Mengintegrasikan Azure dengan beban kerja terkelola SAP RISE

Untuk pelanggan dengan solusi SAP seperti RISE dengan SAP Enterprise Cloud Services (ECS) dan SAP S/4HANA Cloud, edisi privat (PCE) yang disebarkan di Azure, mengintegrasikan lingkungan yang dikelola SAP dengan ekosistem Azure mereka sendiri dan aplikasi pihak ketiga sangat penting. Artikel berikut menjelaskan konsep dan praktik terbaik yang harus diikuti untuk solusi yang aman dan berkinerja.

Aspek dukungan Azure

RISE dengan Cloud SAP S/4HANA edisi privat, dan SAP Layanan Cloud Enterprise adalah layanan terkelola SAP dari lanskap SAP Anda, dalam langganan Azure yang dimiliki oleh SAP. Ini berarti semua sumber daya Azure lingkungan SAP Anda terlihat dan dikelola hanya oleh SAP. Pada gilirannya, lingkungan Azure pelanggan sendiri berisi aplikasi yang berinteraksi dengan sistem SAP. Elemen seperti jaringan virtual, grup keamanan jaringan, firewall, perutean, layanan Azure seperti Azure Data Factory dan lainnya yang berjalan di dalam langganan pelanggan yang mengakses aplikasi terkelola SAP. Saat terlibat dengan dukungan Azure pada topik Azure, hanya sumber daya yang dimiliki dalam langganan pelanggan Anda sendiri yang berada dalam cakupan. Hubungi SAP untuk masalah dengan sumber daya apa pun yang dioperasikan dalam langganan Azure SAP untuk beban kerja RISE Anda.

Sebagai bagian dari proyek RISE Anda, dokumenkumentasikan titik antarmuka antara lokal, lingkungan Azure Anda sendiri, dan beban kerja SAP yang dikelola oleh SAP. Ini perlu mencakup informasi jaringan apa pun seperti ruang alamat, firewall dan perutean, berbagi file jaringan, layanan Azure, DNS, dan lainnya. Mendokumentasikan kepemilikan mitra antarmuka apa pun dan tempat sumber daya apa pun berjalan, sehingga informasi ini dapat Anda akses dengan cepat dalam situasi dukungan dan menentukan cara terbaik Anda untuk mendapatkan dukungan. Hubungi organisasi dukungan SAP untuk layanan yang berjalan di langganan Azure SAP.

Penting

Untuk semua detail tentang RISE dengan SAP Enterprise Cloud Services dan SAP S/4HANA Cloud edisi privat, hubungi perwakilan SAP Anda.

Peering jaringan virtual dengan SAP RISE /ECS

Peering vnet adalah cara yang paling efektif untuk menghubungkan dua vnet mandiri secara aman dan privat, dengan memanfaatkan jaringan backbone privat Microsoft. Jaringan yang di-peer muncul sebagai satu tujuan konektivitas, yang memungkinkan aplikasi untuk berbicara satu sama lain. Aplikasi yang berjalan di vnet, langganan, penyewa atau wilayah Azure yang berbeda dapat berkomunikasi secara langsung. Seperti lalu lintas jaringan pada satu vnet, lalu lintas peering vnet tetap berada di jaringan privat Microsoft dan tidak melintasi internet.

Untuk penyebaran SAP RISE/ECS, peering virtual adalah cara yang lebih disukai untuk membangun konektivitas dengan lingkungan Azure pelanggan yang ada. Baik vnet SAP dan vnet pelanggan dilindungi dengan grup keamanan jaringan (NSG), yang memungkinkan komunikasi pada SAP dan port database melalui peering vnet. Komunikasi antara vnet yang di-peer diamankan melalui NSG ini, membatasi komunikasi ke lingkungan SAP pelanggan. Untuk detail dan daftar port terbuka, hubungi perwakilan SAP Anda.

Beban kerja terkelola SAP harus berjalan di wilayah Azure yang sama dengan infrastruktur dan aplikasi pusat pelanggan yang mengaksesnya. Peering jaringan virtual dapat diatur dalam wilayah yang sama dengan lingkungan terkelola SAP Anda, tetapi dapat juga diatur melalui peering jaringan virtual global antara dua wilayah Azure. Dengan SAP RISE/ECS yang tersedia di banyak wilayah Azure, wilayah tersebut harus cocok dengan beban kerja yang berjalan di vnet pelanggan karena pertimbangan biaya peering latensi dan vnet. Namun, beberapa skenario (misalnya, penyebaran S/4HANA pusat untuk perusahaan multi-nasional/regional yang disajikan secara global) juga perlu melakukan peering jaringan secara global.

