Identitets- och åtkomsthantering för SAP
Den här artikeln bygger på flera överväganden och rekommendationer som definieras i artikeln Designområde för Azure-landningszoner för identitets- och åtkomsthantering. I den här artikeln beskrivs rekommendationer för identitets- och åtkomsthantering för distribution av en SAP-plattform i Microsoft Azure. SAP är en verksamhetskritisk plattform, så du bör inkludera vägledningen för designområdet för Azure-landningszoner i din design.
Tips för utformning
Granska de nödvändiga azure-administrations- och hanteringsaktiviteterna för ditt team. Överväg ditt SAP på Azure-landskap. Fastställa bästa möjliga ansvarsfördelning inom din organisation.
Fastställa gränserna för Azure-resursadministration jämfört med SAP Basis-administrationsgränserna mellan infrastruktur- och SAP Basis-teamen. Överväg att ge SAP Basis-teamet utökad åtkomst till Azure-resursadministration i en SAP-miljö som inte är produktionsmiljö. Ge dem till exempel rollen Virtuell datordeltagare . Du kan också ge dem delvis förhöjd administrationsåtkomst, till exempel partiell virtuell datordeltagare i en produktionsmiljö. Båda alternativen ger en bra balans mellan ansvarsfördelning och driftseffektivitet.
För centrala IT- och SAP-basteam bör du överväga att använda Privileged Identity Management (PIM) och multifaktorautentisering för att få åtkomst till SAP Virtual Machine-resurser från Azure-portalen och den underliggande infrastrukturen.
Här är vanliga administrations- och hanteringsaktiviteter för SAP i Azure:
| Azure-resurs | Azure-resursprovider | Aktiviteter |
|---|---|---|
| Virtuella datorer | Microsoft.Compute/virtualMachines | Starta, stoppa, starta om, frigöra, distribuera, distribuera om, ändra, ändra storlek, tillägg, tillgänglighetsuppsättningar, närhetsplaceringsgrupper |
| Virtuella datorer | Microsoft.Compute/diskar | Läsa och skriva till disk |
| Lagring | Microsoft.Storage | Läs, ändra på lagringskonton (till exempel startdiagnostik) |
| Lagring | Microsoft.NetApp | Läs, ändra på NetApp-kapacitetspooler och volymer |
| Lagring | Microsoft.NetApp | ANF-ögonblicksbilder |
| Lagring | Microsoft.NetApp | REPLIkering mellan ANF-regioner |
| Nätverk | Microsoft.Network/networkInterfaces | Läsa, skapa och ändra nätverksgränssnitt |
| Nätverk | Microsoft.Network/loadBalancers | Läsa, skapa och ändra lastbalanserare |
| Nätverk | Microsoft.Network/networkSecurityGroups | Läs NSG |
| Nätverk | Microsoft.Network/azureFirewalls | Läsa brandvägg |
Om du använder SAP Business Technology Platform-tjänster (BTP) kan du överväga att använda huvudspridning för att vidarebefordra en identitet från SAP BTP-programmet till ditt SAP-landskap med hjälp av SAP Cloud Anslut or.
Överväg att Microsoft Entra-etableringstjänsten automatiskt etablerar och avetablerar användare och grupper till SAP Analytics Cloud och SAP Identity Authentication.
Tänk på att en migrering till Azure kan vara en möjlighet att granska och justera processer för identitets- och åtkomsthantering. Granska processerna i DITT SAP-landskap och processerna på företagsnivå:
- Granska principerna för vilande användarutelåsning för SAP.
- Granska LÖSENORDsprincipen för SAP-användare och justera den med Microsoft Entra-ID.
- Granska procedurerna leavers, movers och starter (LMS) och justera dem med Microsoft Entra-ID. Om du använder SAP Human Capital Management (HCM) driver SAP HCM sannolikt LMS-processen.
Överväg att etablera användare från SuccessFactors Employee Central till Microsoft Entra-ID, med valfri tillbakaskrivning av e-postadress till SuccessFactors.
Säker NFS-kommunikation (Network File System) mellan Azure NetApp Files och Azure Virtual Machines med NFS-klientkryptering med Kerberos. Azure NetApp Files stöder Active Directory-domän Services (AD DS) och Microsoft Entra Domain Services för Microsoft Entra-anslutningar. Överväg prestandaeffekten för Kerberos på NFS v4.1.
