Azure-identitets- och säkerhetstjänster med SAP RISE

Den här artikeln beskriver integrering av Azure-identitets- och säkerhetstjänster med en SAP RISE-arbetsbelastning. Dessutom förklaras användningen av vissa Azure-övervakningstjänster för ett SAP RISE-landskap.

Enkel inloggning för SAP

Enkel inloggning (SSO) har konfigurerats för många SAP-miljöer. När SAP-arbetsbelastningar körs i ECS/RISE skiljer sig de steg som ska implementeras inte från ett internt körda SAP-system. Integreringsstegen med Microsoft Entra ID-baserad enkel inloggning är tillgängliga för vanliga ECS/RISE-hanterade arbetsbelastningar:

• Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP NetWeaver
• Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP Fiori
• Självstudie: Microsoft Entra-integrering med SAP HANA

SSO-metod	Identitetsprovider	Vanligt användningsfall	Implementering
SAML/OAuth	Microsoft Entra ID	SAP Fiori, Webb-GUI, Portal, HANA	Konfiguration efter kund
SNC	Microsoft Entra ID	SAP-GUI	Konfiguration efter kund
SPNEGO	Active Directory (AD)	Webb-GUI, SAP Enterprise Portal	Konfiguration efter kund och SAP

Enkel inloggning mot Active Directory (AD) för din Windows-domän för ECS/RISE-hanterad SAP-miljö, med SAP SSO Secure Login Client kräver AD-integrering för slutanvändarenheter. Med SAP RISE är alla Windows-system inte integrerade med kundens Active Directory-domän. Domänintegrering krävs inte för enkel inloggning med AD/Kerberos eftersom domänsäkerhetstoken läse på klientenheten och utbyts säkert med SAP-systemet. Kontakta SAP om du behöver ändringar för att integrera AD-baserad enkel inloggning eller med andra produkter från tredje part än SAP SSO Secure Login Client, eftersom vissa konfigurationer i RISE-hanterade system kan krävas.

Copilot för säkerhet med SAP RISE

Copilot for Security är en generativ AI-säkerhetsprodukt som ger säkerhet och IT-personal möjlighet att svara på cyberhot, bearbeta signaler och utvärdera riskexponering med AI:s hastighet och skala. Den har en egen portal och inbäddade funktioner i Microsoft Defender XDR, Microsoft Sentinel och Intune.

Den kan användas med alla datakällor som stöds av Defender XDR och Sentinel, inklusive SAP RISE/ECS. Nedan visas den fristående upplevelsen.

Den här bilden visar ett exempel på Microsoft Copilot for Security-upplevelsen med hjälp av en uppmaning om att undersöka en SAP-incident.

Utöver det är Copilot for Security-upplevelsen inbäddad i Defender XDR-portalen. Bredvid en AI-genererad sammanfattning tillhandahålls rekommendationer och reparation som lösenordsåterställning för SAP. Läs mer om automatiska SAP-angreppsstörningar här.

Den här bilden visar ett exempel på Microsoft Copilot for Security som analyserar en incident som identifierats på SAP RISE via Defender XDR. Datainmatning görs via Microsoft Sentinel-lösningen för SAP-program.

Microsoft Sentinel med SAP RISE

Med SAP RISE-certifierad Microsoft Sentinel-lösning för SAP-program kan du övervaka, identifiera och svara på misstänkta aktiviteter. Microsoft Sentinel skyddar dina kritiska data mot avancerade cyberattacker för SAP-system som finns i Azure, andra moln eller lokal infrastruktur. Microsoft Sentinel-lösningen för SAP BTP utökar den täckningen till SAP Business Technology Platform (BTP).

Med lösningen kan du få insyn i användaraktiviteter i SAP RISE/ECS och SAP-affärslogiklagren och tillämpa Sentinels inbyggda innehåll.

• Använd en enda konsol för att övervaka alla dina företagsegendomar, inklusive SAP-instanser i SAP RISE/ECS i Azure och andra moln, sap Azure-inbyggda och lokala egendomar
• Identifiera och svara automatiskt på hot: identifiera misstänkt aktivitet, inklusive behörighetseskalering, obehöriga ändringar, känsliga transaktioner, dataexfiltrering med mera med funktioner för att identifiera inbyggda funktioner
• Korrelera SAP-aktivitet med andra signaler: mer exakt identifiera SAP-hot genom korskorrelering mellan slutpunkter, Microsoft Entra-data med mera
• Anpassa baserat på dina behov – skapa egna identifieringar för att övervaka känsliga transaktioner och andra affärsrisker
• Visualisera data med inbyggda arbetsböcker

Det här diagrammet visar ett exempel på Microsoft Sentinel som är anslutet via en mellanliggande virtuell dator eller container till SAP-hanterat SAP-system. Den mellanliggande virtuella datorn eller containern körs i kundens egen prenumeration med den konfigurerade SAP-dataanslutningsagenten. Anslutning till SAP Business Technology Platform (BTP) använder SAP:s offentliga API:er för granskningslogghanteringstjänsten.