Diagram ini menunjukkan jaringan virtual hub dan spoke khas pelanggan SAP. Peering jaringan virtual antar penyewa menghubungkan SAP RISE vnet ke hub vnet pelanggan.

Karena SAP RISE/ECS berjalan di penyewa dan langganan Azure SAP, siapkan peering jaringan virtual antara penyewa yang berbeda. Anda menyelesaikan ini dengan menyiapkan peering dengan ID sumber daya Azure jaringan yang disediakan SAP dan meminta SAP menyetujui peering. Tambahkan pengguna dari penyewa Azure AD yang berlawanan sebagai pengguna tamu, terima undangan pengguna tamu dan ikuti proses yang didokumenkan di Membuat peering vnet - langganan yang berbeda. Hubungi perwakilan SAP Anda untuk langkah-langkah yang tepat yang diperlukan. Libatkan masing-masing tim dalam organisasi Anda yang menangani jaringan, administrasi pengguna, dan arsitektur untuk memungkinkan proses ini diselesaikan dengan cepat.

Konektivitas selama migrasi ke ECS/RISE

Migrasi lanskap SAP Anda ke ECS/RISE dilakukan dalam beberapa fase selama beberapa bulan atau lebih. Beberapa lingkungan SAP Anda sudah dimigrasikan dan digunakan secara produktif, sementara sistem SAP lainnya disiapkan untuk migrasi. Di sebagian besar proyek pelanggan, sistem terbesar dan paling penting dimigrasikan di tengah atau di akhir proyek. Anda perlu mempertimbangkan untuk memiliki bandwidth yang cukup untuk migrasi data atau replikasi database, dan tidak memengaruhi jalur jaringan pengguna Anda ke lingkungan ECS/RISE yang sudah produktif. Sistem SAP yang sudah dimigrasikan mungkin juga perlu berkomunikasi dengan lanskap SAP yang masih lokal atau di penyedia layanan yang ada.

Selama perencanaan migrasi Anda ke ECS/RISE, rencanakan bagaimana dalam setiap fase sistem SAP dapat dijangkau untuk basis pengguna Anda dan bagaimana transfer data ke ECS/RISE vnet dirutekan. Seringkali beberapa lokasi dan pihak terlibat, seperti penyedia layanan dan pusat data yang ada dengan koneksi sendiri ke jaringan perusahaan Anda. Pastikan tidak ada solusi sementara dengan koneksi VPN yang dibuat tanpa mempertimbangkan bagaimana di fase selanjutnya data SAP dimigrasikan untuk sistem penting dan terbesar bisnis.

VPN vnet-ke-vnet

Sebagai alternatif untuk peering vnet, koneksi jaringan privat maya (VPN) dapat dibuat antara gateway VPN, yang disebarkan baik dalam langganan SAP RISE/ECS dan milik pelanggan. Anda dapat membuat koneksi vnet-ke-vnet antara kedua gateway VPN ini, memungkinkan komunikasi cepat antara dua vnet terpisah. Vnet dan gateway masing-masing dapat berada di wilayah Azure yang berbeda.

Diagram ini menunjukkan jaringan virtual hub dan spoke khas pelanggan SAP. Gateway VPN yang terletak di vnet SAP RISE terhubung melalui koneksi vnet-to-vnet ke gateway yang terdapat di vnet hub pelanggan.

Meskipun peering vnet adalah model penyebaran yang direkomendasikan dan lebih umum, VPN vnet-to-vnet berpotensi menyederhanakan peering virtual yang kompleks antara pelanggan dan jaringan virtual SAP RISE/ECS. VPN Gateway bertindak sebagai satu-satunya titik masuk ke jaringan pelanggan dan dikelola serta diamankan oleh tim pusat.

Grup Keamanan Jaringan berlaku pada pelanggan dan vnet SAP, identik dengan arsitektur peering vnet yang memungkinkan komunikasi ke port SAP NetWeaver dan HANA sesuai kebutuhan. Untuk detail cara mengatur koneksi VPN dan pengaturan mana yang harus digunakan, hubungi perwakilan SAP Anda.

Konektivitas kembali ke lokal

Dengan penyebaran Azure pelanggan yang sudah ada, jaringan lokal sudah tersambung melalui ExpressRoute (ER) atau VPN. Jalur jaringan lokal yang sama biasanya digunakan untuk beban kerja yang dikelola RISE/ECS SAP. Arsitektur yang dipilih menggunakan ER/VPN Gateway yang ada di vnet hub pelanggan untuk tujuan ini, dengan vnet SAP RISE yang tersambung terlihat sebagai jaringan spoke yang terhubung ke hub vnet pelanggan.

Diagram ini menunjukkan jaringan virtual hub dan spoke khas pelanggan SAP. Jaringan virtual tersebut terhubung pada jaringan lokal melalui koneksi. Peering jaringan virtual lintas penyewa menghubungkan vnet SAP RISE ke hub vnet pelanggan. Peering vnet mengaktifkan transit gateway jarak jauh, sehingga vnet RISE SAP dapat diakses dari lokal.

Dengan arsitektur ini, kebijakan pusat dan aturan keamanan yang mengatur konektivitas jaringan ke beban kerja pelanggan juga berlaku untuk beban kerja yang dikelola SAP RISE /ECS. Jalur jaringan lokal yang sama digunakan untuk vnet pelanggan dan vnet RISE/ECS SAP.

Jika saat ini tidak ada konektivitas Azure ke lokal, hubungi tim dukungan SAP Anda untuk mengetahui detail model koneksi mana yang mungkin dapat dibuat. Koneksi lokal ke RISE/ECS SAP selanjutnya hanya akan mencapai vnet yang dikelola SAP. Koneksi lokal ke RISE/ECS SAP tidak digunakan untuk mengakses vnet Azure milik pelanggan itu sendiri.

Penting untuk dicatat: Jaringan virtual hanya dapat memiliki satu gateway, lokal atau jarak jauh. Dengan peering vnet yang didirikan antara SAP RISE/ECS menggunakan transit gateway jarak jauh, tidak ada gateway yang dapat ditambahkan di Vnet SAP RISE/ECS. Kombinasi peering vnet dengan transit gateway jarak jauh beserta gateway VPN lain di vnet SAP RISE /ECS tidak dimungkinkan.

Virtual WAN dengan beban kerja terkelola SAP RISE/ECS

Sama halnya dengan menggunakan arsitektur jaringan hub and spoke dengan konektivitas ke vnet SAP RISE/ECS maupun ke lokal, hub Azure Virtual Wan (vWAN) dapat digunakan untuk tujuan yang sama. Kedua opsi koneksi yang dijelaskan sebelumnya - peering vnet serta VPN vnet-ke-vnet - tersedia dengan hub vWAN.

Hub jaringan vWAN disebarkan dan dikelola sepenuhnya oleh pelanggan dalam langganan dan vnet pelanggan. Koneksi dan perutean lokal melalui hub jaringan vWAN juga dikelola sepenuhnya oleh pelanggan.

Hubungi perwakilan SAP Anda untuk detail dan langkah-langkah yang diperlukan.

Integrasi DNS dengan beban kerja terkelola SAP RISE/ECS

Integrasi jaringan milik pelanggan dengan infrastruktur berbasis Cloud dan memberikan konsep resolusi nama tanpa hambatan adalah bagian penting dari implementasi proyek yang sukses.

Diagram ini menjelaskan salah satu skenario integrasi umum langganan, vnet, dan infrastruktur DNS milik SAP dengan jaringan lokal pelanggan dan layanan DNS. Dalam penyiapan tersebut, server DNS lokal menyimpan semua entri DNS. Infrastruktur DNS dapat menyelesaikan permintaan DNS yang berasal dari semua sumber (klien lokal, layanan Azure pelanggan, dan lingkungan terkelola SAP).

Deskripsi dan spesifikasi desain:

• Konfigurasi DNS kustom untuk vnet milik SAP

• Dua VM di RISE/STE/ECS Azure vnet hosting server DNS

• Pelanggan harus memberikan dan mendelegasikan ke SAP subdomain/zona (misalnya, *ecs.contoso.com) untuk menetapkan nama dan membuat entri DNS maju dan terbalik untuk komputer virtual yang menjalankan lingkungan terkelola SAP. Server DNS SAP memegang peran DNS master untuk zona yang didelegasikan

• Transfer zona DNS dari server DNS SAP ke server DNS pelanggan merupakan metode utama untuk mereplikasi entri DNS dari lingkungan RISE/STE/ECS ke DNS lokal

• Vnet Azure milik pelanggan juga menggunakan konfigurasi DNS kustom yang mengacu pada server DNS pelanggan yang terletak di vnet Azure Hub.

• Secara opsional, pelanggan dapat mengatur penerus DNS dalam vnet Azure mereka. Penerusan tersebut kemudian mendorong permintaan DNS yang datang dari layanan Azure ke server SAP DNS yang ditargetkan ke zona yang didelegasikan (*ecs.contoso.com).

Atau, transfer zona DNS dari server DNS SAP dapat dilakukan ke server DNS pelanggan yang terletak di azure hub vnet (diagram di bagian ini). Ini berlaku untuk desain ketika pelanggan mengoperasikan solusi DNS kustom (misalnya AD DS atau server BIND) dalam vnet hub mereka.

Penting untuk diperhatikan, bahwa baik Azure yang disediakan DNS dan zona privat Azure tidak mendukung kemampuan transfer zona DNS, oleh karena itu, tidak dapat digunakan untuk menerima replikasi DNS dari server DNS SAP RISE/STE/ECS. Selain itu, penyedia layanan DNS eksternal biasanya tidak didukung oleh SAP RISE/ECS.

Untuk membaca lebih lanjut tentang penggunaan Azure DNS untuk SAP, di luar penggunaan dengan SAP RISE/ECS lihat detailnya di posting blog berikut.

Koneksi keluar dan masuk internet dengan SAP RISE/ECS

Beban kerja SAP yang berkomunikasi dengan aplikasi eksternal atau koneksi masuk dari basis pengguna perusahaan (misalnya, SAP Fiori) dapat memerlukan jalur jaringan ke Internet, tergantung pada kebutuhan pelanggan. Dalam beban kerja terkelola SAP RISE/ECS, bekerja samalah dengan perwakilan SAP Anda untuk mengeksplorasi kebutuhan https/RFC/jalur komunikasi lainnya. Komunikasi jaringan ke/dari Internet secara default tidak diaktifkan untuk pelanggan SAP RISE/ECS dan jaringan default hanya menggunakan rentang IP privat. Konektivitas internet memerlukan perencanaan dengan SAP, untuk melindungi lanskap SAP pelanggan secara optimal.

Jika Anda mengaktifkan lalu lintas terikat Internet atau masuk dengan perwakilan SAP, komunikasi jaringan dilindungi melalui berbagai teknologi Azure seperti NSG, ASG, Application Gateway beserta Web Application Firewall (WAF), server proxy, dan lainnya. Layanan ini sepenuhnya dikelola melalui SAP dalam vnet dan langganan SAP RISE/ECS. Jalur jaringan SAP RISE/ECS ke dan dari Internet biasanya tetap dalam vnet SAP RISE/ECS saja dan tidak transit ke/dari vnet pelanggan sendiri.

Aplikasi dalam vnet milik pelanggan terhubung ke Internet langsung dari masing-masing vnet atau melalui layanan yang dikelola secara terpusat milik pelanggan seperti Azure Firewall, Azure Application Gateway, NAT Gateway, dan lainnya. Konektivitas ke SAP BTP dari aplikasi non-SAP RISE/ECS mengambil jalur jaringan Internet yang sama. Jika Penghubung Cloud SAP diperlukan untuk integrasi tersebut, Penghubung terebut ditempatkan bersama mesin virtual non-SAP pelanggan yang membutuhkan komunikasi SAP BTP dan jalur jaringan yang dikelola oleh pelanggan sendiri.

Konektivitas SAP BTP

SAP Business Technology Platform (BTP) menyediakan banyak aplikasi yang diakses oleh IP/nama host publik melalui Internet. Layanan pelanggan yang berjalan di langganan Azure mereka mengaksesnya baik secara langsung melalui koneksi internet layanan mesin virtual/Azure, atau melalui Rute yang Ditentukan Pengguna yang memaksa semua lalu lintas terikat Internet melalui firewall yang dikelola secara terpusat atau peralatan virtual jaringan lainnya. Namun beberapa layanan SAP BTP, seperti SAP Data Intelligence, secara desain diakses melalui peering vnet terpisah alih-alih titik akhir publik yang biasanya digunakan untuk aplikasi BTP.

SAP menawarkan Layanan Private Link untuk pelanggan yang menggunakan SAP BTP di Azure. Layanan Private Link SAP menyambungkan layanan SAP BTP melalui rentang IP privat ke jaringan Azure pelanggan dan dengan demikian dapat diakses secara pribadi melalui layanan link privat alih-alih melalui Internet. Hubungi SAP untuk ketersediaan layanan ini guna beban kerja SAP RISE/ECS.

Lihat dokumentasi SAP dan serangkaian posting blog tentang arsitektur Layanan Private Link SAP BTP dan metode konektivitas privat, terkait dengan DNS dan sertifikat yang mengikuti seri blog SAP Mulai Menggunakan Layanan Private Link BTP untuk Azure.

Integrasi dengan layanan Azure

Setiap layanan Azure dengan akses ke vnet pelanggan dapat berkomunikasi dengan lanskap SAP yang berjalan dalam langganan SAP RISE/ECS melalui port yang tersedia.

Aplikasi yang berjalan secara lokal, menggunakan peering vnet yang dibuat atau koneksi VPN vnet-ke-vnet melalui alamat IP privat. Aplikasi yang mengakses IP yang tersedia untuk umum, yang diekspos melalui gateway aplikasi Azure terkelola SAP RISE, juga dapat menghubungi sistem SAP melalui https. Untuk detail dan keamanan gateway aplikasi dan port terbuka NSG, hubungi SAP.

Diagram port terbuka pada sistem SAP RISE/ECS. Koneksi RFC untuk BAPI dan IDoc, https untuk OData dan Rest/SOAP. ODBC/JDBC untuk koneksi database langsung ke SAP Hana. Semua koneksi melalui peering vnet privat. Azure Application Gateway dengan IP publik untuk https sebagai opsi potensial, dikelola melalui SAP.

Dengan informasi tentang antarmuka yang tersedia untuk lanskap SAP RISE/ECS, beberapa metode integrasi dengan Layanan Azure dimungkinkan.

• Skenario integrasi data dengan Azure Data Factory atau Synapse Analytics memerlukan runtime integrasi yang dihost sendiri atau Azure Integration Runtime. Untuk detailnya lihat bab berikutnya.

• Skenario integrasi aplikasi dengan Azure Integration Services berfungsi sebagai perantara untuk mengatasi pola integrasi yang diinginkan. Konsumen seperti Power Apps, Power BI, Azure Functions, dan Azure App Service diatur dan diamankan melalui Azure API Management yang disebarkan di lingkungan pelanggan. Komponen ini menawarkan fitur standar industri seperti pembatasan permintaan, kuota penggunaan, dan Propagasi Utama SAP untuk mempertahankan otorisasi backend SAP dengan pemanggil terautentikasi M365. Temukan kebijakan API Management untuk Propagasi Utama SAP di sini.

• Dukungan panggilan fungsi jarak jauh protokol warisan SAP (RFC) dengan konektor bawaan untuk Azure Logic Apps, Power Apps, Power BI melalui gateway data lokal Microsoft antara sistem SAP RISE dan layanan Azure. Lihat bab di bawah ini untuk detail selengkapnya.

Temukan gambaran umum komprehensif dari semua skenario integrasi SAP dan Microsoft yang tersedia di sini.

Integrasi dengan runtime integrasi yang dihosting sendiri

Mengintegrasikan sistem SAP Anda dengan layanan asli cloud Azure seperti Azure Data Factory atau Azure Synapse akan menggunakan saluran komunikasi ini ke lingkungan terkelola SAP RISE/ECS.

Arsitektur tingkat tinggi berikut menunjukkan skenario integrasi yang mungkin dengan layanan data Azure seperti Data Factory atau Synapse Analytics. Untuk layanan Azure ini, runtime integrasi yang dihosting sendiri (IR yang dihost sendiri atau IR) atau runtime integrasi Azure (Azure IR) dapat digunakan. Penggunaan runtime integrasi bergantung pada konektor data yang dipilih, sebagian besar konektor SAP hanya tersedia untuk IR yang dihost sendiri. Konektor SAP ECC mampu digunakan melalui IR Azure dan IR yang dihost sendiri. Pilihan runtime integrasi mengatur jalur jaringan yang diambil. Konektor SAP .NET digunakan untuk konektor SAP table connector, SAP Business Warehouse dan SAP OpenHub. Semua konektor ini menggunakan modul fungsi SAP (FM) pada sistem SAP, dijalankan melalui koneksi RFC. Terakhir jika akses database langsung disetujui dengan SAP, bersama dengan pengguna dan jalur koneksi dibuka, konektor ODBC/JDBC untuk SAP Hana juga dapat digunakan dari IR yang dihost sendiri.

Untuk konektor data yang menggunakan runtime integrasi Azure, runtime integrasi ini mengakses lingkungan SAP Anda melalui alamat IP publik. SAP RISE/ECS menyediakan titik akhir ini melalui gateway aplikasi untuk digunakan dan komunikasi serta pergerakan data melalui https.

Konektor data dalam runtime integrasi yang dihosting sendiri berkomunikasi dengan sistem SAP dalam langganan SAP RISE/ECS dan vnet melalui peering vnet yang telah ditetapkan dan alamat jaringan privat saja. Aturan grup keamanan jaringan yang ditetapkan membatasi aplikasi mana yang dapat berkomunikasi dengan sistem SAP.

Pelanggan bertanggung jawab atas penyebaran dan pengoperasian runtime integrasi yang dihosting sendiri dalam langganan dan vnet mereka. Komunikasi antara layanan Azure PaaS seperti Data Factory atau Synapse Analytics dan waktu proses integrasi yang dihosting sendiri berada dalam langganan pelanggan. SAP RISE/ECS memaparkan port komunikasi aplikasi ini untuk digunakan tetapi tidak memiliki pengetahuan atau dukungan tentang rincian aplikasi atau layanan yang terhubung.

Hubungi SAP untuk perincian tentang jalur komunikasi yang tersedia untuk Anda dengan SAP RISE dan langkah-langkah yang diperlukan untuk membukanya. SAP juga harus dihubungi untuk detail lisensi SAP apa pun untuk implikasi apa pun yang mengakses data SAP melalui aplikasi eksternal apa pun.

Pelajari selengkapnya tentang dukungan keseluruhan pada skenario integrasi data SAP dari Cloud Adoption Framework kami dengan pengenalan terperinci pada setiap konektor, perbandingan, dan panduan SAP. Integrasi data whitepaper SAP menggunakan whitepaper Azure Data Factory melengkapi gambar.

Gateway data lokal

Layanan Azure lebih lanjut seperti Azure Logic Apps, Power Apps , atau Power BI berkomunikasi dan bertukar data dengan sistem SAP melalui gateway data lokal jika diperlukan. Gateway data lokal adalah mesin virtual yang berjalan di Azure atau secara lokal. Ini menyediakan transfer data yang aman antara Layanan Azure ini dan sistem SAP Anda termasuk opsi untuk dukungan runtime dan driver untuk SAP RFC.

Dengan SAP RISE, gateway data lokal dapat terhubung ke Layanan Azure yang berjalan di langganan Azure pelanggan. VM yang menjalankan gateway data ini disebarkan dan dioperasikan oleh pelanggan. Mengikuti arsitektur tingkat tinggi berfungsi sebagai gambaran umum, metode serupa dapat digunakan untuk salah satu layanan.

Lingkungan SAP RISE di sini menyediakan akses ke port SAP untuk RFC dan https yang dijelaskan sebelumnya. Port komunikasi diakses oleh alamat jaringan privat melalui peering vnet atau koneksi VPN site-to-site. Mesin virtual gateway data lokal yang berjalan di langganan Azure pelanggan menggunakan konektor .NET SAP untuk menjalankan panggilan RFC, BAPI, atau IDoc melalui koneksi RFC. Selain itu, tergantung pada layanan dan cara komunikasi disiapkan, cara untuk terhubung ke IP publik sistem SAP REST API melalui https mungkin diperlukan. Koneksi https ke IP publik dapat diekspos melalui gateway aplikasi terkelola SAP RISE/ECS. Arsitektur tingkat tinggi ini menunjukkan kemungkinan skenario integrasi. Alternatif untuk itu seperti menggunakan penyewa tunggal Logic Apps dan titik akhir privat untuk mengamankan komunikasi dan lainnya dapat dilihat sebagai ekstensi dan tidak dijelaskan di sini.

SAP RISE/ECS memaparkan port komunikasi aplikasi ini untuk digunakan tetapi tidak memiliki pengetahuan tentang detail aplikasi atau layanan yang tersambung yang berjalan dalam langganan pelanggan.

SAP RISE/ECS memaparkan port komunikasi aplikasi ini untuk digunakan tetapi tidak memiliki pengetahuan tentang detail aplikasi atau layanan yang tersambung yang berjalan dalam langganan pelanggan. Hubungi SAP untuk detail lisensi SAP apa pun untuk implikasi apa pun yang mengakses data SAP melalui layanan Azure yang terhubung ke sistem atau database SAP.

Akses menyeluruh untuk SAP

Akses menyeluruh (SSO) dikonfigurasi untuk banyak lingkungan SAP. Dengan beban kerja SAP yang berjalan di ECS/RISE, langkah-langkah yang identik dengan sistem SAP yang dijalankan secara asli dapat diikuti. Langkah-langkah integrasi dengan SSO berbasis Azure Active Directory (Azure AD) tersedia untuk beban kerja terkelola ECS/RISE yang khas:

• Tutorial: Integrasi akses menyeluruh (SSO) Layanan Domain Active Directory Azure dengan SAP NetWeaver
• Tutorial: Integrasi akses menyeluruh (SSO) Layanan Domain Active Directory Azure dengan SAP Fiori
• Tutorial: Integrasi Azure Active Directory dengan SAP Hana

Metode SSO	IdP	Kasus penggunaan umum	Implementasi
SAML/OAuth	Azure AD (AAD)	SAP Fiori, Web GUI, Portal, HANA	Konfigurasi pelanggan
SNC	Azure AD (AAD)	SAP GUI	Konfigurasi pelanggan
SPNEGO	Direktori Aktif (AD)	Web GUI, Portal	Konfigurasi pelanggan

SSO terhadap Active Directory (AD) domain Windows Anda untuk lingkungan SAP terkelola ECS/RISE, dengan SAP SSO Secure Login Client memerlukan integrasi AD untuk perangkat pengguna akhir. Dengan SAP RISE, sistem Windows apa pun tidak terintegrasi dengan domain direktori aktif pelanggan. Ini tidak diperlukan untuk SSO dengan AD/Kerberos karena token keamanan domain dibaca di perangkat klien dan dipertukarkan dengan aman dengan sistem SAP. Hubungi SAP jika Anda memerlukan perubahan untuk mengintegrasikan SSO berbasis AD atau menggunakan produk pihak ketiga selain SAP SSO Secure Login Client, karena beberapa konfigurasi pada sistem terkelola RISE mungkin diperlukan.

Microsoft Azure Sentinel dengan SAP RISE

Solusi Microsoft Azure Sentinel untuk aplikasi SAP memungkinkan Anda memantau, mendeteksi, dan merespons aktivitas mencurigakan dan menjaga data penting Anda dari serangan cyber canggih untuk sistem SAP yang dihosting di Azure, cloud lain, atau infrastruktur lokal.

Solusi ini memungkinkan Anda untuk mendapatkan visibilitas terhadap aktivitas pengguna pada SAP RISE/ECS dan lapisan logika bisnis SAP dan menerapkan konten bawaan Sentinel.

• Gunakan satu konsol untuk memantau semua properti perusahaan Anda termasuk instans SAP di SAP RISE/ECS di Azure dan cloud lainnya, SAP Azure asli dan estate lokal
• Mendeteksi dan merespons ancaman secara otomatis: mendeteksi aktivitas mencurigakan termasuk eskalasi hak istimewa, perubahan tidak sah, transaksi sensitif, eksfiltrasi data, dan banyak lagi dengan kemampuan deteksi di luar kotak
• Menghubungkan aktivitas SAP dengan sinyal lain: mendeteksi ancaman SAP dengan lebih akurat dengan berkorelasi silang di seluruh titik akhir, Azure AD data, dan banyak lagi
• Sesuaikan berdasarkan kebutuhan Anda - bangun deteksi Anda sendiri untuk memantau transaksi sensitif dan risiko bisnis lainnya
• Memvisualisasikan data dengan buku kerja bawaan

Diagram ini menunjukkan contoh Microsoft Sentinel yang terhubung melalui VM atau kontainer perantara ke sistem SAP yang dikelola SAP. VM atau kontainer perantara berjalan di langganan pelanggan sendiri dengan agen konektor data SAP yang dikonfigurasi.

Untuk SAP RISE/ECS, solusi Microsoft Azure Sentinel harus disebarkan dalam langganan Azure pelanggan. Semua bagian solusi Sentinel dikelola oleh pelanggan dan bukan oleh SAP. Konektivitas jaringan privat dari vnet pelanggan diperlukan untuk mencapai lanskap SAP yang dikelola oleh SAP RISE/ECS. Biasanya, koneksi ini melalui peering vnet yang dibuat atau melalui alternatif yang dijelaskan dalam dokumen ini.

Untuk mengaktifkan solusi, hanya pengguna RFC resmi yang diperlukan dan tidak ada yang perlu diinstal pada sistem SAP. Agen pengumpulan data SAP berbasis kontainer yang disertakan dengan solusi dapat diinstal baik pada VM atau AKS/lingkungan Kubernetes apa pun. Agen kolektor menggunakan pengguna layanan SAP untuk menggunakan data log aplikasi dari lanskap SAP Anda melalui antarmuka RFC menggunakan panggilan RFC standar.

• Metode autentikasi yang didukung dalam SAP RISE: Nama pengguna dan kata sandi SAP atau sertifikat X509/SNC
• Hanya koneksi berbasis RFC yang dimungkinkan saat ini dengan lingkungan SAP RISE/ECS

Catatan untuk menjalankan Microsoft Azure Sentinel di lingkungan SAP RISE/ECS:

• Bidang/sumber log berikut memerlukan permintaan perubahan transportasi SAP: Informasi alamat IP klien dari log audit keamanan SAP, log tabel DB (pratinjau), log output penampung. Konten bawaan Sentinel (deteksi, buku kerja, dan playbook) menyediakan cakupan dan korelasi yang luas tanpa sumber log tersebut.
• Infrastruktur SAP dan log sistem operasi tidak tersedia untuk Sentinel di RISE, termasuk VM yang menjalankan sumber data SAP, SAPControl, sumber daya jaringan yang ditempatkan dalam ECS. SAP memantau elemen infrastruktur dan sistem operasi Azure secara independen.

Untuk informasi selengkapnya tentang Microsoft Sentinel dan SAP, termasuk panduan penyebaran, lihat Dokumentasi produk Sentinel.

Azure Monitor untuk SAP dengan SAP RISE

Azure Monitoring untuk SAP adalah solusi asli Azure untuk memantau sistem SAP Anda. Ini memperluas kemampuan monitoring platform monitor Azure dengan dukungan untuk mengumpulkan data tentang SAP NetWeaver, database, dan detail sistem operasi.

Catatan

SAP RISE/ECS adalah layanan yang terkelola sepenuhnya untuk lanskap SAP Anda dan karenanya Azure Monitoring untuk SAP tidak dimaksudkan untuk digunakan untuk lingkungan terkelola tersebut.

SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Monitoring for SAP. Pemantauan dan pelaporan RISE/ECS sendiri diberikan kepada pelanggan sebagaimana didefinisikan oleh deskripsi layanan Anda dengan SAP.

Azure Center for SAP Solutions

Sama seperti Azure Monitoring untuk SAP, SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Center for SAP Solutions dalam kemampuan apa pun. Semua beban kerja SAP RISE disebarkan oleh SAP dan berjalan di penyewa dan langganan Azure SAP, tanpa akses apa pun oleh pelanggan ke sumber daya Azure.

Langkah berikutnya

Lihat dokumentasinya:

• Beban kerja SAP di Azure: daftar periksa perencanaan dan penyebaran
• Rekanan jaringan virtual
• Integrasi data SAP menggunakan Azure Data Factory