Bezpieczne udostępnianie starszego oprogramowania pośredniczącego SAP za pomocą usługi Azure PaaS

Artykuł
10/20/2023

Włączenie systemów wewnętrznych i partnerów zewnętrznych do interakcji z zapleczem SAP jest typowym wymaganiem. Istniejące środowiska SAP często korzystają ze starszego oprogramowania pośredniczącego SAP Process Orchestration (PO) lub integracji procesów (PI) na potrzeby integracji i transformacji. Dla uproszczenia w tym artykule jest używany termin Orkiestracja procesów SAP w celu odwoływania się do obu ofert.

W tym artykule opisano opcje konfiguracji na platformie Azure z naciskiem na implementacje dostępne z Internetu.

Uwaga

Firma SAP wymienia pakiet SAP Integration Suite — w szczególności integrację z chmurą SAP — działającą na platformie business Technology Platform (BTP) jako następcę rozwiązań SAP PO i PI. Zarówno platforma BTP, jak i usługi są dostępne na platformie Azure. Aby uzyskać więcej informacji, zobacz SAP Discovery Center. Aby uzyskać więcej informacji na temat osi czasu pomocy technicznej dotyczącej starszych składników, zobacz Uwaga dotycząca systemu operacyjnego SAP 1648480.

Omówienie

Istniejące implementacje oparte na oprogramowaniu pośredniczącym SAP często polegały na zastrzeżonej technologii wysyłania sap o nazwie SAP Web Dispatcher. Ta technologia działa na warstwie 7 modelu OSI. Działa jako zwrotny serwer proxy i odpowiada na potrzeby równoważenia obciążenia podrzędnych obciążeń aplikacji SAP, takich jak planowanie zasobów SAP Enterprise (ERP), brama SAP Gateway lub orkiestracja procesów SAP.

Metody wysyłania obejmują tradycyjne odwrotne serwery proxy, takie jak Apache, opcje platformy jako usługi (PaaS), takie jak Azure Load Balancer, oraz zaopiekowane narzędzie SAP Web Dispatcher. Ogólne pojęcia opisane w tym artykule dotyczą wymienionych opcji. Aby uzyskać wskazówki dotyczące korzystania z modułów równoważenia obciążenia innych niż SAP, zobacz witrynę typu wiki sap.

Uwaga

Wszystkie opisane konfiguracje w tym artykule zakładają topologię sieci piasty i szprych, w której usługi udostępnione są wdrażane w centrum. W oparciu o krytyczność oprogramowania SAP może być potrzebna jeszcze większa izolacja. Aby uzyskać więcej informacji, zobacz Przewodnik projektowania oprogramowania SAP dla sieci obwodowych.

Podstawowe usługi platformy Azure

aplikacja systemu Azure Gateway obsługuje publiczny routing HTTP oparty na Internecie i wewnętrzny prywatny routing HTTP, a także szyfrowane tunelowanie w subskrypcjach platformy Azure. Przykłady obejmują zabezpieczenia i skalowanie automatyczne.

aplikacja systemu Azure Gateway koncentruje się na uwidacznianiu aplikacji internetowych, dlatego oferuje zaporę aplikacji internetowej (WAF). Obciążenia w innych sieciach wirtualnych, które będą komunikować się z oprogramowaniem SAP za pośrednictwem usługi aplikacja systemu Azure Gateway, mogą być połączone za pośrednictwem linków prywatnych, nawet w różnych dzierżawach.

Diagram that shows cross-tenant communication via Azure Application Gateway.

Usługa Azure Firewall obsługuje publiczny routing internetowy i wewnętrzny prywatny dla typów ruchu w warstwach od 4 do 7 modelu OSI. Oferuje ona filtrowanie i analizę zagrożeń, która jest dostarczana bezpośrednio z poziomu zabezpieczeń firmy Microsoft.

Usługa Azure API Management obsługuje publiczny routing internetowy i wewnętrzny prywatny przeznaczony specjalnie dla interfejsów API. Oferuje ona ograniczanie żądań, limit przydziału użycia i limity, funkcje ładu, takie jak zasady i klucze interfejsu API, aby podzielić usługi na klienta.

Usługi Azure VPN Gateway i Azure ExpressRoute służą jako punkty wejścia do sieci lokalnych. Są one skracane na diagramach jako vpn i XR.

Zagadnienia dotyczące konfiguracji

Architektura integracji różni się w zależności od interfejsu używanego przez organizację. Technologie zastrzeżone dla oprogramowania SAP, takie jak struktura pośredniego dokumentu (IDoc), interfejs programowania aplikacji biznesowych (BAPI), transakcyjne wywołania funkcji zdalnych (tRFCs) lub zwykłe RFC wymagają określonego środowiska uruchomieniowego. Działają one na warstwach od 4 do 7 modelu OSI, w przeciwieństwie do nowoczesnych interfejsów API, które zwykle korzystają z komunikacji opartej na protokole HTP (warstwa 7 modelu OSI). W związku z tym interfejsy nie mogą być traktowane w ten sam sposób.

Ten artykuł koncentruje się na nowoczesnych interfejsach API i protokole HTTP, w tym scenariuszach integracji, takich jak Instrukcja stosowania 2 (AS2). Protokół FTP (File Transfer Protocol) służy jako przykład do obsługi potrzeb integracji bez protokołu HTTP. Aby uzyskać więcej informacji na temat rozwiązań do równoważenia obciążenia firmy Microsoft, zobacz Opcje równoważenia obciążenia.

Uwaga

Oprogramowanie SAP publikuje dedykowane łączniki dla swoich zastrzeżonych interfejsów. Zapoznaj się z dokumentacją oprogramowania SAP dla języków Java i .NET, na przykład. Są one również obsługiwane przez bramy firmy Microsoft. Należy pamiętać, że dokumenty IDocs można również opublikować za pośrednictwem protokołu HTTP.

Problemy z zabezpieczeniami wymagają użycia zapór dla protokołów niższego poziomu i funkcji WAFs w celu rozwiązania problemu związanego z ruchem opartym na protokole HTTP za pomocą protokołu Transport Layer Security (TLS). Aby zapewnić skuteczność, należy zakończyć sesje protokołu TLS na poziomie zapory aplikacji internetowej. Aby obsługiwać podejścia o zerowym zaufaniu, zalecamy ponowne zaszyfrowanie ponownie później w celu zapewnienia kompleksowego szyfrowania.

Protokoły integracji, takie jak AS2, mogą zgłaszać alerty przy użyciu standardowych reguł zapory aplikacji internetowej. Zalecamy używanie skoroszytu klasyfikacji zapory aplikacji internetowej usługi Application Gateway do identyfikowania i lepszego zrozumienia, dlaczego reguła jest wyzwalana, dzięki czemu można skutecznie i bezpiecznie korygować. Program Open Web Application Security Project (OWASP) udostępnia standardowe reguły. Aby zapoznać się ze szczegółową sesją wideo dotyczącą tego tematu z naciskiem na ekspozycję na platformę SAP Fiori, zobacz artykuł SAP on Azure webcast (Program SAP on Azure webcast).

Można dodatkowo zwiększyć bezpieczeństwo przy użyciu wzajemnego protokołu TLS (mTLS), który jest również nazywany uwierzytelnianiem wzajemnym. W przeciwieństwie do normalnego protokołu TLS weryfikuje tożsamość klienta.

Uwaga

Pule maszyn wirtualnych wymagają modułu równoważenia obciążenia. Aby uzyskać lepszą czytelność, diagramy w tym artykule nie pokazują modułu równoważenia obciążenia.

Uwaga

Jeśli nie potrzebujesz funkcji równoważenia specyficznych dla oprogramowania SAP, które zapewnia usługa SAP Web Dispatcher, możesz zastąpić je usługą Azure Load Balancer. To zastąpienie zapewnia korzyści z zarządzanej oferty PaaS zamiast konfiguracji infrastruktury jako usługi (IaaS).

Scenariusz: Łączność HTTP dla ruchu przychodzącego skoncentrowana

Program SAP Web Dispatcher nie oferuje zapory aplikacji internetowej. W związku z tym zalecamy aplikacja systemu Azure Gateway w celu uzyskania bezpieczniejszej konfiguracji. Program SAP Web Dispatcher i orkiestracja procesów pozostają odpowiedzialne za ochronę zaplecza SAP przed przeciążeniem żądań dzięki wskazówkom ustalania rozmiaru i limitom żądań współbieżnych. W obciążeniach SAP nie ma możliwości ograniczania przepustowości.

Możesz uniknąć niezamierzonego dostępu za pośrednictwem list kontroli dostępu w programie SAP Web Dispatcher.

Jednym z scenariuszy komunikacji z orkiestracją procesów SAP jest przepływ przychodzący. Ruch może pochodzić z lokalnych, zewnętrznych aplikacji lub użytkowników albo systemu wewnętrznego. Poniższy przykład koncentruje się na protokole HTTPS.

Diagram that shows an inbound HTTP scenario with SAP Process Orchestration on Azure.

Scenariusz: łączność wychodząca HTTP/FTP skoncentrowana

W przypadku kierunku komunikacji odwrotnej orkiestracja procesów SAP może używać routingu sieci wirtualnej, aby uzyskać dostęp do obciążeń lokalnych lub obiektów docelowych opartych na Internecie za pośrednictwem breakoutu internetowego. aplikacja systemu Azure Gateway działa jako zwrotny serwer proxy w takich scenariuszach. W przypadku komunikacji innej niż HTTP rozważ dodanie usługi Azure Firewall. Aby uzyskać więcej informacji, zobacz Scenariusz: oparte na plikach i porównanie składników bramy w dalszej części tego artykułu.

W poniższym scenariuszu ruchu wychodzącego przedstawiono dwie możliwe metody. Jeden z nich używa protokołu HTTPS za pośrednictwem usługi aplikacja systemu Azure Gateway wywołującej usługę internetową (na przykład adapter SOAP). Drugi używa protokołu FTP za pośrednictwem protokołu SSH (SFTP) za pośrednictwem usługi Azure Firewall, przesyłając pliki na serwer SFTP partnera biznesowego.

Diagram that shows an outbound scenario with SAP Process Orchestration on Azure.

Scenariusz: skoncentrowany na usłudze API Management

W porównaniu ze scenariuszami dotyczącymi łączności przychodzącej i wychodzącej wprowadzenie usługi Azure API Management w trybie wewnętrznym (tylko prywatny adres IP i integracja z siecią wirtualną) dodaje wbudowane funkcje, takie jak:

Ograniczanie przepustowości.
Nadzór nad interfejsem API.
Dodatkowe opcje zabezpieczeń, takie jak nowoczesne przepływy uwierzytelniania.
Integracja identyfikatora Entra firmy Microsoft.
Możliwość dodania interfejsów API SAP do centralnego rozwiązania interfejsu API w całej firmie.

Diagram that shows an inbound scenario with Azure API Management and SAP Process Orchestration on Azure.

Jeśli nie potrzebujesz zapory aplikacji internetowej, możesz wdrożyć usługę Azure API Management w trybie zewnętrznym przy użyciu publicznego adresu IP. To wdrożenie upraszcza konfigurację przy jednoczesnym zachowaniu możliwości ograniczania przepustowości i zapewniania ładu interfejsu API. Podstawowa ochrona jest implementowana dla wszystkich ofert PaaS platformy Azure.

Diagram that shows an inbound scenario with Azure API Management in external mode and SAP Process Orchestration.

Scenariusz: globalny zasięg

aplikacja systemu Azure Gateway to usługa powiązana z regionem. W porównaniu z poprzednimi scenariuszami usługa Azure Front Door zapewnia globalny routing między regionami, w tym zaporę aplikacji internetowej. Aby uzyskać szczegółowe informacje o różnicach, zobacz to porównanie.

Na poniższym diagramie skondensuje program SAP Web Dispatcher, orkiestrację procesów SAP i zaplecze do pojedynczego obrazu, aby uzyskać lepszą czytelność.

Diagram that shows a global reach scenario with SAP Process Orchestration on Azure.

Scenariusz: oparte na plikach

Protokoły inne niż HTTP, takie jak FTP, nie można rozwiązać z usługą Azure API Management, Application Gateway lub Azure Front Door, jak pokazano w poprzednich scenariuszach. Zamiast tego zarządzane wystąpienie usługi Azure Firewall lub równoważne wirtualne urządzenie sieciowe (WUS) przejmuje rolę zabezpieczania żądań przychodzących.

Pliki muszą być przechowywane, zanim oprogramowanie SAP będzie je przetwarzać. Zalecamy użycie protokołu SFTP. Usługa Azure Blob Storage obsługuje natywnie protokół SFTP.

Diagram that shows a file-based scenario with Azure Blob Storage and SAP Process Orchestration on Azure.

W razie potrzeby w witrynie Azure Marketplace są dostępne alternatywne opcje SFTP.

Na poniższym diagramie przedstawiono odmianę tego scenariusza z obiektami docelowymi integracji zewnętrznie i lokalnie. Różne typy bezpiecznego protokołu FTP ilustrują ścieżkę komunikacji.

Diagram that shows a file-based scenario with on-premises file share and external party using SAP Process Orchestration on Azure.

Aby uzyskać szczegółowe informacje na temat udziałów plików sieciowego systemu plików (NFS) jako alternatywy dla usługi Blob Storage, zobacz Udziały plików NFS w usłudze Azure Files.

Scenariusz: specyficzne dla rozwiązania SAP RISE

Wdrożenia SAP RISE są technicznie identyczne ze scenariuszami opisanymi wcześniej, z wyjątkiem, który sam sap zarządza docelowym obciążeniem SAP. Opisane pojęcia można zastosować tutaj.

Na poniższych diagramach przedstawiono dwie konfiguracje jako przykłady. Aby uzyskać więcej informacji, zobacz przewodnik referencyjny platformy SAP RISE.

Ważne

Skontaktuj się z systemem SAP, aby upewnić się, że porty komunikacyjne dla danego scenariusza są dozwolone i otwierane w sieciowych grupach zabezpieczeń.

Ruch przychodzący HTTP

W pierwszej konfiguracji klient zarządza warstwą integracji, w tym orkiestracją procesów SAP i pełną ścieżką przychodzącą. Tylko końcowy element docelowy SAP jest uruchamiany w subskrypcji RISE. Komunikacja z obciążeniem RISE-hosted jest konfigurowana za pośrednictwem komunikacji równorzędnej sieci wirtualnych, zwykle za pośrednictwem koncentratora. Potencjalną integracją mogą być dokumenty IDocs opublikowane w usłudze /sap/bc/idoc_xml internetowej SAP ERP przez firmę zewnętrzną.

Diagram that shows an inbound scenario with Azure API Management and self-hosted SAP Process Orchestration on Azure in the RISE context.

W tym drugim przykładzie pokazano konfigurację, w której platforma SAP RISE uruchamia cały łańcuch integracji, z wyjątkiem warstwy usługi API Management.

Diagram that shows an inbound scenario with Azure API Management and SAP-hosted SAP Process Orchestration on Azure in the RISE context.

Ruch wychodzący pliku

W tym scenariuszu wystąpienie orkiestracji procesów zarządzanych przez oprogramowanie SAP zapisuje pliki w udziale plików zarządzanym przez klienta na platformie Azure lub w obciążeniu siedzącym lokalnie. Klient obsługuje podział.

Diagram that shows a file share scenario with SAP Process Orchestration on Azure in the RISE context.

Porównanie konfiguracji bramy

Uwaga

Metryki wydajności i kosztów zakładają warstwy klasy produkcyjnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen platformy Azure. Zobacz również następujące artykuły: Wydajność usługi Azure Firewall, obsługa wysokiego ruchu w usłudze Application Gateway i Pojemność wystąpienia usługi Azure API Management.

A table that compares the gateway components discussed in this article.

W zależności od używanych protokołów integracji może być potrzebnych wiele składników. Aby uzyskać więcej informacji na temat zalet różnych kombinacji łączenia sieci aplikacja systemu Azure Gateway z usługą Azure Firewall, zobacz Azure Firewall and Application Gateway for virtual networks (Usługa Azure Firewall i usługa Application Gateway dla sieci wirtualnych).

Reguła integracji kciuka

Aby określić, które scenariusze integracji opisane w tym artykule najlepiej pasują do wymagań, oceń je na podstawie przypadków. Rozważ włączenie następujących możliwości:

Ograniczanie żądań przy użyciu usługi API Management
Limity żądań współbieżnych w programie SAP Web Dispatcher
Wzajemne protokoły TLS w celu zweryfikowania klienta i odbiorcy
Zapora aplikacji internetowej i ponowne szyfrowanie po zakończeniu szyfrowania TLS
Usługa Azure Firewall dla integracji innych niż HTTP
Wysoka dostępność i odzyskiwanie po awarii dla obciążeń integracji SAP opartych na maszynach wirtualnych
Nowoczesne mechanizmy uwierzytelniania, takie jak OAuth2, w stosownych przypadkach
Zarządzany magazyn kluczy, taki jak usługa Azure Key Vault dla wszystkich zaangażowanych poświadczeń, certyfikatów i kluczy

Alternatywy dla orkiestracji procesów SAP za pomocą usług Azure Integration Services

Dzięki portfolio usług Azure Integration Services można natywnie rozwiązywać scenariusze integracji, które obejmuje orkiestracja procesów SAP. Aby uzyskać szczegółowe informacje na temat projektowania wzorców sap IFlow za pomocą środków natywnych dla chmury, zobacz tę serię blogów. Przewodnik po łączniku zawiera więcej szczegółów dotyczących as2 i EDIFACT.

Aby uzyskać więcej informacji, zobacz łączniki usługi Azure Logic Apps dla żądanych interfejsów SAP.