Azure-identitás- és biztonsági szolgáltatások az SAP RI-val Standard kiadás
Ez a cikk az Azure-identitás- és biztonsági szolgáltatások SAP RI Standard kiadás számítási feladattal való integrálását ismerteti. Emellett néhány Azure-monitorozási szolgáltatás használatát is ismertetjük az SAP RI Standard kiadás fekvő tájolásával.
Egyszeri bejelentkezés az SAP-hoz
Az egyszeri bejelentkezés (SSO) számos SAP-környezethez van konfigurálva. Az ECS/RI-ban futó SAP-számítási feladatok esetén Standard kiadás a megvalósítás lépései nem különböznek a natívan futtatott SAP-rendszerektől. A Microsoft Entra ID-alapú egyszeri bejelentkezéssel való integrációs lépések a tipikus ECS/RI Standard kiadás felügyelt számítási feladatokhoz érhetők el:
- Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP NetWeaverrel
- Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP Fiorival
- Oktatóanyag: A Microsoft Entra integrációja az SAP HANA-val
Egyszeri bejelentkezés metódusa | Identitásszolgáltató | Tipikus használati eset | Megvalósítás |
---|---|---|---|
SAML/OAuth | Microsoft Entra ID | SAP Fiori, webes grafikus felület, portál, HANA | Konfiguráció ügyfél szerint |
SNC | Microsoft Entra ID | SAP GUI | Konfiguráció ügyfél szerint |
SPNEGO | Active Directory (AD) | Webes grafikus felület, SAP Enterprise Portal | Konfigurálás ügyfél és SAP szerint |
Az ECS/RI-hoz készült Windows-tartomány Active Directory (AD) általi egyszeri bejelentkezése Standard kiadás felügyelt SAP-környezet esetén az SAP SSO biztonságos bejelentkezési ügyfélprogramhoz AD-integrációra van szükség a végfelhasználói eszközökhöz. Az SAP RI-val Standard kiadás a Windows-rendszerek nincsenek integrálva az ügyfél Active Directory-tartományával. A tartományintegráció nem szükséges az egyszeri bejelentkezéshez az AD/Kerberos szolgáltatással, mivel a tartományi biztonsági jogkivonat beolvassa az ügyféleszközön, és biztonságosan kicseréli az SAP-rendszerrel. Lépjen kapcsolatba az SAP-val, ha az AD-alapú egyszeri bejelentkezés integrálásához vagy az SAP SSO biztonságos bejelentkezési ügyféltől eltérő harmadik féltől származó termékek használatához bármilyen módosítást igényel, mivel szükség lehet valamilyen konfigurációra a ri Standard kiadás felügyelt rendszereken.
Microsoft Sentinel és SAP RI Standard kiadás
Az SAP RI Standard kiadás sap-alkalmazásokhoz készült microsoft sentinel-megoldás lehetővé teszi a gyanús tevékenységek monitorozását, észlelését és megválaszolását. A Microsoft Sentinel védi a kritikus adatokat az Azure-ban, más felhőkben vagy helyszíni infrastruktúrában üzemeltetett SAP-rendszerek kifinomult kibertámadásai ellen.
A megoldás lehetővé teszi, hogy áttekintse az SAP RI Standard kiadás/ECS és az SAP üzleti logikai rétegei felhasználói tevékenységeit, és alkalmazza a Sentinel beépített tartalmát.
- Egyetlen konzol használatával monitorozza az összes vállalati tulajdont, beleértve az SAP-példányokat az SAP RI-ban Standard kiadás/ECS-ben az Azure-ban és más felhőkben, natív SAP Azure-beli és helyszíni tulajdonban
- Fenyegetések észlelése és automatikus reagálása: gyanús tevékenységek észlelése, beleértve a jogosultságok eszkalálását, a jogosulatlan módosításokat, a bizalmas tranzakciókat, az adatkiszivárgást és egyebeket a beépített észlelési képességekkel
- Az SAP-tevékenység korrelációja más jelekkel: pontosabban észlelheti az SAP-fenyegetéseket a végpontok, a Microsoft Entra-adatok és egyebek közötti keresztkorrelációval
- Testreszabás az igényei alapján – saját észlelések készítése a bizalmas tranzakciók és egyéb üzleti kockázatok monitorozásához
- Adatok vizualizációja beépített munkafüzetekkel
Ez az ábra egy példa arra, hogy a Microsoft Sentinel egy közvetítő virtuális gépen vagy tárolón keresztül csatlakozik az SAP által felügyelt SAP-rendszerhez. A közbenső virtuális gép vagy tároló az ügyfél saját előfizetésében fut konfigurált SAP-adatösszekötő-ügynökkel.
Az SAP RI Standard kiadás/ECS esetében a Microsoft Sentinel-megoldást az ügyfél Azure-előfizetésében kell üzembe helyezni. A Sentinel-megoldás minden részét az ügyfél kezeli, nem az SAP. Az sap ri Standard kiadás/ECS által felügyelt SAP-környezetek eléréséhez privát hálózati kapcsolatra van szükség az ügyfél virtuális hálózatáról. Ez a kapcsolat általában a meglévő virtuális hálózatok közötti társviszonyon vagy a jelen dokumentumban ismertetett alternatívákon keresztül történik.
A megoldás engedélyezéséhez csak egy jogosult RFC-felhasználóra van szükség, és semmit sem kell telepíteni az SAP-rendszerekre. A megoldáshoz mellékelt tárolóalapú SAP-adatgyűjtési ügynök virtuális gépen vagy AKS-en/bármely Kubernetes-környezetben telepíthető. A gyűjtőügynök egy SAP-szolgáltatás felhasználóját használja az alkalmazásnaplók adatainak felhasználásához az SAP-környezetből az RFC-felületen keresztül standard RFC-hívások használatával.
- Az SAP RI által támogatott hitelesítési módszerek Standard kiadás: SAP-felhasználónév és jelszó vagy X509/SNC-tanúsítványok
- Jelenleg csak RFC-alapú kapcsolatok lehetségesek az SAP RI Standard kiadás/ECS-környezetekben
Megjegyzés a Microsoft Sentinel SAP RI Standard kiadás/ECS-környezetben való futtatásához:
- A következő naplómezők/forrás megkövetelik az SAP átviteli változáskérését: az ügyfél IP-címadatai az SAP biztonsági naplójából, a DB táblanaplói (előzetes verzió), a készlet kimeneti naplója. A Sentinel beépített tartalmai (észlelések, munkafüzetek és forgatókönyvek) széles körű lefedettséget és korrelációt biztosítanak ezen naplóforrások nélkül.
- Az SAP-infrastruktúra és az operációsrendszer-naplók nem érhetők el a Sentinel számára a RI-ban Standard kiadás beleértve az SAP-t futtató virtuális gépeket, az SAPControl-adatforrásokat és az ECS-ben elhelyezett hálózati erőforrásokat. Az SAP egymástól függetlenül figyeli az Azure-infrastruktúra és -üzemeltetési rendszer elemeit.
Előre összeállított forgatókönyvek használatával gyorsan reagálhat a fenyegetésekre a biztonsági, vezénylési, automatizálási és reagálási képességek (SOAR) érdekében. Az első népszerű forgatókönyv az SAP felhasználói blokkolása a Microsoft Teams beavatkozási lehetőségével. Az integrációs minta bármilyen incidenstípusra és célszolgáltatásra alkalmazható, amely az SAP Business Technology Platform (BTP) vagy a Microsoft Entra ID felé terjed a támadási felület csökkentése érdekében.
További információ a Microsoft Sentinelről és az SAP-hoz készült SOAR-ról: a Kritikus SAP biztonsági jelzéseit a Microsoft Sentinellel a nullától a fő biztonsági lefedettségig című blogsorozatban tekintheti meg.
Ez a kép egy, a Sentinel által észlelt SAP-incidenst mutat be, amely lehetőséget kínál a gyanús felhasználó letiltására az SAP ERP-n, az SAP Business Technology Platformon vagy a Microsoft Entra-azonosítón.
További információ a Microsoft Sentinelről és az SAP-ról, beleértve az üzembe helyezési útmutatót is, lásd a Sentinel termékdokumentációját.
Azure Monitorozás SAP-hez SAP RI-vel Standard kiadás
Az Azure Monitor az SAP-megoldásokhoz egy natív Azure-megoldás az SAP-rendszer figyeléséhez. Kibővíti az Azure Monitor platform monitorozási képességét, és támogatja az SAP NetWeaver, az adatbázis és az operációs rendszer adatainak gyűjtését.
Az SAP RI Standard kiadás/ECS az SAP-környezet teljes körűen felügyelt szolgáltatása, így az Azure Monitoring for SAP nem használható ilyen felügyelt környezetekhez. Az SAP RI Standard kiadás/ECS nem támogatja az Azure Monitor for SAP-megoldásokkal való integrációt. Az SAP saját monitorozási és jelentéskészítési szolgáltatása az ügyfél számára az SAP szolgáltatásleírásában meghatározottak szerint történik.
Azure Center for SAP Solutions
Az SAP-megoldásokhoz készült Azure Monitorozáshoz hasonlóan az SAP RI Standard kiadás/ECS sem támogatja az Azure Center for SAP Solutions szolgáltatással való integrációt. Minden SAP RI Standard kiadás számítási feladatot az SAP üzembe helyez, és az SAP Azure-bérlőjében és előfizetésében fut anélkül, hogy az ügyfél hozzáfér az Azure-erőforrásokhoz.
Következő lépések
Tekintse meg a dokumentációt:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: