Správa identit a přístupu pro SAP
Tento článek vychází z několika aspektů a doporučení definovaných v článku návrhové oblasti cílové zóny Azure pro správu identit a přístupu. Tento článek popisuje doporučení pro správu identit a přístupu pro nasazení platformy SAP v Microsoft Azure. SAP je nepostradatelná platforma, takže do návrhu byste měli zahrnout pokyny k oblasti návrhu cílové zóny Azure.
Aspekty návrhu
Projděte si požadované aktivity správy a správy Azure pro váš tým. Zvažte svůj SAP v Azure na šířku. Určete nejlepší možnou distribuci zodpovědností v rámci vaší organizace.
Určete hranice správy prostředků Azure a hranice správy SAP Basis mezi infrastrukturou a týmy SAP Basis. Zvažte možnost poskytnout týmu SAP Basis přístup pro správu prostředků Azure se zvýšenými oprávněními v neprodukčním prostředí SAP. Můžete jim například udělit roli Přispěvatel virtuálních počítačů. Můžete jim také udělit částečně zvýšený přístup pro správu, jako je částečný přispěvatel virtuálních počítačů v produkčním prostředí. Obě možnosti mají dobrou rovnováhu mezi oddělením povinností a provozní efektivitou.
Pro centrální týmy IT a SAP Basis zvažte použití Privileged Identity Management (PIM) a vícefaktorového ověřování pro přístup k prostředkům virtuálního počítače SAP z webu Azure Portal a základní infrastruktury.
Tady jsou běžné aktivity správy a správy SAP v Azure:
| Prostředek Azure | Poskytovatel prostředků Azure | Aktivity |
|---|---|---|
| Virtuální počítače | Microsoft.Compute/virtualMachines | Spuštění, zastavení, restartování, zrušení přidělení, nasazení, opětovné nasazení, změna, změna velikosti, rozšíření, skupiny dostupnosti, skupiny umístění bezkontaktní komunikace |
| Virtuální počítače | Microsoft.Compute/disky | Čtení a zápis na disk |
| Úložiště | Microsoft.Storage | Čtení, změna účtů úložiště (například diagnostika spouštění) |
| Úložiště | Microsoft.NetApp | Čtení, změna fondů a svazků kapacity NetApp |
| Úložiště | Microsoft.NetApp | Snímky ANF |
| Úložiště | Microsoft.NetApp | Replikace mezi oblastmi ANF |
| Sítě | Microsoft.Network/networkInterfaces | Čtení, vytváření a změna síťových rozhraní |
| Sítě | Microsoft.Network/loadBalancers | Čtení, vytváření a změna nástrojů pro vyrovnávání zatížení |
| Sítě | Microsoft.Network/networkSecurityGroups | Čtení skupiny zabezpečení sítě |
| Sítě | Microsoft.Network/azureFirewalls | Brána firewall pro čtení |
Pokud používáte služby BTP (SAP Business Technology Platform), zvažte použití šíření instančního objektu k předávání identity z aplikace SAP BTP do prostředí SAP pomocí Připojení oru SAP Cloud.
Zvažte zřizovací službu Microsoft Entra, která automaticky zřídí a zruší zřízení uživatelů a skupin pro cloud SAP Analytics a ověřování SAP Identity.
Vezměte v úvahu, že migrace do Azure může být příležitostí kontrolovat a revidovat procesy správy identit a přístupu. Projděte si procesy v prostředí SAP a procesy na podnikové úrovni:
- Projděte si zásady uzamčení uživatele SAP.
- Zkontrolujte zásady hesel uživatele SAP a zarovnejte je s ID Microsoft Entra.
- Projděte si postupy pro opuštění, přesunovače a startéry (LMS) a zarovnejte je s ID Microsoft Entra. Pokud používáte SAP Human Capital Management (HCM), SAP HCM pravděpodobně řídí proces LMS.
Zvažte zřízení uživatelů z SuccessFactors Employee Central do Microsoft Entra ID s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.
Zabezpečená komunikace systému souborů NFS (Network File System) mezi službou Azure NetApp Files a virtuálními počítači Azure s šifrováním klienta NFS pomocí protokolu Kerberos. Azure NetApp Files podporuje Doména služby Active Directory Services (AD DS) a Microsoft Entra Domain Services pro připojení Microsoft Entra. Zvažte vliv protokolu Kerberos na systém souborů NFS verze 4.1.
