Manajemen identitas dan akses untuk SAP
Artikel ini dibangun berdasarkan beberapa pertimbangan dan rekomendasi yang ditentukan dalam artikel Area desain zona pendaratan Azure untuk manajemen identitas dan akses. Artikel ini menjelaskan rekomendasi identitas dan manajemen akses untuk menyebarkan platform SAP di Microsoft Azure. SAP adalah platform misi penting, jadi Anda harus menyertakan panduan area desain zona pendaratan Azure dalam desain Anda.
Pertimbangan Desain
Tinjau aktivitas administrasi dan manajemen Azure yang diperlukan untuk tim Anda. Pertimbangkan SAP Anda di lanskap Azure. Tentukan kemungkinan terbaik distribusi tanggung jawab di dalam organisasi Anda.
Tentukan batas administrasi sumber daya Azure versus batas administrasi SAP Basis antara infrastruktur dan tim SAP Basis. Pertimbangkan untuk menyediakan tim SAP Basis dengan peningkatan akses administrasi sumber daya Azure di lingkungan non-produksi SAP. Misalnya, beri mereka peran Kontributor Mesin Virtual. Anda juga dapat memberi mereka akses administrasi yang ditingkatkan sebagian, seperti Kontributor Komputer Virtual parsial di lingkungan produksi. Kedua opsi mencapai keseimbangan yang baik antara pemisahan tugas dan efisiensi operasional.
Untuk tim IT pusat dan SAP Basis, pertimbangkan untuk menggunakan Privileged Identity Management (PIM) dan autentikasi multifaktor untuk mengakses sumber daya SAP Virtual Machine dari portal Azure dan infrastruktur yang mendasar.
Berikut adalah aktivitas administrasi dan manajemen umum SAP di Azure:
| Sumber daya Azure | Penyedia sumber daya Azure | Aktivitas |
|---|---|---|
| Mesin virtual | Microsoft.Compute/virtualMachines | Mulai, berhenti, mulai ulang, batalkan alokasi, sebarkan, sebarkan ulang, ubah, ubah ukuran, ekstensi, set ketersediaan, grup penempatan kedekatan |
| Mesin virtual | Microsoft.Compute/disks | Baca dan tulis ke disk |
| Penyimpanan | Microsoft.Storage | Membaca, mengubah akun penyimpanan (misalnya, diagnostik boot) |
| Penyimpanan | Microsoft.NetApp | Baca, perubahan pada kumpulan dan volume kapasitas NetApp |
| Penyimpanan | Microsoft.NetApp | Snapshot ANF |
| Penyimpanan | Microsoft.NetApp | Replikasi lintas wilayah ANF |
| Jaringan | Microsoft.Network/networkInterfaces | Membaca, membuat, dan mengubah antarmuka jaringan |
| Jaringan | Microsoft.Network/loadBalancers | Membaca, membuat, dan mengubah load balancer |
| Jaringan | Microsoft.Network/networkSecurityGroups | Baca NSG |
| Jaringan | Microsoft.Network/azurefirewalls | Baca firewall |
Jika Anda menggunakan layanan SAP Business Technology Platform (BTP), pertimbangkan untuk menggunakan penyebaran utama untuk meneruskan identitas dari aplikasi SAP BTP ke lanskap SAP Anda dengan menggunakan SAP Cloud Koneksi or.
Pertimbangkan layanan provisi Microsoft Entra untuk memprovisikan dan mendeprovisi pengguna dan grup secara otomatis ke SAP Analytics Cloud dan SAP Identity Authentication.
Pertimbangkan bahwa migrasi ke Azure mungkin merupakan kesempatan untuk meninjau dan merealign proses manajemen identitas dan akses. Tinjau proses dalam lanskap SAP dan proses di tingkat perusahaan Anda:
- Tinjau kebijakan penguncian pengguna yang tidak aktif SAP.
- Tinjau kebijakan kata sandi pengguna SAP dan selaraskan dengan ID Microsoft Entra.
- Tinjau prosedur leaver, mover, dan starter (LMS) dan selaraskan dengan ID Microsoft Entra. Jika Anda menggunakan SAP Human Capital Management (HCM), SAP HCM kemungkinan akan mendorong proses LMS.
Pertimbangkan untuk memprovisikan pengguna dari SuccessFactors Employee Central ke MICROSOFT Entra ID, dengan tulis balik alamat email opsional ke SuccessFactors.
Komunikasi Secure Network File System (NFS) antara Azure NetApp Files dan Azure Virtual Machines dengan enkripsi klien NFS menggunakan Kerberos. Azure NetApp Files mendukung Active Directory Domain Services (AD DS) dan Microsoft Entra Domain Services untuk koneksi Microsoft Entra. Pertimbangkan efek performa Kerberos pada NFS v4.1.
