Gerenciamento de identidade e acesso para SAP

Este artigo baseia-se em várias considerações e recomendações definidas no artigo Área de design da zona de aterragem do Azure para gerenciamento de identidade e acesso. Este artigo descreve as recomendações de gerenciamento de acesso e identidade para implantar uma plataforma SAP no Microsoft Azure. O SAP é uma plataforma de missão crítica, portanto, você deve incluir a orientação da área de design da zona de aterrissagem do Azure em seu design.

Considerações sobre o design

• Revise as atividades de administração e gerenciamento do Azure necessárias para sua equipe. Considere sua SAP na paisagem do Azure. Determine a melhor distribuição possível de responsabilidades em sua organização.

• Determine os limites de administração de recursos do Azure versus os limites de administração do SAP Basis entre a infraestrutura e as equipes do SAP Basis. Considere fornecer à equipe do SAP Basis acesso elevado à administração de recursos do Azure em um ambiente de não produção do SAP. Por exemplo, dê a eles uma função de colaborador de máquina virtual. Você também pode conceder a eles acesso de administração parcialmente elevado, como o Colaborador de Máquina Virtual parcial em um ambiente de produção. Ambas as opções conseguem um bom equilíbrio entre a separação de funções e a eficiência operacional.

• Para equipes centrais de TI e SAP Basis, considere o uso do PIM (Gerenciamento de Identidades Privilegiadas) e da autenticação multifator para acessar os recursos da Máquina Virtual SAP a partir do portal do Azure e da infraestrutura subjacente.

Aqui estão as atividades comuns de administração e gerenciamento do SAP no Azure:

Recursos do Azure	Provedor de recursos do Azure	Atividades
Máquinas virtuais	Microsoft.Compute/virtualMachines	Iniciar, parar, reiniciar, desalocar, implantar, reimplantar, alterar, redimensionar, extensões, conjuntos de disponibilidade, grupos de posicionamento por proximidade
Máquinas virtuais	Microsoft.Compute/disks	Leitura e gravação no disco
Armazenamento	Microsoft.Storage	Leitura, alteração em contas de armazenamento (por exemplo, diagnóstico de inicialização)
Armazenamento	Microsoft.NetApp	Ler, alterar em pools e volumes de capacidade do NetApp
Armazenamento	Microsoft.NetApp	Instantâneos ANF
Armazenamento	Microsoft.NetApp	Replicação entre regiões do ANF
Rede	Microsoft.Network/networkInterfaces	Ler, criar e alterar interfaces de rede
Rede	Microsoft.Network/loadBalancers	Ler, criar e alterar balanceadores de carga
Rede	Microsoft.Network/networkSecurityGroups	Ler NSG
Rede	Microsoft.Network/azureFirewalls	Ler firewall

• Se você estiver usando serviços SAP Business Technology Platform (BTP), considere usar a propagação principal para encaminhar uma identidade do aplicativo SAP BTP para seu cenário SAP usando o SAP Cloud Connector.

• Considere o serviço de provisionamento do Microsoft Entra para provisionar e desprovisionar automaticamente usuários e grupos para o SAP Analytics Cloud e o SAP Identity Authentication.

• Considere que uma migração para o Azure pode ser uma oportunidade para revisar e realinhar os processos de gerenciamento de identidade e acesso. Revise os processos em seu cenário SAP e os processos em seu nível empresarial:

  • Revise as políticas de bloqueio de usuário inativo do SAP.
  • Revise a política de senha de usuário SAP e alinhe-a com o Microsoft Entra ID.
  • Revise os procedimentos de leavers, movers e starters (LMS) e alinhe-os com o Microsoft Entra ID. Se você estiver usando o SAP Human Capital Management (HCM), O SAP HCM provavelmente conduz o processo LMS.

• Considere provisionar usuários do SuccessFactors Employee Central para o Microsoft Entra ID, com write-back opcional do endereço de email para o SuccessFactors.

• Comunicação NFS (Sistema de Arquivos de Rede Segura) entre Azure NetApp Files e Máquinas Virtuais do Microsoft Azure com criptografia de cliente NFS usando Kerberos. Os Arquivos NetApp do Azure dão suporte aos Serviços de Domínio Active Directory (AD DS) e aos Serviços de Domínio Microsoft Entra para conexões do Microsoft Entra. Considere o efeito de desempenho do Kerberos no NFS v4.1.

• O SAP Identity Management (IDM) integra-se ao Microsoft Entra ID usando o provisionamento de identidade em nuvem SAP como um serviço proxy. Considere o Microsoft Entra ID como uma fonte de dados central para usuários que usam o SAP IDM. Proteja a comunicação NFS (Network File System) entre os Arquivos NetApp do Azure e as Máquinas Virtuais do Azure com criptografia de cliente NFS usando Kerberos. Os Arquivos NetApp do Azure exigem conexão com o AD DS ou os Serviços de Domínio Microsoft Entra para tíquetes Kerberos. Considere o efeito de desempenho do Kerberos no NFS v4.1.

• Conexões RFC (Secure Remote Function Call) entre sistemas SAP com comunicações de rede seguras (SNC) usando níveis de proteção apropriados, como qualidade de proteção (QoP). A proteção SNC gera um pouco de sobrecarga de desempenho. Para proteger a comunicação RFC entre servidores de aplicativos do mesmo sistema SAP, a SAP recomenda o uso da segurança de rede em vez do SNC. Os seguintes serviços do Azure oferecem suporte a conexões RFC protegidas por SNC para um sistema de destino SAP: Provedores do Azure Monitor for SAP Solutions, o tempo de execução de integração auto-hospedado no Azure Data Factory e o gateway de dados local no caso do Power BI, Power Apps, Power Automate, Azure Analysis Services e Aplicativos Lógicos do Azure. O SNC é necessário para configurar o logon único (SSO) nesses casos.

Recomendações sobre design

• Implemente o SSO usando o Windows AD, o Microsoft Entra ID ou o AD FS, dependendo do tipo de acesso, para que os usuários finais possam se conectar a aplicativos SAP sem um ID de usuário e senha depois que o provedor de identidade central os autenticar com êxito.

  • Implemente SSO para aplicativos SAP SaaS como SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics e SAP C4C com Microsoft Entra ID usando SAML.
  • Implemente SSO em aplicativos Web baseados no SAP NetWeaver, como SAP Fiori e SAP Web GUI, usando SAML.
  • Você pode implementar o SSO para SAP GUI usando o SAP NetWeaver SSO ou uma solução de parceiro.
  • Para SSO para SAP GUI e acesso ao navegador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociação GSSAPI simples e protegido) devido à sua facilidade de configuração e manutenção. Para SSO com certificados de cliente X.509, considere o SAP Secure Login Server, que é um componente da solução SAP SSO.
  • Implemente o SSO usando o OAuth for SAP NetWeaver para permitir que aplicativos de terceiros ou personalizados acessem os serviços OData do SAP NetWeaver .
  • Implementar SSO no SAP HANA

• Considere o Microsoft Entra ID um provedor de identidade para sistemas SAP hospedados no RISE. Para obter mais informações, consulte Integrando o serviço com o Microsoft Entra ID.

• Para aplicativos que acessam o SAP, convém usar a propagação principal para estabelecer o SSO.

• Se você estiver usando serviços SAP BTP ou soluções SaaS que exigem o SAP Identity Authentication Service (IAS), considere implementar SSO entre o SAP Cloud Identity Authentication Services e o Microsoft Entra ID para acessar esses serviços SAP. Essa integração permite que o SAP IAS atue como um provedor de identidade de proxy e encaminhe solicitações de autenticação para o Microsoft Entra ID como o repositório central do usuário e o provedor de identidade.

• Se você estiver usando o SAP SuccessFactors, considere usar o provisionamento automatizado de usuários do Microsoft Entra ID. Com essa integração, à medida que você adiciona novos funcionários ao SAP SuccessFactors, você pode criar automaticamente suas contas de usuário no Microsoft Entra ID. Opcionalmente, você pode criar contas de usuário no Microsoft 365 ou outros aplicativos SaaS que são suportados pelo Microsoft Entra ID. Use write-back do endereço de email para SAP SuccessFactors.