SAP Identity Management (IDM) se integruje s Microsoft Entra ID pomocí zřizování cloudových identit SAP jako proxy služby. Zvažte ID Microsoft Entra jako centrální zdroj dat pro uživatele, kteří používají SAP IDM. Zabezpečte komunikaci systému souborů NFS (Network File System) mezi službou Azure NetApp Files a virtuálními počítači Azure pomocí šifrování klienta NFS pomocí protokolu Kerberos. Služba Azure NetApp Files vyžaduje pro lístky Kerberos připojení služby AD DS nebo Microsoft Entra Domain Services. Zvažte vliv protokolu Kerberos na systém souborů NFS verze 4.1.
Připojení RFC (Secure Remote Function Call) mezi systémy SAP se zabezpečenou síťovými komunikacemi (SNC) pomocí odpovídajících úrovní ochrany, jako je kvalita ochrany (QoP). Ochrana SNC generuje určitou režii na výkon. Pokud chcete chránit komunikaci RFC mezi aplikačními servery stejného systému SAP, doporučuje SAP místo SNC používat zabezpečení sítě. Následující služby Azure podporují připojení RFC chráněná SNC k cílovému systému SAP: poskytovatelé Azure Monitor pro řešení SAP, místní prostředí Integration Runtime ve službě Azure Data Factory a místní bránu dat v případě Power BI, Power Apps, Power Automate, Azure Analysis Services a Azure Logic Apps. SNC je potřeba ke konfiguraci jednotného přihlašování (SSO) v těchto případech.
Doporučení k návrhu
V závislosti na typu přístupu implementujte jednotné přihlašování pomocí Windows AD, Microsoft Entra ID nebo AD FS, aby se koncoví uživatelé mohli připojit k aplikacím SAP bez ID uživatele a hesla, jakmile je centrální zprostředkovatel identity úspěšně ověří.
- Implementujte jednotné přihlašování k aplikacím SAP SaaS, jako je SAP Analytics Cloud, SAP Cloud Platform, Business podle návrhu, SAP Qualtrics a SAP C4C s Microsoft Entra ID pomocí SAML.
- Implementujte jednotné přihlašování k webovým aplikacím založeným na SAP NetWeaver, jako jsou SAP Fiori a webové grafické uživatelské rozhraní SAP, pomocí SAML.
- Jednotné přihlašování do SAP GUI můžete implementovat pomocí jednotného přihlašování SAP NetWeaver nebo partnerského řešení.
- Pro jednotné přihlašování pro přístup k rozhraní SAP GUI a webovému prohlížeči implementujte SNC – Kerberos/SPNEGO (jednoduchý a chráněný mechanismus vyjednávání GSSAPI) kvůli snadné konfiguraci a údržbě. Pro jednotné přihlašování s klientskými certifikáty X.509 zvažte SAP Secure Login Server, což je součást řešení SAP SSO.
- Implementujte jednotné přihlašování pomocí OAuth pro SAP NetWeaver a povolte externím nebo vlastním aplikacím přístup ke službám SAP NetWeaver OData.
- Implementace jednotného přihlašování do SAP HANA
Zvažte Microsoft Entra ID zprostředkovatele identity pro systémy SAP hostované ve službě RISE. Další informace naleznete v tématu Integrace služby s Microsoft Entra ID.
U aplikací, které přistupují k SAP, můžete k navázání jednotného přihlašování použít šíření objektu zabezpečení.
Pokud používáte služby SAP BTP nebo řešení SaaS, která vyžadují službu SAP Identity Authentication Service (IAS), zvažte implementaci jednotného přihlašování mezi službami SAP Cloud Identity Authentication Services a Microsoft Entra ID pro přístup k těmto službám SAP. Díky této integraci může SAP IAS fungovat jako zprostředkovatel identity proxy a předávat žádosti o ověření na ID Microsoft Entra jako centrální úložiště uživatelů a zprostředkovatele identity.
Pokud používáte SAP SuccessFactors, zvažte použití automatizovaného zřizování uživatelů Microsoft Entra ID. S touto integrací můžete při přidávání nových zaměstnanců do SAP SuccessFactors automaticky vytvářet své uživatelské účty v Microsoft Entra ID. Volitelně můžete vytvářet uživatelské účty v Microsoftu 365 nebo jiných aplikacích SaaS, které podporuje Microsoft Entra ID. Použijte zpětný zápis e-mailové adresy do SAP SuccessFactors.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro