust) a könnyű konfigurálás és karbantartás miatt. Az X.509-ügyféltanúsítvánnyal rendelkező egyszeri bejelentkezéshez vegye figyelembe az SAP Biztonságos bejelentkezési kiszolgálót, amely az SAP SSO-megoldás egyik összetevője.
- SSO implementálása az SAP NetWeaver OAuth használatával, hogy lehetővé tegye külső vagy egyéni alkalmazások számára az SAP NetWeaver OData-szolgáltatások elérését.
- SSO implementálása az SAP HANA-ba
Tekintse meg a Microsoft Entra ID azonosítóját az RI-n üzemeltetett SAP-rendszerek identitásszolgáltatójának Standard kiadás. További információ: A szolgáltatás integrálása a Microsoft Entra-azonosítóval.
Az SAP-hoz hozzáférő alkalmazások esetében érdemes lehet egyszerű propagálást használni az egyszeri bejelentkezés létrehozásához.
Ha SAP BTP-szolgáltatásokat vagy SAP Identity Authentication Service-t (IAS) igénylő SaaS-megoldásokat használ, érdemes lehet SSO-t implementálni az SAP Cloud Identity Authentication Services és a Microsoft Entra ID között az sap-szolgáltatások eléréséhez. Ez az integráció lehetővé teszi, hogy az SAP IAS proxyidentitás-szolgáltatóként működjön, és a hitelesítési kéréseket a Microsoft Entra ID-nak továbbítja központi felhasználói tárolóként és identitásszolgáltatóként.
Ha SAP SuccessFactorst használ, fontolja meg a Microsoft Entra ID automatikus felhasználókiépítés használatát. Ezzel az integrációval, amikor új alkalmazottakat ad hozzá az SAP SuccessFactorshoz, automatikusan létrehozhatja felhasználói fiókjaikat a Microsoft Entra-azonosítóban. Igény szerint létrehozhat felhasználói fiókokat a Microsoft 365-ben vagy a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban. Használja az e-mail-cím visszaírását az SAP SuccessFactors számára.