Azure 仮想マシンの認証、認可、アクセス制御について確認する
クロスプレミスのシナリオでは、オンプレミスの Active Directory を拡張して、Azure にデプロイされたドメイン コントローラーを使用した (統合 DNS も使用する可能性があります) 認証メカニズムとして機能させることができます。 従来の Active Directory サーバーと、従来のオンプレミス AD の機能のサブセットを提供するだけの Microsoft Entra ID を区別することが重要です。 このサブセットには ID およびアクセス管理が含まれていますが、多くのサードパーティ アプリケーションが利用する完全な AD スキーマやサービスは含まれていません。 Microsoft Entra ID は Azure でリソースをプロビジョニングするための要件であり、お客様のオンプレミスの AD とユーザーを同期することができますが、この 2 つは明確に異なるので、お客様は Microsoft Azure にデプロイされた完全な Active Directory サーバーを引き続き必要とする可能性があります。
認証の観点から言うと、Azure 仮想マシンでホストされている Active Directory ドメイン コントローラーは、通常、オンプレミスの Active Directory の拡張機能を構成します。 十分な回復性を提供するには、Azure Virtual Machines でホストしているドメイン コントローラーを同じ可用性セットに配置する必要があります。 ドメイン コントローラーと SAP サーバーを同じ Azure 仮想ネットワーク内に併置することによって、認証トラフィックを局所化してパフォーマンスを向上させます。
また、Azure で SAP ワークロード シナリオをホストすると、ID の統合およびシングル サインオンの要件を作成できます。 この状況は、Microsoft Entra ID を使用して、さまざまな SAP コンポーネントとサービスとしての SAP ソフトウェア (SaaS) またはサービスとしてのプラットフォーム (PaaS) オファーを接続する場合に発生する可能性があります。
Microsoft Entra ID を利用して、S/4HANA Fiori Launchpad、SAP HANA、SAP NetWeaver ベースのアプリケーションへのシングル サインオン (SSO) を有効にすることができます (SAP HANA では、Just-In-Time ユーザー プロビジョニングもサポートされています)。 また、Microsoft Entra ID を SAP Cloud Platform (SCP) と統合して、Azure でも実行できる SCP サービスへのシングル サインオンを提供することもできます。
すべてのレベルで一元化された ID 管理システムを使用して、リソースへのアクセスを制御します。
- ロールベースのアクセス制御 (RBAC) を使用して、Azure リソースへのアクセスを提供します。
- LDAP、Microsoft Entra ID、Kerberos、または別のシステムを通じて Azure 仮想マシンへのアクセスを許可します。
- SAP が提供するサービス、または OAuth 2.0 と Microsoft Entra ID を使用するサービスを通じて、アプリ内自体でのアクセスをサポートします。