Управление удостоверениями и доступом для SAP

Эта статья основана на нескольких рекомендациях и рекомендациях, определенных в статье о разработке целевой зоны Azure для управления удостоверениями и доступом. В этой статье описываются рекомендации по управлению удостоверениями и доступом для развертывания платформы SAP в Microsoft Azure. SAP — это критически важная платформа, поэтому в проект следует включить руководство по проектированию целевой зоны Azure.

Рекомендации по проектированию

• Просмотрите необходимые действия администрирования и управления Azure для вашей команды. Рассмотрите возможность работы с SAP на платформе Azure. Определите наилучшее возможное распределение обязанностей в вашей организации.

• Определите границы администрирования ресурсов Azure и границы администрирования базы SAP между инфраструктурой и командами sap Basis. Предоставьте команде SAP Basis расширенный доступ к администрированию ресурсов Azure в непроизводственной среде SAP. Например, предоставьте им роль участника виртуальной машины. Вы также можете предоставить им частично повышенный доступ к администрированию, например частичный участник виртуальной машины в рабочей среде. Оба варианта обеспечивают хороший баланс между разделением обязанностей и эффективностью работы.

• Для центральных ит-специалистов и команд SAP Basis рекомендуется использовать управление привилегированными пользователями (PIM) и многофакторную проверку подлинности для доступа к ресурсам виртуальной машины SAP из портал Azure и базовой инфраструктуры.

Ниже приведены распространенные действия администрирования и управления SAP в Azure:

Ресурс Azure	Поставщик ресурсов Azure	Процедуры
Виртуальные машины	Microsoft.Compute/virtualMachines	Запуск, остановка, перезапуск, отмена выделения, развертывание, повторное развертывание, изменение, изменение размера, расширения, группы доступности, группы размещения близкого взаимодействия
Виртуальные машины	Microsoft.Compute/disks	Чтение и запись на диск
Хранилище	Microsoft.Storage;	Чтение, изменение учетных записей хранения (например, загрузка диагностика)
Хранилище	Microsoft.NetApp	Чтение и изменение пулов и томов емкости NetApp
Хранилище	Microsoft.NetApp	Моментальные снимки ANF
Хранилище	Microsoft.NetApp	Реплика между регионами ANF
Сеть	Microsoft.Network/networkInterfaces	Чтение, создание и изменение сетевых интерфейсов
Сеть	Microsoft.Network/loadBalancers;	Чтение, создание и изменение подсистем балансировки нагрузки
Сеть	Microsoft.Network/networkSecurityGroups;	Чтение групп безопасности сети
Сеть	Microsoft.Network/azureFirewalls	Чтение брандмауэра

• Если вы используете службы SAP Business Technology Platform (BTP), рассмотрите возможность использования основного распространения для пересылки удостоверения из приложения SAP BTP в ландшафт SAP с помощью SAP Cloud Подключение or.

• Рассмотрите службу подготовки Microsoft Entra для автоматической подготовки пользователей и групп в SAP Analytics Cloud и SAP Identity Authentication.

• Рассмотрим, что миграция в Azure может быть возможностью просматривать и перестроить процессы управления удостоверениями и доступом. Изучите процессы на платформе SAP и процессы на уровне предприятия:

  • Просмотрите политики блокировки неактивных пользователей SAP.
  • Просмотрите политику пароля пользователя SAP и выровняйте ее с идентификатором Microsoft Entra.
  • Просмотрите процедуры выхода, перемещения и начальных (LMS) и выровняйте их с идентификатором Microsoft Entra. Если вы используете SAP Human Capital Management (HCM), SAP HCM, скорее всего, управляет процессом LMS.

• Рассмотрите возможность подготовки пользователей из SuccessFactors Employee Central в идентификатор Microsoft Entra ID с необязательной записью адреса электронной почты в SuccessFactors.

• Защитите обмен данными NFS между Azure NetApp Files и виртуальными машинами Azure с помощью шифрования клиента NFS с использованием протокола Kerberos. Azure NetApp Files поддерживает службы домен Active Directory (AD DS) и доменные службы Microsoft Entra для подключений Microsoft Entra. Рассмотрим влияние Kerberos на NFS версии 4.1.

