你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
面向 SAP 的标识和访问管理
本文基于 Azure 登陆区域设计区域(用于标识和访问管理)一文中定义的几个注意事项和建议。 本文介绍在 Microsoft Azure 上部署 SAP 平台的标识和访问管理建议。 SAP 是一个任务关键型平台,因此应在设计中包含 Azure 登陆区域设计区域指南。
设计注意事项
查看团队所需的 Azure 管理和活动。 考虑 Azure 上的 SAP 环境。 确定组织中可能的最佳责任分配。
确定 Azure 资源管理边界与基础结构和 SAP 基础团队之间的 SAP 基础管理边界。 考虑在 SAP 非生产环境中为 SAP 基础团队提供提升的 Azure 资源管理访问权限。 例如,为他们提供虚拟机参与者角色。 还可以授予部分提升的管理访问权限,例如生产环境中的部分虚拟机参与者。 这两个选项在职责分离和运营效率之间实现了良好的平衡。
对于中心 IT 和 SAP 基础团队,请考虑使用 Privileged Identity Management(PIM)和多重身份验证从Azure 门户和底层基础结构访问 SAP 虚拟机资源。
下面是 Azure 上的 SAP 的常见管理和管理活动:
| Azure 资源 | REST 资源提供程序 | 活动 |
|---|---|---|
| 虚拟机 | Microsoft.Compute/virtualMachines | 启动、停止、重启、解除分配、部署、重新部署、更改、重设大小、扩展、可用性集、邻近放置组 |
| 虚拟机 | Microsoft.Compute/disks | 读取和写入磁盘 |
| 存储 | Microsoft.Storage | 读取、更改存储帐户(例如启动诊断) |
| 存储 | Microsoft.NetApp | 读取、更改 NetApp 容量池和卷 |
| 存储 | Microsoft.NetApp | ANF 快照 |
| 存储 | Microsoft.NetApp | ANF 跨区域副本 (replica) |
| 网络 | Microsoft.Network/networkInterfaces | 读取、创建和更改网络接口 |
| 网络 | Microsoft.Network/loadBalancers | 读取、创建和更改负载均衡器 |
| 网络 | Microsoft.Network/networkSecurityGroups | 读取 NSG |
| 网络 | Microsoft.Network/azureFirewalls | 读取防火墙 |
如果使用 SAP Business Technology Platform (BTP) 服务,请考虑使用主体传播将标识从 SAP BTP 应用程序转发到 SAP 环境,方法是使用 SAP 云连接or。
请考虑使用 Microsoft Entra 预配服务自动将用户和组预配到 SAP Analytics Cloud 和 SAP Identity Authentication。
请考虑迁移到 Azure 可能是查看和重新调整标识和访问管理流程的机会。 检查 SAP 环境中的进程以及企业级进程:
- 查看 SAP 休眠用户锁定策略。
- 查看 SAP 用户密码策略,并将其与 Microsoft Entra ID 保持一致。
- 查看离开者、移动器和初学者(LMS)过程,并将其与 Microsoft Entra ID 保持一致。 如果使用 SAP 人力资源管理(HCM),SAP HCM 可能会驱动 LMS 过程。
请考虑将用户从 SuccessFactors Employee Central 预配到 Microsoft Entra ID,并选择性地将电子邮件地址写回到 SuccessFactors。
Azure NetApp 文件和使用 Kerberos 进行 NFS 客户端加密的 Azure 虚拟机之间的安全网络文件系统 (NFS)。 Azure NetApp 文档支持用于 Microsoft Entra 连接的 Active Directory 域服务(AD DS)和 Microsoft Entra 域服务。 考虑 Kerberos 对 NFS v4.1 的性能影响。
SAP 标识管理(IDM)使用 SAP 云标识预配作为代理服务与 Microsoft Entra ID 集成。 将 Microsoft Entra ID 视为使用 SAP IDM 的用户的中心数据源。 使用 Kerberos 通过 NFS 客户端加密保护Azure NetApp 文档与 Azure 虚拟机之间的网络文件系统(NFS)通信。 Azure NetApp 文档需要 AD DS 或 Microsoft Entra 域服务连接进行 Kerberos 票证。 考虑 Kerberos 对 NFS v4.1 的性能影响。
使用适当的保护级别(例如保护质量(QoP)来保护 SAP 系统与安全网络通信(SNC)之间的远程函数调用(RFC)连接。 SNC 保护会产生一些性能开销。 为了保护同一 SAP 系统的应用程序服务器之间的 RFC 通信,SAP 建议使用网络安全而不是 SNC。 以下 Azure 服务支持与 SAP 目标系统的受 SNC 保护的 RFC 连接:适用于 SAP 解决方案的 Azure Monitor 提供程序、Azure 数据工厂中的自承载集成运行时,以及 Power BI、Power Apps、Power Automate、Azure 分析服务 和Azure 逻辑应用的本地数据网关。 在这种情况下,需要 SNC 来配置单一登录(SSO)。
设计建议
使用 Windows AD、Microsoft Entra ID 或 AD FS 实现 SSO,具体取决于访问类型,以便在中心标识提供者成功进行身份验证后,最终用户无需用户 ID 和密码即可连接到 SAP 应用程序。
- 使用 SAML 实现 SAP SaaS 应用程序的 SSO,如 SAP Analytics Cloud、SAP Cloud Platform、Business by design、SAP Qualtrics 和 SAP C4C 和 Microsoft Entra ID。
- 使用 SAML 实现 基于 SAP NetWeaver 的 Web 应用程序的 SSO,例如 SAP Fiori 和 SAP Web GUI。
- 可以使用 SAP NetWeaver SSO 或合作伙伴解决方案实现对 SAP GUI 的 SSO。
- 对于 SAP GUI 和 Web 浏览器访问的 SSO,请实现 SNC – Kerberos/SPNEGO(简单且受保护的 GSSAPI 协商机制),因为它易于配置和维护。 对于具有 X.509 客户端证书的 SSO,请考虑 SAP Secure Login Server,这是 SAP SSO 解决方案的一个组件。
- 使用 OAuth for SAP NetWeaver 实现 SSO,以允许第三方或自定义应用程序访问 SAP NetWeaver OData 服务。
- 实现 到 SAP HANA 的 SSO
假设 Microsoft Entra ID 是 RI 上托管的 SAP 系统的标识提供者标准版。 有关详细信息,请参阅 将服务与 Microsoft Entra ID 集成。
对于访问 SAP 的应用程序,可能需要使用 主体传播来建立 SSO。
如果使用需要 SAP 标识身份验证服务(IAS)的 SAP BTP 服务或 SaaS 解决方案, 请考虑在 SAP Cloud Identity Authentication Services 和 Microsoft Entra ID 之间实现 SSO 来访问这些 SAP 服务。 此集成使 SAP IAS 充当代理标识提供者,并将身份验证请求转发到 Microsoft Entra ID 作为中央用户存储和标识提供者。
如果使用 SAP SuccessFactors,请考虑使用 Microsoft Entra ID 自动用户预配。 通过此集成,向 SAP SuccessFactors 添加新员工时,可以在 Microsoft Entra ID 中自动创建其用户帐户。 (可选)可以在 Microsoft 365 或其他 Microsoft Entra ID 支持的 SaaS 应用程序中创建用户帐户。 使用“将电子邮件地址写回 SAP SuccessFactors”。