Azure-identitets- och säkerhetstjänster med SAP RISE
Den här artikeln beskriver integrering av Azure-identitets- och säkerhetstjänster med en SAP RISE-arbetsbelastning. Dessutom förklaras användningen av vissa Azure-övervakningstjänster för ett SAP RISE-landskap.
Enkel inloggning för SAP
Enkel inloggning (SSO) har konfigurerats för många SAP-miljöer. När SAP-arbetsbelastningar körs i ECS/RISE skiljer sig de steg som ska implementeras inte från ett internt körda SAP-system. Integreringsstegen med Microsoft Entra ID-baserad enkel inloggning är tillgängliga för vanliga ECS/RISE-hanterade arbetsbelastningar:
- Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP NetWeaver
- Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP Fiori
- Självstudie: Microsoft Entra-integrering med SAP HANA
| SSO-metod | Identitetsprovider | Vanligt användningsfall | Implementering |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra-ID | SAP Fiori, Webb-GUI, Portal, HANA | Konfiguration efter kund |
| SNC | Microsoft Entra-ID | SAP-GUI | Konfiguration efter kund |
| SPNEGO | Active Directory (AD) | Webb-GUI, SAP Enterprise Portal | Konfiguration efter kund och SAP |
Enkel inloggning mot Active Directory (AD) för din Windows-domän för ECS/RISE-hanterad SAP-miljö, med SAP SSO Secure Login Client kräver AD-integrering för slutanvändarenheter. Med SAP RISE är alla Windows-system inte integrerade med kundens Active Directory-domän. Domänintegrering krävs inte för enkel inloggning med AD/Kerberos eftersom domänsäkerhetstoken läse på klientenheten och utbyts säkert med SAP-systemet. Kontakta SAP om du behöver ändringar för att integrera AD-baserad enkel inloggning eller med andra produkter från tredje part än SAP SSO Secure Login Client, eftersom vissa konfigurationer i RISE-hanterade system kan krävas.
Microsoft Sentinel med SAP RISE
Med SAP RISE-certifierad Microsoft Sentinel-lösning för SAP-program kan du övervaka, identifiera och svara på misstänkta aktiviteter. Microsoft Sentinel skyddar dina kritiska data mot avancerade cyberattacker för SAP-system som finns i Azure, andra moln eller lokal infrastruktur.
Med lösningen kan du få insyn i användaraktiviteter i SAP RISE/ECS och SAP-affärslogiklagren och tillämpa Sentinels inbyggda innehåll.
- Använd en enda konsol för att övervaka alla dina företagsegendomar, inklusive SAP-instanser i SAP RISE/ECS i Azure och andra moln, sap Azure-inbyggda och lokala egendomar
- Identifiera och svara automatiskt på hot: identifiera misstänkt aktivitet, inklusive behörighetseskalering, obehöriga ändringar, känsliga transaktioner, dataexfiltrering med mera med funktioner för att identifiera inbyggda funktioner
- Korrelera SAP-aktivitet med andra signaler: mer exakt identifiera SAP-hot genom korskorrelering mellan slutpunkter, Microsoft Entra-data med mera
- Anpassa baserat på dina behov – skapa egna identifieringar för att övervaka känsliga transaktioner och andra affärsrisker
- Visualisera data med inbyggda arbetsböcker
Det här diagrammet visar ett exempel på Microsoft Sentinel som är anslutet via en mellanliggande virtuell dator eller container till SAP-hanterat SAP-system. Den mellanliggande virtuella datorn eller containern körs i kundens egen prenumeration med den konfigurerade SAP-dataanslutningsagenten.
För SAP RISE/ECS måste Microsoft Sentinel-lösningen distribueras i kundens Azure-prenumeration. Alla delar av Sentinel-lösningen hanteras av kunden och inte av SAP. Privata nätverksanslutningar från kundens virtuella nätverk behövs för att nå SAP-landskapen som hanteras av SAP RISE/ECS. Den här anslutningen sker vanligtvis via den etablerade vnet-peeringen eller via alternativ som beskrivs i det här dokumentet.
För att aktivera lösningen krävs endast en auktoriserad RFC-användare och ingenting behöver installeras på SAP-systemen. Den containerbaserade SAP-datainsamlingsagenten som ingår i lösningen kan installeras antingen på virtuell dator eller AKS/valfri Kubernetes-miljö. Insamlingsagenten använder en SAP-tjänstanvändare för att använda programloggdata från ditt SAP-liggande via RFC-gränssnittet med hjälp av standard-RFC-anrop.
- Autentiseringsmetoder som stöds i SAP RISE: SAP-användarnamn och lösenord eller X509/SNC-certifikat
- För närvarande är endast RFC-baserade anslutningar möjliga med SAP RISE/ECS-miljöer
Obs! För att köra Microsoft Sentinel i en SAP RISE/ECS-miljö:
- Följande loggfält/källa kräver en SAP-transportändringsbegäran: Information om klientens IP-adress från SAP-säkerhetsgranskningsloggen, DB-tabellloggar (förhandsversion), utdatalogg för pool. Sentinels inbyggda innehåll (identifieringar, arbetsböcker och spelböcker) ger omfattande täckning och korrelation utan dessa loggkällor.
- SAP-infrastruktur- och operativsystemloggar är inte tillgängliga för Sentinel i RISE, inklusive virtuella datorer som kör SAP, SAPControl-datakällor, nätverksresurser som placeras i ECS. SAP övervakar element i Azures infrastruktur och driftssystem oberoende av varandra.
Använd fördefinierade spelböcker för säkerhets-, orkestrerings-, automatiserings- och svarsfunktioner (SOAR) för att snabbt reagera på hot. Ett populärt första scenario är SAP-användarblockering med interventionsalternativ från Microsoft Teams. Integreringsmönstret kan tillämpas på alla incidenttyper och måltjänster som sträcker sig mot SAP Business Technology Platform (BTP) eller Microsoft Entra-ID när det gäller att minska attackytan.
Mer information om Microsoft Sentinel och SOAR för SAP finns i bloggserien Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler.
Den här bilden visar en SAP-incident som identifierats av Sentinel och som erbjuder alternativet att blockera den misstänkta användaren på SAP ERP, SAP Business Technology Platform eller Microsoft Entra ID.
Mer information om Microsoft Sentinel och SAP, inklusive en distributionsguide, finns i Produktdokumentation för Sentinel.
Azure Monitoring for SAP med SAP RISE
Azure Monitor för SAP-lösningar är en Azure-intern lösning för övervakning av ditt SAP-system. Den utökar övervakningsfunktionen för Azure Monitor-plattformen med stöd för att samla in data om SAP NetWeaver, databas och operativsysteminformation.
SAP RISE/ECS är en fullständigt hanterad tjänst för ditt SAP-landskap och därför är Azure Monitoring for SAP inte avsett att användas för en sådan hanterad miljö. SAP RISE/ECS stöder inte någon integrering med Azure Monitor för SAP-lösningar. SAP:s egen övervakning och rapportering används och tillhandahålls till kunden enligt definitionen i din tjänstbeskrivning med SAP.
Azure Center för SAP-lösningar
Precis som med Azure Monitoring for SAP-lösningar stöder SAP RISE/ECS inte någon integrering med Azure Center för SAP-lösningar i någon funktion. Alla SAP RISE-arbetsbelastningar distribueras av SAP och körs i SAP:s Azure-klientorganisation och prenumeration, utan någon åtkomst från kunden till Azure-resurserna.
Nästa steg
Kolla in dokumentationen:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för