• Sap Identity Management (IDM) интегрируется с идентификатором Microsoft Entra ID с помощью облачной подготовки удостоверений SAP в качестве прокси-службы. Рассмотрим идентификатор Microsoft Entra как центральный источник данных для пользователей с помощью SAP IDM. Защита обмена данными между Azure NetApp Files и Azure Виртуальные машины с помощью шифрования клиента NFS с помощью Kerberos. Azure NetApp Files требует подключения AD DS или доменных служб Microsoft Entra для билетов Kerberos. Рассмотрим влияние Kerberos на NFS версии 4.1.

• Безопасный удаленный вызов функции (RFC) между системами SAP с безопасными сетевыми коммуникациями (SNC) с помощью соответствующих уровней защиты, таких как качество защиты (QoP). Защита SNC приводит к некоторому снижению производительности. Для защиты обмена данными RFC между серверами приложений в одной системе SAP рекомендуется использовать защиту сети вместо SNC. Следующие службы Azure поддерживают подключения RFC, защищенные SNC, к целевой системе SAP: поставщики Azure Monitor для решений SAP, локальная среда выполнения интеграции в Фабрика данных Azure и локальный шлюз данных в случае Power BI, Power Apps, Power Automate, Azure Analysis Services и Azure Logic Apps. Для настройки единого входа в этих случаях требуется SNC.

Рекомендации по проектированию

• Реализуйте единый вход с помощью Windows AD, Идентификатора Microsoft Entra или AD FS в зависимости от типа доступа, чтобы конечные пользователи могли подключаться к приложениям SAP без идентификатора пользователя и пароля после успешной проверки подлинности центрального поставщика удостоверений.

  • Реализуйте единый вход в приложения SAP SaaS, такие как SAP Analytics Cloud, SAP Cloud Platform, Business путем проектирования, SAP Qualtrics и SAP C4C с идентификатором Microsoft Entra ID с помощью SAML.
  • Реализуйте единый вход в веб-приложения на основе SAP NetWeaver, такие как SAP Fiori и SAP Web GUI с помощью SAML.
  • Вы можете реализовать единый вход в SAP GUI с помощью единого входа SAP NetWeaver или партнерского решения.
  • Для единого входа для SAP GUI и доступа к веб-браузеру реализуйте SNC — Kerberos/SPNEGO (простой и защищенный механизм согласования GSSAPI) из-за простоты настройки и обслуживания. Для единого входа с сертификатами клиента X.509 рассмотрим сервер безопасного входа SAP, который является компонентом решения SAP SSO.
  • Реализуйте единый вход с помощью OAuth для SAP NetWeaver, чтобы разрешить сторонним или пользовательским приложениям доступ к службам OData SAP NetWeaver .
  • Реализация единого входа в SAP HANA

• Рассмотрим идентификатор Microsoft Entra id поставщик удостоверений для систем SAP, размещенных в RISE. Дополнительные сведения см. в разделе "Интеграция службы с идентификатором Microsoft Entra".

• Для приложений, обращаюющихся к SAP, может потребоваться использовать распространение субъектов для установления единого входа.

• Если вы используете службы SAP BTP или решения SaaS, требующие службы идентификации SAP (IAS), рассмотрите возможность реализации единого входа между службами SAP Cloud Identity Authentication Services и Идентификатором Microsoft Entra для доступа к этим службам SAP. Эта интеграция позволяет SAP IAS выступать в качестве поставщика удостоверений прокси и пересылать запросы проверки подлинности в идентификатор Microsoft Entra в качестве центрального хранилища пользователей и поставщика удостоверений.

• Если вы используете SAP SuccessFactors, рассмотрите возможность использования автоматической подготовки пользователей с помощью идентификатора Microsoft Entra ID. Благодаря этой интеграции при добавлении новых сотрудников в SAP SuccessFactors вы можете автоматически создавать учетные записи пользователей в идентификаторе Microsoft Entra ID. При необходимости можно создавать учетные записи пользователей в Microsoft 365 или других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra. Используйте обратную запись адреса электронной почты в SAP SuccessFactors.