Zarządzanie tożsamościami i dostępem dla oprogramowania SAP
Ten artykuł opiera się na kilku zagadnieniach i zaleceniach zdefiniowanych w artykule Obszar projektowania strefy docelowej platformy Azure na potrzeby zarządzania tożsamościami i dostępem. W tym artykule opisano zalecenia dotyczące zarządzania tożsamościami i dostępem dotyczące wdrażania platformy SAP na platformie Microsoft Azure. SAP to platforma o znaczeniu krytycznym, dlatego należy uwzględnić wskazówki dotyczące obszaru projektowania strefy docelowej platformy Azure w projekcie.
Uwagi dotyczące projektowania
Przejrzyj wymagane działania administracyjne i związane z zarządzaniem platformą Azure dla twojego zespołu. Weź pod uwagę środowisko sap na platformie Azure. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Określ granice administrowania zasobami platformy Azure w porównaniu z granicami administrowania platformą SAP Basis między zespołami infrastruktury i platformy SAP Basis. Rozważ udostępnienie zespołowi SAP Basis z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym SAP. Na przykład nadaj im rolę Współautor maszyny wirtualnej. Można również nadać im częściowo podwyższony poziom dostępu administracyjnego, na przykład częściowy współautor maszyny wirtualnej w środowisku produkcyjnym. Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.
W przypadku centralnych zespołów IT i SAP Basis należy rozważyć użycie usługi Privileged Identity Management (PIM) i uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do zasobów maszyny wirtualnej SAP z witryny Azure Portal i podstawowej infrastruktury.
Poniżej przedstawiono typowe działania administracyjne i związane z zarządzaniem oprogramowaniem SAP na platformie Azure:
Zasób platformy Azure | Dostawca zasobów platformy Azure | Działania |
---|---|---|
Maszyny wirtualne | Microsoft.Compute/virtualMachines | Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie rozmiaru, rozszerzenia, zestawy dostępności, grupy umieszczania w pobliżu |
Maszyny wirtualne | Microsoft.Compute/disks | Odczyt i zapis na dysku |
Storage | Microsoft.Storage | Odczyt, zmiana kont magazynu (na przykład diagnostyka rozruchu) |
Storage | Microsoft.NetApp | Odczyt, zmiana w pulach pojemności i woluminach usługi NetApp |
Storage | Microsoft.NetApp | Migawki anf |
Storage | Microsoft.NetApp | Replikacja między regionami ANF |
Sieć | Microsoft.Network/networkInterfaces | Odczytywanie, tworzenie i zmienianie interfejsów sieciowych |
Sieć | Microsoft.Network/loadBalancers | Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia |
Sieć | Microsoft.Network/networkSecurityGroups | Odczytywanie sieciowej grupy zabezpieczeń |
Sieć | Microsoft.Network/azureFirewalls | Odczyt zapory |
Jeśli używasz usług SAP Business Technology Platform (BTP), rozważ użycie propagacji podmiotu zabezpieczeń w celu przekazywania tożsamości z aplikacji SAP BTP do środowiska SAP przy użyciu narzędzia SAP Cloud Połączenie or.
Rozważ usługę aprowizacji firmy Microsoft, aby automatycznie aprowizować i cofać aprowizację użytkowników i grup w usłudze SAP Analytics Cloud i SAP Identity Authentication.
Należy wziąć pod uwagę, że migracja na platformę Azure może być okazją do przejrzenia i zrównania procesów zarządzania tożsamościami i dostępem. Przejrzyj procesy w środowisku SAP i procesy na poziomie przedsiębiorstwa:
- Zapoznaj się z zasadami blokady użytkownika uśpionego oprogramowania SAP.
- Przejrzyj zasady hasła użytkownika SAP i dostosuj je do identyfikatora Entra firmy Microsoft.
- Przejrzyj procedury opuszczające, osoby przenoszące i startery (LMS) i dostosuj je do identyfikatora Entra firmy Microsoft. Jeśli używasz rozwiązania SAP Human Capital Management (HCM), rozwiązanie SAP HCM prawdopodobnie napędza proces LMS.
Rozważ aprowizowanie użytkowników z usługi SuccessFactors Employee Central do identyfikatora Entra firmy Microsoft z opcjonalnym zapisem zwrotnym adresu e-mail do rozwiązania SuccessFactors.
Bezpieczna komunikacja systemu plików sieciowych (NFS) między usługą Azure NetApp Files i usługą Azure Virtual Machines przy użyciu szyfrowania klienta NFS przy użyciu protokołu Kerberos. Usługa Azure NetApp Files obsługuje połączenia domena usługi Active Directory Services (AD DS) i Microsoft Entra Domain Services dla połączeń firmy Microsoft Entra. Rozważ efekt wydajności protokołu Kerberos w systemie plików NFS w wersji 4.1.
Rozwiązanie SAP Identity Management (IDM) integruje się z usługą Microsoft Entra ID przy użyciu aprowizacji tożsamości w chmurze SAP jako usługi proxy. Rozważ użycie identyfikatora Entra firmy Microsoft jako centralnego źródła danych dla użytkowników korzystających z programu SAP IDM. Zabezpieczanie komunikacji sieciowej systemu plików (NFS) między usługą Azure NetApp Files i usługą Azure Virtual Machines przy użyciu szyfrowania klienta NFS przy użyciu protokołu Kerberos. Usługa Azure NetApp Files wymaga połączenia usług AD DS lub Microsoft Entra Domain Services na potrzeby obsługi biletów protokołu Kerberos. Rozważ efekt wydajności protokołu Kerberos w systemie plików NFS w wersji 4.1.
Bezpieczne połączenia wywołania funkcji zdalnej (RFC) między systemami SAP z bezpieczną komunikacją sieciową (SNC) przy użyciu odpowiednich poziomów ochrony, takich jak jakość ochrony (QoP). Ochrona SNC generuje pewne obciążenie związane z wydajnością. Aby chronić komunikację RFC między serwerami aplikacji tego samego systemu SAP, firma SAP zaleca używanie zabezpieczeń sieci zamiast SNC. Następujące usługi platformy Azure obsługują połączenia RFC chronione przez SNC z systemem docelowym SAP: dostawcy Azure Monitor dla rozwiązań SAP, własnego środowiska Integration Runtime w usłudze Azure Data Factory oraz lokalna brama danych w przypadku usług Power BI, Power Apps, Power Automate, Azure Analysis Services i Azure Logic Apps. Usługa SNC jest wymagana do skonfigurowania logowania jednokrotnego w takich przypadkach.
Zalecenia dotyczące projektowania
Zaimplementuj logowanie jednokrotne przy użyciu usług AD systemu Windows, Microsoft Entra ID lub AD FS, w zależności od typu dostępu, aby użytkownicy końcowi mogli łączyć się z aplikacjami SAP bez identyfikatora użytkownika i hasła po pomyślnym uwierzytelnieniu przez dostawcę tożsamości centralnej.
- Zaimplementuj logowanie jednokrotne do aplikacji SAP SaaS, takich jak SAP Analytics Cloud, SAP Cloud Platform, Business zgodnie z projektem, SAP Qualtrics i SAP C4C z identyfikatorem Entra firmy Microsoft przy użyciu języka SAML.
- Zaimplementuj logowanie jednokrotne do aplikacji internetowych opartych na oprogramowaniu SAP NetWeaver, takich jak SAP Fiori i sap Web GUI, przy użyciu języka SAML.
- Logowanie jednokrotne można zaimplementować w graficznym interfejsie użytkownika SAP przy użyciu logowania jednokrotnego sap NetWeaver lub rozwiązania partnerskiego.
- W przypadku logowania jednokrotnego dla interfejsu UŻYTKOWNIKA SAP i dostępu do przeglądarki internetowej zaimplementuj protokół SNC — Kerberos/SPNEGO (prosty i chroniony mechanizm negocjacji GSSAPI) ze względu na łatwość konfiguracji i konserwacji. W przypadku logowania jednokrotnego z certyfikatami klienta X.509 należy wziąć pod uwagę serwer SAP Secure Login Server, który jest składnikiem rozwiązania SAP SSO.
- Zaimplementuj logowanie jednokrotne przy użyciu protokołu OAuth dla oprogramowania SAP NetWeaver, aby umożliwić innym firmom lub aplikacjom niestandardowym dostęp do usług SAP NetWeaver OData.
- Implementowanie logowania jednokrotnego na platformie SAP HANA
Rozważ użycie identyfikatora Entra firmy Microsoft dostawcy tożsamości dla systemów SAP hostowanych na platformie RISE. Aby uzyskać więcej informacji, zobacz Integrowanie usługi z identyfikatorem Entra firmy Microsoft.
W przypadku aplikacji, które uzyskują dostęp do oprogramowania SAP, warto użyć propagacji podmiotu zabezpieczeń w celu ustanowienia logowania jednokrotnego.
Jeśli używasz usług SAP BTP lub rozwiązań SaaS, które wymagają usługi SAP Identity Authentication Service (IAS), rozważ zaimplementowanie logowania jednokrotnego między usługami SAP Cloud Identity Authentication Services i Microsoft Entra ID w celu uzyskania dostępu do tych usług SAP. Ta integracja umożliwia usłudze SAP IAS działanie jako dostawcę tożsamości serwera proxy i przekazywanie żądań uwierzytelniania do identyfikatora Entra firmy Microsoft jako centralnego magazynu użytkowników i dostawcy tożsamości.
Jeśli używasz rozwiązania SAP SuccessFactors, rozważ użycie zautomatyzowanej aprowizacji użytkowników identyfikatora Entra firmy Microsoft. Dzięki tej integracji, gdy dodasz nowych pracowników do rozwiązania SAP SuccessFactors, możesz automatycznie utworzyć swoje konta użytkowników w identyfikatorze Microsoft Entra ID. Opcjonalnie możesz tworzyć konta użytkowników w usłudze Microsoft 365 lub innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra. Użyj zapisu zwrotnego adresu e-mail do rozwiązania SAP SuccessFactors.