你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
SAP 的标识和访问管理
本文基于文章关于标识和访问管理的 Azure 登陆区域设计领域中定义的数项注意事项和建议。 本文介绍有关在 azure Microsoft 上部署 SAP 平台的标识和访问管理建议。 SAP 是一个任务关键型平台,因此应在设计中包含 Azure 登陆区域设计区域指南。
重要
SAP SE 已将其 SAP 标识管理 (IDM) 产品纳入“夕阳”(退出使用)进程,并建议其所有客户迁移到 Microsoft Entra ID Governance。
设计注意事项
查看团队需要完成的 Azure 管理活动。 考虑 Azure 上的 SAP 环境。 确定组织中可能的最佳职责分配。
确定基础结构团队与 SAP 基础团队之间的 Azure 资源管理边界与 SAP 基础管理边界。 请考虑在 SAP 非生产环境中为 SAP 基础团队提供提升的 Azure 资源管理访问权限。 例如,为他们提供虚拟机参与者角色。 此外,还可以在生产环境中为他们授予部分提升的管理访问权限,例如部分虚拟机参与者。 这两个选项在职责分离和运营效率之间实现了良好的平衡。
对于中心 IT 和 SAP 基础团队,请考虑使用 Privileged Identity Management(PIM)和多重身份验证从 Azure 门户和底层基础结构访问 SAP 虚拟机资源。
下面是 Azure 上的 SAP 的常见管理和管理活动:
| Azure 资源 | REST 资源提供程序 | 活动 |
|---|---|---|
| 虚拟机 | Microsoft.Compute/virtualMachines | 启动、停止、重启、解除分配、部署、重新部署、更改、重设大小、扩展、可用性集、邻近放置组 |
| 虚拟机 | Microsoft.Compute/disks | 读取和写入磁盘 |
| 存储 | Microsoft.Storage | 读取、更改存储帐户(例如启动诊断) |
| 存储 | Microsoft.NetApp | 读取、更改 NetApp 容量池和卷 |
| 存储 | Microsoft.NetApp | ANF 快照 |
| 存储 | Microsoft.NetApp | ANF 跨区域复制 |
| 联网 | Microsoft.Network/networkInterfaces | 读取、创建和更改网络接口 |
| 联网 | Microsoft.Network/loadBalancers | 读取、创建和更改负载均衡器 |
| 联网 | Microsoft.Network/networkSecurityGroups | 读取 NSG |
| 联网 | Microsoft.Network/azureFirewalls | 读取防火墙 |
Azure NetApp 文件和使用 Kerberos 进行 NFS 客户端加密的 Azure 虚拟机之间的安全网络文件系统 (NFS)。 Azure NetApp 文件支持使用 Active Directory 域服务 (AD DS) 和 Microsoft Entra 域服务进行 Microsoft Entra 连接。 考虑 Kerberos 对 NFS v4.1 的性能影响。
使用适当的保护级别(例如保护质量 QoP),保护采用安全网络通信 (SNC) 的 SAP 系统之间的远程函数调用 (RFC) 连接。 SNC 保护会产生一些性能开销。 为了保护同一 SAP 系统的应用程序服务器之间的 RFC 通信,SAP 建议使用网络安全而不是 SNC。 以下 Azure 服务支持由 SNC 保护的 RFC 与 SAP 目标系统的连接:Azure Monitor for SAP Solutions 提供程序、Azure 数据工厂中的自承载集成运行时以及涉及 Power BI、Power Apps、Power Automate、Azure Analysis Services 和 Azure Logic Apps 的本地数据网关。 在这种情况下,需要 SNC 来配置单一登录(SSO)。
SAP 用户治理和预配
请考虑迁移到 Azure 可能是查看和重新调整标识和访问管理流程的机会。 检查 SAP 环境中的进程以及企业级进程:
- 查看 SAP 休眠用户锁定策略。
- 查看 SAP 用户密码策略,并将其与 Microsoft Entra ID 保持一致。
- 检查离开程序、移动程序和启动程序 (LMS) 过程,并使它们与 Microsoft Entra ID 保持一致。 如果使用 SAP 人力资源管理(HCM),SAP HCM 可能会驱动 LMS 过程。
考虑使用 SAP 主体传播将 Microsoft 标识转发到 SAP 环境。
考虑使用 Microsoft Entra 预配服务,以便为用户和组自动预配和取消预配 SAP Analytics Cloud、SAP Identity Authentication 及更多 SAP 服务。
考虑将用户从 SuccessFactors 预配到 Microsoft Entra ID,并选择性地将电子邮件地址写回到 SuccessFactors。
设计建议
将 SAP 标识管理(IDM)解决方案 迁移到Microsoft Entra ID Governance。
使用 Windows AD、Microsoft Entra ID 或 AD FS 实现 SSO,具体取决于访问类型,以便在中心标识提供者成功进行身份验证后,最终用户无需用户 ID 和密码即可连接到 SAP 应用程序。
- 通过使用 SAML 和 Microsoft Entra ID 实现 SAP SaaS 应用程序的 SSO,如 SAP Analytics Cloud、SAP 业务技术平台 (BTP)、Business By Design、SAP Qualtrics 和 SAP C4C 等应用。
- 使用 SAML 实现基于 SAP NetWeaver 的 Web 应用程序的 SSO,如 SAP Fiori 和 SAP Web GUI 等应用。
- 可以使用 SAP NetWeaver SSO 或合作伙伴解决方案实现对 SAP GUI 的 SSO。
- 对于 SAP GUI 和 Web 浏览器访问的 SSO,请实现 SNC – Kerberos/SPNEGO(简单且受保护的 GSSAPI 协商机制),因为它易于配置和维护。 对于具有 X.509 客户端证书的 SSO,请考虑 SAP Secure Login Server,这是 SAP SSO 解决方案的一个组件。
- 使用 OAuth for SAP NetWeaver 实现
SSO,以允许第三方或自定义应用程序访问 SAP NetWeaver OData 服务。 - 将 SSO 实现到 SAP HANA
将 Microsoft Entra ID 实现为 RISE 托管的 SAP 系统中的标识提供程序。 有关详细信息,请参阅将服务与 Microsoft Entra ID 集成。
为访问 SAP 的应用程序使用主体传播来建立 SSO。
如果使用需要 SAP Cloud Identity Service、Identity Authentication (IAS) 的 SAP BTP 服务或 SaaS 解决方案,则在 SAP Cloud Identity Authentication Services 与 Microsoft Entra ID 之间实现 SSO 以便访问这些 SAP 服务。 此集成使 SAP IAS 充当代理标识提供者,并将身份验证请求转发到 Microsoft Entra ID 作为中央用户存储和标识提供者。
如果使用 SAP SuccessFactors,则使用 Microsoft Entra ID 进行自动化用户预配。 通过此集成,向 SAP SuccessFactors 添加新员工时,可以在 Microsoft Entra ID 中自动创建其用户帐户。 (可选)可以在 Microsoft 365 或 Microsoft Entra ID 支持的其他 SaaS 应用程序中创建用户帐户。 使用“将电子邮件地址写回 SAP SuccessFactors”。