Servizi di sicurezza e identità di Azure con l'istanza riservata di SAP edizione Standard
Questo articolo illustra in dettaglio l'integrazione dei servizi di gestione delle identità e della sicurezza di Azure con un carico di lavoro dell'istanza riservata di SAP edizione Standard. Inoltre, l'uso di alcuni servizi di monitoraggio di Azure è illustrato per un panorama delle istanze riservate sap edizione Standard.
Single Sign-On per SAP
Single Sign-On (SSO) è configurato per molti ambienti SAP. Con i carichi di lavoro SAP in esecuzione in ECS/RI edizione Standard, i passaggi per implementare non differiscono da un sistema SAP in esecuzione in modo nativo. I passaggi di integrazione con l'accesso SSO basato su Microsoft Entra ID sono disponibili per i carichi di lavoro tipici di ECS/RI edizione Standard gestiti:
- Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con SAP NetWeaver
- Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con SAP Fiori
- Esercitazione: Integrazione di Microsoft Entra con SAP HANA
| Metodo SSO | Provider di identità | Caso d'uso tipico | Implementazione |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, INTERFACCIA utente grafica Web, portale, HANA | Configurazione da parte del cliente |
| SNC | Microsoft Entra ID | GUI SAP | Configurazione da parte del cliente |
| SPNEGO | Active Directory (AD) | INTERFACCIA utente grafica Web, SAP Enterprise Portal | Configurazione per cliente e SAP |
SSO con Active Directory (AD) del dominio Windows per ECS/RI edizione Standard ambiente SAP gestito, con SAP SSO Secure Login Client richiede l'integrazione di AD per i dispositivi degli utenti finali. Con SAP RI edizione Standard, tutti i sistemi Windows non sono integrati con il dominio active directory del cliente. L'integrazione del dominio non è necessaria per l'accesso SSO con AD/Kerberos perché il token di sicurezza del dominio viene letto nel dispositivo client e scambiato in modo sicuro con il sistema SAP. Contattare SAP se sono necessarie modifiche per integrare l'accesso SSO basato su AD o l'uso di prodotti di terze parti diversi da SAP SSO Secure Login Client, perché potrebbero essere necessarie alcune configurazioni nei sistemi gestiti ri edizione Standard.
Microsoft Sentinel con SAP RI edizione Standard
La soluzione SAP RI edizione Standard certificata di Microsoft Sentinel per le applicazioni SAP consente di monitorare, rilevare e rispondere alle attività sospette. Microsoft Sentinel protegge i dati critici da attacchi informatici sofisticati per i sistemi SAP ospitati in Azure, in altri cloud o in un'infrastruttura locale.
La soluzione consente di ottenere visibilità sulle attività degli utenti su SAP RI edizione Standard/ECS e sui livelli della logica di business SAP e applicare il contenuto predefinito di Sentinel.
- Usare una singola console per monitorare tutte le istanze aziendali, incluse le istanze SAP in SAP RI edizione Standard/ECS in Azure e in altri cloud, sap Azure native e locali
- Rilevare e rispondere automaticamente alle minacce: rilevare attività sospette, tra cui escalation dei privilegi, modifiche non autorizzate, transazioni sensibili, esfiltrazione dei dati e altro ancora con funzionalità di rilevamento predefinite
- Correlare l'attività SAP con altri segnali: rilevare in modo più accurato le minacce SAP correlando tra endpoint, dati di Microsoft Entra e altro ancora
- Personalizzare in base alle esigenze: creare rilevamenti personalizzati per monitorare le transazioni sensibili e altri rischi aziendali
- Visualizzare i dati con cartelle di lavoro predefinite
Questo diagramma mostra un esempio di Microsoft Sentinel connesso tramite una macchina virtuale intermedia o un contenitore al sistema SAP gestito da SAP. La macchina virtuale intermedia o il contenitore viene eseguito nella sottoscrizione del cliente con l'agente del connettore dati SAP configurato.
Per SAP RI edizione Standard/ECS, la soluzione Microsoft Sentinel deve essere distribuita nella sottoscrizione di Azure del cliente. Tutte le parti della soluzione Sentinel vengono gestite dal cliente e non da SAP. La connettività di rete privata dalla rete virtuale del cliente è necessaria per raggiungere gli scenari SAP gestiti da SAP RI edizione Standard/ECS. In genere, questa connessione viene eseguita tramite il peering reti virtuali stabilite o tramite alternative descritte in questo documento.
Per abilitare la soluzione, è necessario solo un utente RFC autorizzato e non è necessario installare nulla nei sistemi SAP. L'agente di raccolta dati SAP basato su contenitori incluso nella soluzione può essere installato nella macchina virtuale o nel servizio Azure Kubernetes/qualsiasi ambiente Kubernetes. L'agente agente di raccolta usa un utente del servizio SAP per usare i dati del log applicazioni dal panorama applicativo SAP tramite l'interfaccia RFC usando chiamate RFC standard.
- Metodi di autenticazione supportati in SAP RI edizione Standard: nome utente e password SAP o certificati X509/SNC
- Attualmente sono possibili solo connessioni basate su RFC con ambienti SAP RI edizione Standard/ECS
Nota per l'esecuzione di Microsoft Sentinel in un ambiente SAP RI edizione Standard/ECS:
- I campi del log o l'origine seguenti richiedono una richiesta di modifica del trasporto SAP: informazioni sull'indirizzo IP client dal log di controllo della sicurezza SAP, log delle tabelle del database (anteprima), log di output dello spooling. Il contenuto predefinito di Sentinel (rilevamenti, cartelle di lavoro e playbook) offre una copertura completa e una correlazione senza tali origini di log.
- L'infrastruttura SAP e i log del sistema operativo non sono disponibili per Sentinel in ISTANZE riservate edizione Standard, incluse le macchine virtuali che eseguono SAP, le origini dati SAPControl, le risorse di rete inserite in ECS. SAP monitora in modo indipendente gli elementi del sistema operativo e dell'infrastruttura di Azure.
Usare playbook predefiniti per la sicurezza, l'orchestrazione, l'automazione e le funzionalità di risposta (SOAR) per reagire rapidamente alle minacce. Un primo scenario diffuso è il blocco degli utenti SAP con l'opzione di intervento da Microsoft Teams. Il modello di integrazione può essere applicato a qualsiasi tipo di evento imprevisto e servizio di destinazione che si estende verso SAP Business Technology Platform (BTP) o Microsoft Entra ID per quanto riguarda la riduzione della superficie di attacco.
Per altre informazioni su Microsoft Sentinel e SOAR per SAP, vedere la serie di blog Da zero a copertura della sicurezza hero con Microsoft Sentinel per i segnali di sicurezza SAP critici.
Questa immagine mostra un evento imprevisto SAP rilevato da Sentinel che offre l'opzione per bloccare l'utente sospetto in SAP ERP, SAP Business Technology Platform o Microsoft Entra ID.
Per altre informazioni su Microsoft Sentinel e SAP, inclusa una guida alla distribuzione, vedere la documentazione del prodotto Sentinel.
Monitoraggio di Azure per SAP con SAP RI edizione Standard
Monitoraggio di Azure per soluzioni SAP è una soluzione nativa di Azure per il monitoraggio del sistema SAP. Estende la funzionalità di monitoraggio della piattaforma di Monitoraggio di Azure con il supporto per raccogliere dati relativi a SAP NetWeaver, database e dettagli del sistema operativo.
SAP RI edizione Standard/ECS è un servizio completamente gestito per il panorama applicativo SAP e pertanto Monitoraggio di Azure per SAP non deve essere usato per tale ambiente gestito. SAP RI edizione Standard/ECS non supporta alcuna integrazione con Monitoraggio di Azure per soluzioni SAP. Il monitoraggio e la creazione di report di SAP vengono usati e forniti al cliente come definito dalla descrizione del servizio con SAP.
Centro di Azure per soluzioni SAP
Come per il monitoraggio di Azure per le soluzioni SAP, SAP RI edizione Standard/ECS non supporta alcuna integrazione con Azure Center for SAP Solutions in alcuna funzionalità. Tutti i carichi di lavoro delle istanze riservate sap edizione Standard vengono distribuiti da SAP ed eseguiti nel tenant e nella sottoscrizione di SAP, senza alcun accesso da parte del cliente alle risorse di Azure.
Passaggi successivi
Vedere la documentazione:
- Panoramica dell'integrazione di Azure con l'istanza riservata di SAP edizione Standard
- Opzioni di connettività di rete in Azure con l'istanza riservata di SAP edizione Standard
- Integrazione dei servizi di Azure con SAP RI edizione Standard
- Distribuire la soluzione Microsoft Sentinel per applicazioni SAPE®
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per