SAP Identity Management (IDM) integreras med Microsoft Entra-ID med hjälp av SAP-molnidentitetsetablering som en proxytjänst. Överväg Microsoft Entra-ID som en central datakälla för användare som använder SAP IDM. Skydda NFS-kommunikationen (Network File System) mellan Azure NetApp Files och Azure Virtual Machines med NFS-klientkryptering med Kerberos. Azure NetApp Files kräver antingen AD DS- eller Microsoft Entra Domain Services-anslutning för Kerberos-biljetthantering. Överväg prestandaeffekten för Kerberos på NFS v4.1.
RFC-anslutningar (Secure Remote Function Call) mellan SAP-system med säker nätverkskommunikation (SNC) med hjälp av lämpliga skyddsnivåer, till exempel QoP (Quality of Protection). SNC-skydd genererar vissa prestandakostnader. För att skydda RFC-kommunikation mellan programservrar i samma SAP-system rekommenderar SAP att du använder nätverkssäkerhet i stället för SNC. Följande Azure-tjänster stöder SNC-skyddade RFC-anslutningar till ett SAP-målsystem: Leverantörer av Azure Monitor för SAP-lösningar, den lokala integrationskörningen i Azure Data Factory och den lokala datagatewayen i händelse av Power BI, Power Apps, Power Automate, Azure Analysis Services och Azure Logic Apps. SNC krävs för att konfigurera enkel inloggning (SSO) i dessa fall.
Designrekommendationer
Implementera enkel inloggning med hjälp av Windows AD, Microsoft Entra ID eller AD FS, beroende på åtkomsttyp, så att slutanvändarna kan ansluta till SAP-program utan användar-ID och lösenord när den centrala identitetsprovidern har autentiserat dem.
- Implementera enkel inloggning till SAP SaaS-program som SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics och SAP C4C med Microsoft Entra ID med SAML.
- Implementera enkel inloggning till SAP NetWeaver-baserade webbprogram som SAP Fiori och SAP Web GUI med hjälp av SAML.
- Du kan implementera enkel inloggning till SAP GUI med hjälp av SAP NetWeaver SSO eller en partnerlösning.
- För enkel inloggning för SAP GUI och webbläsaråtkomst implementerar du SNC – Kerberos/SPNEGO (enkel och skyddad GSSAPI-förhandlingsmekanism) på grund av dess enkla konfiguration och underhåll. För enkel inloggning med X.509-klientcertifikat bör du överväga SAP Secure Login Server, som är en komponent i SAP SSO-lösningen.
- Implementera enkel inloggning med hjälp av OAuth för SAP NetWeaver för att tillåta tredjepartsprogram eller anpassade program att få åtkomst till SAP NetWeaver OData-tjänster.
- Implementera enkel inloggning till SAP HANA
Betrakta Microsoft Entra ID som en identitetsprovider för SAP-system som finns på RISE. Mer information finns i Integrera tjänsten med Microsoft Entra-ID.
För program som har åtkomst till SAP kanske du vill använda huvudspridning för att upprätta enkel inloggning.
Om du använder SAP BTP-tjänster eller SaaS-lösningar som kräver SAP Identity Authentication Service (IAS) kan du överväga att implementera enkel inloggning mellan SAP Cloud Identity Authentication Services och Microsoft Entra ID för att få åtkomst till dessa SAP-tjänster. Med den här integreringen kan SAP IAS fungera som en proxyidentitetsprovider och vidarebefordra autentiseringsbegäranden till Microsoft Entra-ID som central användararkiv och identitetsprovider.
Om du använder SAP SuccessFactors kan du överväga att använda automatisk användaretablering i Microsoft Entra ID. Med den här integreringen, när du lägger till nya anställda i SAP SuccessFactors, kan du automatiskt skapa deras användarkonton i Microsoft Entra-ID. Du kan också skapa användarkonton i Microsoft 365 eller andra SaaS-program som stöds av Microsoft Entra-ID. Använd tillbakaskrivning av e-postadressen till SAP SuccessFactors.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för