För SAP RISE/ECS måste Microsoft Sentinel-lösningen distribueras i kundens Azure-prenumeration. Alla delar av Sentinel-lösningen hanteras av kunden och inte av SAP. Privata nätverksanslutningar från kundens virtuella nätverk behövs för att nå SAP-landskapen som hanteras av SAP RISE/ECS. Den här anslutningen sker vanligtvis via den etablerade vnet-peeringen eller via alternativ som beskrivs i det här dokumentet.

För att aktivera lösningen krävs endast en auktoriserad RFC-användare och ingenting behöver installeras på SAP-systemen. Den containerbaserade SAP-datainsamlingsagenten som ingår i lösningen kan installeras antingen på virtuell dator eller AKS/valfri Kubernetes-miljö. Insamlingsagenten använder en SAP-tjänstanvändare för att använda programloggdata från ditt SAP-liggande via RFC-gränssnittet med hjälp av standard-RFC-anrop.

• Autentiseringsmetoder som stöds i SAP RISE: SAP-användarnamn och lösenord eller X509/SNC-certifikat
• För närvarande är endast RFC-baserade anslutningar möjliga med SAP RISE/ECS-miljöer

Viktigt!

• För att köra Microsoft Sentinel i en SAP RISE/ECS-miljö krävs: Importera en SAP-transportändringsbegäran för följande loggfält/källa: Information om klientens IP-adress från SAP-säkerhetsgranskningsloggen, DB-tabellloggar (förhandsversion), spool-utdatalogg. Sentinels inbyggda innehåll (identifieringar, arbetsböcker och spelböcker) ger omfattande täckning och korrelation utan dessa loggkällor.
• SAP-infrastruktur- och operativsystemloggar är inte tillgängliga för Sentinel i RISE på grund av modellen med delat ansvar.

Automatiskt svar med Sentinels SOAR-funktioner

Använd fördefinierade spelböcker för säkerhets-, orkestrerings-, automatiserings- och svarsfunktioner (SOAR) för att snabbt reagera på hot. Ett populärt första scenario är SAP-användarblockering med interventionsalternativ från Microsoft Teams. Integreringsmönstret kan tillämpas på alla incidenttyper och måltjänster som sträcker sig mot SAP Business Technology Platform (BTP) eller Microsoft Entra-ID när det gäller att minska attackytan.

Mer information om Microsoft Sentinel och SOAR för SAP finns i bloggserien Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler.

Den här bilden visar en SAP-incident som identifierats av Sentinel och som erbjuder alternativet att blockera den misstänkta användaren på SAP ERP, SAP Business Technology Platform eller Microsoft Entra ID.

Mer information om Microsoft Sentinel och SAP, inklusive en distributionsguide, finns i Produktdokumentation för Sentinel.

Azure Monitoring for SAP med SAP RISE

Azure Monitor för SAP-lösningar är en Azure-intern lösning för övervakning av ditt SAP-system. Den utökar övervakningsfunktionen för Azure Monitor-plattformen med stöd för att samla in data om SAP NetWeaver, databas och operativsysteminformation.

SAP RISE/ECS är en fullständigt hanterad tjänst för ditt SAP-landskap och därför är Azure Monitoring for SAP inte avsett att användas för en sådan hanterad miljö. SAP RISE/ECS stöder inte någon integrering med Azure Monitor för SAP-lösningar. SAP:s egen övervakning och rapportering används och tillhandahålls till kunden enligt definitionen i din tjänstbeskrivning med SAP.

Azure Center för SAP-lösningar

Precis som med Azure Monitoring for SAP-lösningar stöder SAP RISE/ECS inte någon integrering med Azure Center för SAP-lösningar i någon funktion. Alla SAP RISE-arbetsbelastningar distribueras av SAP och körs i SAP:s Azure-klientorganisation och prenumeration, utan någon åtkomst från kunden till Azure-resurserna.

Nästa steg

Kolla in dokumentationen:

• Översikt över integrering av Azure med SAP RISE
• Alternativ för nätverksanslutning i Azure med SAP RISE
• Integrera Azure-tjänster med SAP RISE
• Distribuera Microsoft Sentinel-lösning för SAP-program®
• Distribuera Microsoft Sentinel-lösning för SAP® BTP