SAP Identity Management (IDM) terintegrasi dengan MICROSOFT Entra ID dengan menggunakan provisi identitas cloud SAP sebagai layanan proksi. Pertimbangkan ID Microsoft Entra sebagai sumber data pusat untuk pengguna yang menggunakan IDM SAP. Amankan komunikasi Network File System (NFS) antara Azure NetApp Files dan Azure Virtual Machines dengan enkripsi klien NFS menggunakan Kerberos. Azure NetApp Files memerlukan koneksi AD DS atau Microsoft Entra Domain Services untuk tiket Kerberos. Pertimbangkan efek performa Kerberos pada NFS v4.1.
Koneksi Secure Remote Function Call (RFC) antara sistem SAP dengan komunikasi jaringan aman (SNC) dengan menggunakan tingkat perlindungan yang sesuai, seperti kualitas perlindungan (QoP). Perlindungan SNC membuat beberapa overhead performa. Untuk melindungi komunikasi RFC antara server aplikasi dari sistem SAP yang sama, SAP merekomendasikan untuk menggunakan keamanan jaringan, bukan SNC. Layanan Azure berikut mendukung koneksi RFC yang dilindungi SNC ke sistem target SAP: Penyedia Azure Monitor untuk Solusi SAP, runtime integrasi yang dihost sendiri di Azure Data Factory, dan gateway data lokal jika terjadi Power BI, Power Apps, Power Automate, Azure Analysis Services, dan Azure Logic Apps. SNC diperlukan untuk mengonfigurasi akses menyeluruh (SSO) dalam kasus ini.
Rekomendasi desain
Terapkan SSO dengan menggunakan Windows AD, Microsoft Entra ID, atau AD FS, tergantung pada jenis akses, sehingga pengguna akhir dapat terhubung ke aplikasi SAP tanpa ID pengguna dan kata sandi setelah penyedia identitas pusat berhasil mengautentikasinya.
- Terapkan SSO ke aplikasi SAP SaaS seperti SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics , dan SAP C4C dengan Microsoft Entra ID menggunakan SAML.
- Terapkan SSO ke aplikasi web berbasis SAP NetWeaver seperti SAP Fiori dan SAP Web GUI dengan menggunakan SAML.
- Anda dapat menerapkan SSO ke SAP GUI dengan menggunakan SSO SAP NetWeaver atau solusi mitra.
- Untuk akses SSO untuk SAP GUI dan browser web, terapkan SNC – Kerberos/SPNEGO (mekanisme negosiasi GSSAPI yang sederhana dan dilindungi) karena kemudahan konfigurasi dan pemeliharaannya. Untuk SSO dengan sertifikat klien X.509, pertimbangkan SAP Secure Login Server, yang merupakan komponen dari solusi SAP SSO.
- Terapkan SSO dengan menggunakan OAuth untuk SAP NetWeaver untuk memungkinkan aplikasi pihak ketiga atau kustom mengakses layanan OData SAP NetWeaver.
- Menerapkan SSO ke SAP Hana
Pertimbangkan ID Microsoft Entra penyedia identitas untuk sistem SAP yang dihosting di RISE. Untuk informasi selengkapnya, lihat Mengintegrasikan Layanan dengan ID Microsoft Entra.
Untuk aplikasi yang mengakses SAP, Anda mungkin ingin menggunakan penyebaran utama untuk membuat SSO.
Jika Anda menggunakan layanan SAP BTP atau solusi SaaS yang memerlukan SAP Identity Authentication Service (IAS), pertimbangkan untuk menerapkan SSO antara Layanan Autentikasi Identitas Cloud SAP dan ID Microsoft Entra untuk mengakses layanan SAP tersebut. Integrasi ini memungkinkan SAP IAS bertindak sebagai penyedia identitas proksi dan meneruskan permintaan autentikasi ke ID Microsoft Entra sebagai penyimpanan pengguna pusat dan penyedia identitas.
Jika Anda menggunakan SAP SuccessFactors, pertimbangkan untuk menggunakan provisi pengguna otomatis ID Microsoft Entra. Dengan integrasi ini, saat Anda menambahkan karyawan baru ke SAP SuccessFactors, Anda dapat secara otomatis membuat akun pengguna mereka di ID Microsoft Entra. Secara opsional, Anda dapat membuat akun pengguna di Microsoft 365 atau aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra. Gunakan tulis kembali alamat email ke SAP SuccessFactors.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk