Управление удостоверениями и доступом для SAP
Эта статья основана на нескольких рекомендациях и рекомендациях, определенных в статье о разработке целевой зоны Azure для управления удостоверениями и доступом. В этой статье описываются рекомендации по управлению удостоверениями и доступом для развертывания платформы SAP в Microsoft Azure. SAP — это критически важная платформа, поэтому в проект следует включить руководство по проектированию целевой зоны Azure.
Рекомендации по проектированию
Просмотрите необходимые действия администрирования и управления Azure для вашей команды. Рассмотрите возможность работы с SAP на платформе Azure. Определите наилучшее возможное распределение обязанностей в вашей организации.
Определите границы администрирования ресурсов Azure и границы администрирования базы SAP между инфраструктурой и командами sap Basis. Предоставьте команде SAP Basis расширенный доступ к администрированию ресурсов Azure в непроизводственной среде SAP. Например, предоставьте им роль участника виртуальной машины. Вы также можете предоставить им частично повышенный доступ к администрированию, например частичный участник виртуальной машины в рабочей среде. Оба варианта обеспечивают хороший баланс между разделением обязанностей и эффективностью работы.
Для центральных ит-специалистов и команд SAP Basis рекомендуется использовать управление привилегированными пользователями (PIM) и многофакторную проверку подлинности для доступа к ресурсам виртуальной машины SAP из портал Azure и базовой инфраструктуры.
Ниже приведены распространенные действия администрирования и управления SAP в Azure:
| Ресурс Azure | Поставщик ресурсов Azure | Процедуры |
|---|---|---|
| Виртуальные машины | Microsoft.Compute/virtualMachines | Запуск, остановка, перезапуск, отмена выделения, развертывание, повторное развертывание, изменение, изменение размера, расширения, группы доступности, группы размещения близкого взаимодействия |
| Виртуальные машины | Microsoft.Compute/disks | Чтение и запись на диск |
| Хранилище | Microsoft.Storage; | Чтение, изменение учетных записей хранения (например, загрузка диагностика) |
| Хранилище | Microsoft.NetApp | Чтение и изменение пулов и томов емкости NetApp |
| Хранилище | Microsoft.NetApp | Моментальные снимки ANF |
| Хранилище | Microsoft.NetApp | Реплика между регионами ANF |
| Сеть | Microsoft.Network/networkInterfaces | Чтение, создание и изменение сетевых интерфейсов |
| Сеть | Microsoft.Network/loadBalancers; | Чтение, создание и изменение подсистем балансировки нагрузки |
| Сеть | Microsoft.Network/networkSecurityGroups; | Чтение групп безопасности сети |
| Сеть | Microsoft.Network/azureFirewalls | Чтение брандмауэра |
Если вы используете службы SAP Business Technology Platform (BTP), рассмотрите возможность использования основного распространения для пересылки удостоверения из приложения SAP BTP в ландшафт SAP с помощью SAP Cloud Подключение or.
Рассмотрите службу подготовки Microsoft Entra для автоматической подготовки пользователей и групп в SAP Analytics Cloud и SAP Identity Authentication.
Рассмотрим, что миграция в Azure может быть возможностью просматривать и перестроить процессы управления удостоверениями и доступом. Изучите процессы на платформе SAP и процессы на уровне предприятия:
- Просмотрите политики блокировки неактивных пользователей SAP.
- Просмотрите политику пароля пользователя SAP и выровняйте ее с идентификатором Microsoft Entra.
- Просмотрите процедуры выхода, перемещения и начальных (LMS) и выровняйте их с идентификатором Microsoft Entra. Если вы используете SAP Human Capital Management (HCM), SAP HCM, скорее всего, управляет процессом LMS.
Рассмотрите возможность подготовки пользователей из SuccessFactors Employee Central в идентификатор Microsoft Entra ID с необязательной записью адреса электронной почты в SuccessFactors.
Защитите обмен данными NFS между Azure NetApp Files и виртуальными машинами Azure с помощью шифрования клиента NFS с использованием протокола Kerberos. Azure NetApp Files поддерживает службы домен Active Directory (AD DS) и доменные службы Microsoft Entra для подключений Microsoft Entra. Рассмотрим влияние Kerberos на NFS версии 4.1.
Sap Identity Management (IDM) интегрируется с идентификатором Microsoft Entra ID с помощью облачной подготовки удостоверений SAP в качестве прокси-службы. Рассмотрим идентификатор Microsoft Entra как центральный источник данных для пользователей с помощью SAP IDM. Защита обмена данными между Azure NetApp Files и Azure Виртуальные машины с помощью шифрования клиента NFS с помощью Kerberos. Azure NetApp Files требует подключения AD DS или доменных служб Microsoft Entra для билетов Kerberos. Рассмотрим влияние Kerberos на NFS версии 4.1.
Безопасный удаленный вызов функции (RFC) между системами SAP с безопасными сетевыми коммуникациями (SNC) с помощью соответствующих уровней защиты, таких как качество защиты (QoP). Защита SNC приводит к некоторому снижению производительности. Для защиты обмена данными RFC между серверами приложений в одной системе SAP рекомендуется использовать защиту сети вместо SNC. Следующие службы Azure поддерживают подключения RFC, защищенные SNC, к целевой системе SAP: поставщики Azure Monitor для решений SAP, локальная среда выполнения интеграции в Фабрика данных Azure и локальный шлюз данных в случае Power BI, Power Apps, Power Automate, Azure Analysis Services и Azure Logic Apps. Для настройки единого входа в этих случаях требуется SNC.
Рекомендации по проектированию
Реализуйте единый вход с помощью Windows AD, Идентификатора Microsoft Entra или AD FS в зависимости от типа доступа, чтобы конечные пользователи могли подключаться к приложениям SAP без идентификатора пользователя и пароля после успешной проверки подлинности центрального поставщика удостоверений.
- Реализуйте единый вход в приложения SAP SaaS, такие как SAP Analytics Cloud, SAP Cloud Platform, Business путем проектирования, SAP Qualtrics и SAP C4C с идентификатором Microsoft Entra ID с помощью SAML.
- Реализуйте единый вход в веб-приложения на основе SAP NetWeaver, такие как SAP Fiori и SAP Web GUI с помощью SAML.
- Вы можете реализовать единый вход в SAP GUI с помощью единого входа SAP NetWeaver или партнерского решения.
- Для единого входа для SAP GUI и доступа к веб-браузеру реализуйте SNC — Kerberos/SPNEGO (простой и защищенный механизм согласования GSSAPI) из-за простоты настройки и обслуживания. Для единого входа с сертификатами клиента X.509 рассмотрим сервер безопасного входа SAP, который является компонентом решения SAP SSO.
- Реализуйте единый вход с помощью OAuth для SAP NetWeaver, чтобы разрешить сторонним или пользовательским приложениям доступ к службам OData SAP NetWeaver .
- Реализация единого входа в SAP HANA
Рассмотрим идентификатор Microsoft Entra id поставщик удостоверений для систем SAP, размещенных в RISE. Дополнительные сведения см. в разделе "Интеграция службы с идентификатором Microsoft Entra".
Для приложений, обращаюющихся к SAP, может потребоваться использовать распространение субъектов для установления единого входа.
Если вы используете службы SAP BTP или решения SaaS, требующие службы идентификации SAP (IAS), рассмотрите возможность реализации единого входа между службами SAP Cloud Identity Authentication Services и Идентификатором Microsoft Entra для доступа к этим службам SAP. Эта интеграция позволяет SAP IAS выступать в качестве поставщика удостоверений прокси и пересылать запросы проверки подлинности в идентификатор Microsoft Entra в качестве центрального хранилища пользователей и поставщика удостоверений.
Если вы используете SAP SuccessFactors, рассмотрите возможность использования автоматической подготовки пользователей с помощью идентификатора Microsoft Entra ID. Благодаря этой интеграции при добавлении новых сотрудников в SAP SuccessFactors вы можете автоматически создавать учетные записи пользователей в идентификаторе Microsoft Entra ID. При необходимости можно создавать учетные записи пользователей в Microsoft 365 или других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra. Используйте обратную запись адреса электронной почты в SAP SuccessFactors.