使用 SAP RISE 的 Azure 身分識別和安全性服務
本文詳細說明 Azure 身分識別和安全性服務與 SAP RISE 工作負載的整合。 SAP RISE 環境會說明一些 Azure 監視服務的使用方式。
SAP 單一登錄
單一登錄 (SSO) 已針對許多 SAP 環境進行設定。 在ECS/RISE中執行的SAP工作負載時,實作的步驟與原生執行的SAP系統並無不同。 搭配 Microsoft Entra ID 型 SSO 的整合步驟適用於一般 ECS/RISE 受控工作負載:
- 教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP NetWeaver 整合
- 教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP Fiori 整合
- 教學課程:Microsoft Entra 與 SAP HANA 整合
| SSO 方法 | 身分識別提供者 | 典型的使用案例 | 實作 |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori、Web GUI、入口網站、HANA | 依客戶設定 |
| Snc | Microsoft Entra ID | SAP GUI | 依客戶設定 |
| SPNEGO | Active Directory (AD) | Web GUI、SAP Enterprise Portal | 依客戶和 SAP 設定 |
針對 ECS/RISE 受控 SAP 環境的 Windows 網域進行 SSO 對 Active Directory (AD),而 SAP SSO 安全登入用戶端則需要終端使用者裝置的 AD 整合。 透過 SAP RISE,任何 Windows 系統都不會與客戶的 Active Directory 網域整合。 與 AD/Kerberos 的 SSO 不需要網域整合,因為用戶端裝置上會讀取網域安全性令牌,並與 SAP 系統安全地交換。 如果您需要任何變更來整合 AD 型 SSO 或使用 SAP SSO 安全登入用戶端以外的第三方產品,請連絡 SAP,因為可能需要在 RISE 受控系統上進行某些設定。
Microsoft Sentinel 與 SAP RISE
SAP RISE 認證的適用於 SAP 應用程式的 Microsoft Sentinel 解決方案可讓您監視、偵測及回應可疑活動。 Microsoft Sentinel 會針對裝載於 Azure、其他雲端或內部部署基礎結構的 SAP 系統,保護您的重要數據,防範複雜的網路攻擊。
此解決方案可讓您瞭解 SAP RISE/ECS 和 SAP 商業規則層上的用戶活動,並套用 Sentinel 的內建內容。
- 使用單一控制台來監視所有企業資產,包括 Azure 上 SAP RISE/ECS 中的 SAP 實例和其他雲端、SAP Azure 原生和內部部署資產
- 偵測並自動回應威脅:偵測可疑活動,包括許可權提升、未經授權的變更、敏感性交易、數據外泄等現用偵測功能
- 將 SAP 活動與其他訊號相互關聯:透過跨端點、Microsoft Entra 數據等相互關聯,更準確地偵測 SAP 威脅
- 根據您的需求自定義 - 建置您自己的偵測,以監視敏感性交易和其他商務風險
- 使用內建活頁簿將數據可視化
此圖顯示透過中繼 VM 或容器連線至 SAP 受控 SAP 系統的 Microsoft Sentinel 範例。 中繼 VM 或容器會以已設定的 SAP 資料連接器代理程式,在客戶自己的訂用帳戶中執行。
針對 SAP RISE/ECS,Microsoft Sentinel 解決方案必須部署在客戶的 Azure 訂用帳戶中。 Sentinel 解決方案的所有部分都是由客戶管理,而不是由 SAP 管理。 需要客戶 vnet 的專用網連線,才能連線到 SAP RISE/ECS 所管理的 SAP 環境。 一般而言,此聯機是透過已建立的 vnet 對等互連,或透過本檔中所述的替代方式進行。
若要啟用解決方案,只需要授權的 RFC 使用者,而且不需要在 SAP 系統上安裝任何專案。 解決方案隨附的容器型 SAP 資料收集代理程式 可以安裝在 VM 或 AKS/任何 Kubernetes 環境中。 收集器代理程式會使用 SAP 服務使用者,使用標準 RFC 呼叫,透過 RFC 介面取用 SAP 環境的應用程式記錄數據。
- SAP RISE 中支援的驗證方法:SAP 使用者名稱和密碼或 X509/SNC 憑證
- 目前只有 RFC 型連線可以搭配 SAP RISE/ECS 環境使用
請注意,在 SAP RISE/ECS 環境中執行 Microsoft Sentinel:
- 下列記錄欄位/來源需要 SAP 傳輸變更要求:來自 SAP 安全性稽核記錄、資料庫資料表記錄(預覽)、多任務緩衝處理輸出記錄的用戶端 IP 位址資訊。 Sentinel 的內建內容(偵測、活頁簿和劇本)在沒有這些記錄來源的情況下,提供廣泛的涵蓋範圍和相互關聯。
- 在 RISE 中,Sentinel 無法使用 SAP 基礎結構和操作系統記錄,包括執行 SAP 的 VM、SAPControl 數據源、放置於 ECS 中的網路資源。 SAP 會獨立監視 Azure 基礎結構和作業系統的元素。
針對安全性、協調流程、自動化和回應功能使用預先建置的劇本來快速響應威脅。 熱門的第一個案例是來自 Microsoft Teams 的 SAP 用戶封鎖介入選項。 整合模式可以套用至任何跨越 SAP Business Technology Platform (BTP) 或 Microsoft Entra 標識符的事件類型和目標服務,以降低受攻擊面。
如需 Microsoft Sentinel 和 SOAR for SAP 的詳細資訊,請參閱部落格系列 從零到主角安全性涵蓋範圍與 Microsoft Sentinel,以取得重要的 SAP 安全性訊號。
此影像顯示 Sentinel 偵測到的 SAP 事件,提供封鎖 SAP ERP、SAP Business Technology Platform 或 Microsoft Entra 識別符上可疑用戶的選項。
如需 Microsoft Sentinel 和 SAP 的詳細資訊,包括部署指南,請參閱 Sentinel 產品檔。
Azure Monitoring for SAP with SAP RISE
適用於 SAP 解決方案 的 Azure 監視器是用來監視 SAP 系統的 Azure 原生解決方案。 它支援 Azure 監視器平台監視功能,以收集 SAP NetWeaver、資料庫和作業系統詳細數據的相關數據。
SAP RISE/ECS 是 SAP 環境的完整受控服務,因此適用於 SAP 的 Azure 監視不適用於這類受控環境。 SAP RISE/ECS 不支援任何與適用於 SAP 解決方案的 Azure 監視器整合。 SAP 本身的監視和報告會使用並提供給客戶,如使用 SAP 的服務描述所定義。
適用於 SAP 解決方案的 Azure 中心
如同適用於 SAP 解決方案的 Azure 監視,SAP RISE/ECS 不支援任何功能與 適用於 SAP 解決方案 的 Azure 中心整合。 SAP 會部署所有 SAP RISE 工作負載,並在 SAP 的 Azure 租使用者和訂用帳戶中執行,而不需要客戶存取 Azure 資源。
下一步
請參閱檔案: