Layanan identitas dan keamanan Azure dengan SAP RISE
Artikel ini merinci integrasi layanan identitas dan keamanan Azure dengan beban kerja SAP RISE. Selain itu, penggunaan beberapa layanan pemantauan Azure dijelaskan untuk lanskap SAP RISE.
Akses menyeluruh untuk SAP
Akses menyeluruh (SSO) dikonfigurasi untuk banyak lingkungan SAP. Dengan beban kerja SAP yang berjalan di ECS/RISE, langkah-langkah untuk menerapkan tidak berbeda dari sistem SAP yang dijalankan secara asli. Langkah-langkah integrasi dengan SSO berbasis MICROSOFT Entra ID tersedia untuk beban kerja terkelola ECS/RISE yang khas:
- Tutorial: Integrasi Akses Menyeluruh (SSO) Microsoft Entra dengan SAP NetWeaver
- Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Fiori
- Tutorial: Integrasi Microsoft Entra dengan SAP Hana
| Metode SSO | Penyedia Identitas | Kasus penggunaan umum | implementasi |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, Web GUI, Portal, HANA | Konfigurasi menurut pelanggan |
| SNC | Microsoft Entra ID | SAP GUI | Konfigurasi menurut pelanggan |
| SPNEGO | Direktori Aktif (AD) | Web GUI, Portal Perusahaan SAP | Konfigurasi menurut pelanggan dan SAP |
SSO terhadap Active Directory (AD) domain Windows Anda untuk lingkungan SAP terkelola ECS/RISE, dengan SAP SSO Secure Login Client memerlukan integrasi AD untuk perangkat pengguna akhir. Dengan SAP RISE, sistem Windows apa pun tidak terintegrasi dengan domain direktori aktif pelanggan. Integrasi domain tidak diperlukan untuk SSO dengan AD/Kerberos karena token keamanan domain dibaca di perangkat klien dan ditukar dengan aman dengan sistem SAP. Hubungi SAP jika Anda memerlukan perubahan untuk mengintegrasikan SSO berbasis AD atau menggunakan produk pihak ketiga selain SAP SSO Secure Login Client, karena beberapa konfigurasi pada sistem terkelola RISE mungkin diperlukan.
Microsoft Sentinel dengan SAP RISE
Solusi Microsoft Sentinel bersertifikat SAP RISE untuk aplikasi SAP memungkinkan Anda memantau, mendeteksi, dan menanggapi aktivitas yang mencurigakan. Microsoft Azure Sentinel melindungi data penting Anda dari serangan cyber canggih untuk sistem SAP yang dihosting di Azure, cloud lain, atau infrastruktur lokal.
Solusi ini memungkinkan Anda untuk mendapatkan visibilitas terhadap aktivitas pengguna pada SAP RISE/ECS dan lapisan logika bisnis SAP dan menerapkan konten bawaan Sentinel.
- Gunakan satu konsol untuk memantau semua properti perusahaan Anda termasuk instans SAP di SAP RISE/ECS di Azure dan cloud lainnya, SAP Azure asli dan lokal
- Mendeteksi dan merespons ancaman secara otomatis: mendeteksi aktivitas mencurigakan termasuk eskalasi hak istimewa, perubahan yang tidak sah, transaksi sensitif, penyelundupan data, dan banyak lagi dengan kemampuan deteksi di luar kotak
- Menghubungkan aktivitas SAP dengan sinyal lain: mendeteksi ancaman SAP dengan lebih akurat dengan berkorelasi silang di seluruh titik akhir, data Microsoft Entra, dan banyak lagi
- Sesuaikan berdasarkan kebutuhan Anda - bangun deteksi Anda sendiri untuk memantau transaksi sensitif dan risiko bisnis lainnya
- Memvisualisasikan data dengan buku kerja bawaan
Diagram ini menunjukkan contoh Microsoft Sentinel yang terhubung melalui VM atau kontainer perantara ke sistem SAP terkelola SAP. VM atau kontainer perantara berjalan di langganan pelanggan sendiri dengan agen konektor data SAP yang dikonfigurasi.
Untuk SAP RISE/ECS, solusi Microsoft Azure Sentinel harus disebarkan dalam langganan Azure pelanggan. Semua bagian solusi Sentinel dikelola oleh pelanggan dan bukan oleh SAP. Konektivitas jaringan privat dari vnet pelanggan diperlukan untuk mencapai lanskap SAP yang dikelola oleh SAP RISE/ECS. Biasanya, koneksi ini melalui peering vnet yang dibuat atau melalui alternatif yang dijelaskan dalam dokumen ini.
Untuk mengaktifkan solusi, hanya pengguna RFC resmi yang diperlukan dan tidak ada yang perlu diinstal pada sistem SAP. Agen pengumpulan data SAP berbasis kontainer yang disertakan dengan solusi dapat diinstal baik pada VM atau AKS/lingkungan Kubernetes apa pun. Agen kolektor menggunakan pengguna layanan SAP untuk menggunakan data log aplikasi dari lanskap SAP Anda melalui antarmuka RFC menggunakan panggilan RFC standar.
- Metode autentikasi yang didukung di SAP RISE: Nama pengguna dan kata sandi SAP atau sertifikat X509/SNC
- Hanya koneksi berbasis RFC yang saat ini dimungkinkan dengan lingkungan SAP RISE/ECS
Catatan untuk menjalankan Microsoft Sentinel di lingkungan SAP RISE/ECS:
- Bidang/sumber log berikut memerlukan permintaan perubahan transportasi SAP: Informasi alamat IP klien dari log audit keamanan SAP, log tabel DB (pratinjau), log output spool. Konten bawaan Sentinel (deteksi, buku kerja, dan playbook) menyediakan cakupan dan korelasi yang luas tanpa sumber log tersebut.
- Infrastruktur SAP dan log sistem operasi tidak tersedia untuk Sentinel di RISE, termasuk VM yang menjalankan SAP, sumber data SAPControl, sumber daya jaringan yang ditempatkan dalam ECS. SAP memantau elemen infrastruktur Dan sistem operasi Azure secara independen.
Gunakan playbook bawaan untuk kemampuan keamanan, orkestrasi, otomatisasi, dan respons (SOAR) untuk bereaksi terhadap ancaman dengan cepat. Skenario pertama yang populer adalah pemblokiran pengguna SAP dengan opsi intervensi dari Microsoft Teams. Pola integrasi dapat diterapkan ke jenis insiden dan layanan target yang mencakup SAP Business Technology Platform (BTP) atau MICROSOFT Entra ID sehubungan dengan pengurangan permukaan serangan.
Untuk informasi selengkapnya tentang Microsoft Sentinel dan SOAR untuk SAP, lihat seri blog Dari cakupan keamanan nol hingga hero dengan Microsoft Sentinel untuk sinyal keamanan SAP penting Anda.
Gambar ini menunjukkan insiden SAP yang terdeteksi oleh Sentinel yang menawarkan opsi untuk memblokir pengguna yang mencurigakan pada SAP ERP, Platform Teknologi Bisnis SAP, atau ID Microsoft Entra.
Untuk informasi selengkapnya tentang Microsoft Azure Sentinel dan SAP, termasuk panduan penyebaran, lihat Dokumentasi produk Sentinel.
Azure Monitor untuk SAP dengan SAP RISE
Azure Monitor untuk solusi SAP adalah solusi asli Azure untuk memantau sistem SAP Anda. Ini memperluas kemampuan monitoring platform monitor Azure dengan dukungan untuk mengumpulkan data tentang SAP NetWeaver, database, dan detail sistem operasi.
SAP RISE/ECS adalah layanan yang terkelola sepenuhnya untuk lanskap SAP Anda dan karenanya Azure Monitoring untuk SAP tidak dimaksudkan untuk digunakan untuk lingkungan terkelola tersebut. SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Monitor untuk solusi SAP. Pemantauan dan pelaporan SAP sendiri digunakan dan disediakan untuk pelanggan seperti yang didefinisikan oleh deskripsi layanan Anda dengan SAP.
Azure Center for SAP Solutions
Seperti halnya solusi Azure Monitoring for SAP, SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Center for SAP Solutions dalam kemampuan apa pun. Semua beban kerja SAP RISE disebarkan oleh SAP dan berjalan di penyewa dan langganan Azure SAP, tanpa akses apa pun oleh pelanggan ke sumber daya Azure.
Langkah berikutnya
Lihat dokumentasinya: