SAP의 ID 및 액세스 관리
이 문서는 ID 및 액세스 관리를 위한 Azure 랜딩 존 디자인 영역 문서에 정의된 몇 가지 고려 사항 및 권장 사항을 기반으로 합니다. 이 문서에서는 Microsoft Azure에서 SAP 플랫폼을 배포하기 위한 ID 및 액세스 관리 권장 사항을 설명합니다. SAP는 중요 업무용 플랫폼이므로 디자인에 Azure 랜딩 존 디자인 영역 지침을 포함해야 합니다.
디자인 고려 사항
팀에 필요한 Azure 관리 및 관리 활동을 검토합니다. Azure 환경에서 SAP를 고려합니다. 조직 내에서 가능한 최상의 책임 분배를 결정합니다.
인프라와 SAP Basis 팀 간의 SAP Basis 관리 경계와 Azure 리소스 관리 경계를 결정합니다. SAP 비프로덕션 환경에서 SAP Basis 팀에 상승된 Azure 리소스 관리 액세스 권한을 제공하는 것이 좋습니다. 예를 들어 가상 머신 기여자 역할을 제공하세요. 프로덕션 환경의 부분 Virtual Machine 기여자처럼 부분적으로 상승된 관리 액세스 권한을 부여할 수도 있습니다. 두 옵션 모두 업무 분리와 운영 효율성 간의 균형을 잘 이루어 줍니다.
중앙 IT 및 SAP Basis 팀의 경우 PIM(Privileged Identity Management) 및 다단계 인증을 사용하여 Azure Portal 및 기본 인프라에서 SAP Virtual Machine 리소스에 액세스하는 것이 좋습니다.
다음은 Azure에서 SAP의 일반적인 관리 및 관리 활동입니다.
| Azure 리소스 | Azure 리소스 공급자 | 활동 |
|---|---|---|
| 가상 머신 | Microsoft.Compute/virtualMachines | 시작, 중지, 다시 시작, 할당 취소, 배포, 재배포, 변경, 크기 조정, 확장, 가용성 집합, 근접 배치 그룹 |
| 가상 머신 | Microsoft.Compute/disks | 디스크 읽기 및 쓰기 |
| 스토리지 | Microsoft.Storage | 스토리지 계정 읽기, 변경(예: 부팅 진단) |
| 스토리지 | Microsoft.NetApp | NetApp 용량 풀 및 볼륨 읽기, 변경 |
| 스토리지 | Microsoft.NetApp | ANF 스냅샷 |
| 스토리지 | Microsoft.NetApp | ANF 지역 간 복제본(replica)tion |
| 네트워킹 | Microsoft.Network/networkInterfaces | 네트워크 인터페이스 읽기, 만들기 및 변경 |
| 네트워킹 | Microsoft.Network/loadBalancers | 부하 분산 장치 읽기, 만들기 및 변경 |
| 네트워킹 | Microsoft.Network/networkSecurityGroups | NSG 읽기 |
| 네트워킹 | Microsoft.Network/azureFirewalls | 방화벽 읽기 |
SAP BTP(Business Technology Platform) 서비스를 사용하는 경우 SAP Cloud 커넥트or를 사용하여 SAP BTP 애플리케이션의 ID를 SAP 환경으로 전달하는 데 주 전파를 사용하는 것이 좋습니다.
사용자 및 그룹을 SAP Analytics Cloud 및 SAP ID 인증으로 자동으로 프로비저닝 및 프로비저닝 해제하는 Microsoft Entra 프로비저닝 서비스를 고려합니다.
Azure로의 마이그레이션은 ID 및 액세스 관리 프로세스를 검토하고 다시 정렬할 수 있는 기회일 수 있습니다. SAP 환경의 프로세스와 엔터프라이즈 수준의 프로세스를 검토합니다.
- SAP 휴면 사용자 잠금 정책을 검토합니다.
- SAP 사용자 암호 정책을 검토하고 Microsoft Entra ID에 맞춥니다.
- LMS(휴가자, 이동자 및 시작) 절차를 검토하고 Microsoft Entra ID에 맞춥니다. SAP HCM(Human Capital Management)을 사용하는 경우 SAP HCM이 LMS 프로세스를 구동할 수 있습니다.
SuccessFactors Employee Central에서 Microsoft Entra ID로 사용자를 프로비전하는 것이 좋습니다. 선택적으로 SuccessFactors에 전자 메일 주소를 쓰기 저장합니다.
Kerberos를 사용한 NFS 클라이언트 암호화를 사용하여 Azure NetApp Files와 Azure Virtual Machines 간의 NFS(네트워크 파일 시스템) 통신을 보호합니다. Azure NetApp Files는 AD DS(Active Directory 도메인 Services) 및 Microsoft Entra Do기본 Services for Microsoft Entra 연결을 지원합니다. NFS v4.1에서 Kerberos의 성능 효과를 고려합니다.
SAP IDM(ID 관리)은 SAP 클라우드 ID 프로비저닝을 프록시 서비스로 사용하여 Microsoft Entra ID와 통합됩니다. SAP IDM을 사용하는 사용자를 위한 중앙 데이터 원본으로 Microsoft Entra ID를 고려합니다. Kerberos를 사용하여 NFS 클라이언트 암호화를 사용하여 Azure NetApp Files와 Azure Virtual Machines 간의 NFS(네트워크 파일 시스템) 통신을 보호합니다. Azure NetApp Files는 Kerberos 티켓팅을 위해 AD DS 또는 Microsoft Entra Do기본 Services 연결이 필요합니다. NFS v4.1에서 Kerberos의 성능 효과를 고려합니다.
보호 품질(QoP)과 같은 적절한 보호 수준을 사용하여 SNC(보안 네트워크 통신)를 사용하는 SAP 시스템 간의 RFC(보안 원격 함수 호출) 연결 SNC 보호는 성능 오버헤드를 생성합니다. 동일한 SAP 시스템의 애플리케이션 서버 간의 RFC 통신을 보호하기 위해 SAP는 SNC 대신 네트워크 보안을 사용하는 것이 좋습니다. 다음 Azure 서비스는 SAP 대상 시스템에 대한 SNC 보호 RFC 연결을 지원합니다. SAP 솔루션을 위한 Azure Monitor 공급자, Azure Data Factory의 자체 호스팅 통합 런타임 및 Power BI, Power Apps, Power Automate, Azure Analysis Services 및 Azure Logic Apps의 경우 온-프레미스 데이터 게이트웨이. 이러한 경우 SSO(Single Sign-On)를 구성하려면 SNC가 필요합니다.
디자인 권장 사항
액세스 유형에 따라 Windows AD, Microsoft Entra ID 또는 AD FS를 사용하여 SSO를 구현하여 중앙 ID 공급자가 성공적으로 인증한 후 최종 사용자가 사용자 ID 및 암호 없이 SAP 애플리케이션에 연결할 수 있도록 합니다.
- SAML을 사용하여 SAP Analytics Cloud, SAP Cloud Platform, Business by Design, SAP Qualtrics 및 SAP C4C와 같은 SAP SaaS 애플리케이션에 SSO를 구현합니다.
- SAML을 사용하여 SAP Fiori 및 SAP Web GUI와 같은 SAP NetWeaver 기반 웹 애플리케이션에 SSO를 구현합니다.
- SAP NetWeaver SSO 또는 파트너 솔루션을 사용하여 SAP GUI에 SSO를 구현할 수 있습니다.
- SAP GUI 및 웹 브라우저 액세스를 위한 SSO의 경우 구성 및 기본 테넌트의 용이성으로 인해 SNC – Kerberos/SPNEGO(간단하고 보호된 GSSAPI 협상 메커니즘)를 구현합니다. X.509 클라이언트 인증서를 사용하는 SSO의 경우 SAP SSO 솔루션의 구성 요소인 SAP Secure Login Server를 고려합니다.
- 타사 또는 사용자 지정 애플리케이션이 SAP NetWeaver OData 서비스에 액세스할 수 있도록 SAP NetWeaver용 OAuth를 사용하여 SSO를 구현합니다.
- SAP HANA에 SSO 구현
MICROSOFT Entra ID를 RISE에서 호스트되는 SAP 시스템의 ID 공급자로 간주합니다. 자세한 내용은 Microsoft Entra ID와 서비스 통합을 참조하세요.
SAP에 액세스하는 애플리케이션의 경우 보안 주체 전파를 사용하여 SSO를 설정할 수 있습니다.
SAP IAS(ID 인증 서비스) 가 필요한 SAP BTP 서비스 또는 SaaS 솔루션을 사용하는 경우 SAP Cloud Identity Authentication Services와 Microsoft Entra ID 간에 SSO를 구현하여 해당 SAP 서비스에 액세스하는 것이 좋습니다. 이 통합을 통해 SAP IAS는 프록시 ID 공급자 역할을 하고 인증 요청을 Microsoft Entra ID에 중앙 사용자 저장소 및 ID 공급자로 전달할 수 있습니다.
SAP SuccessFactors를 사용하는 경우 Microsoft Entra ID 자동화된 사용자 프로비저닝을 사용하는 것이 좋습니다. 이 통합을 통해 SAP SuccessFactors에 새 직원을 추가하면 Microsoft Entra ID에서 해당 사용자 계정을 자동으로 만들 수 있습니다. 필요에 따라 Microsoft 365 또는 Microsoft Entra ID에서 지원하는 다른 SaaS 애플리케이션에서 사용자 계정을 만들 수 있습니다. SAP SuccessFactors에 메일 주소의 나중 쓰기를 사용합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기