Sdílet prostřednictvím

Správa identit a přístupu pro SAP

  • Článek

Tento článek vychází z několika aspektů a doporučení definovaných v článku návrhu přistávací zóny Azure pro správu identit a přístupu. Tento článek popisuje doporučení pro správu identit a přístupu pro nasazení platformy SAP v Microsoft Azure. SAP je nepostradatelná platforma, takže do návrhu byste měli zahrnout pokyny k oblasti návrhu cílové zóny Azure.

Důležitý

SAP SE má západu slunce produkt SAP Identity Management (IDM) a doporučuje všem svým zákazníkům migrovat na zásady správného řízení Microsoft Entra ID.

Aspekty návrhu

  • Projděte si požadované aktivity administrace a správy Azure pro váš tým. Zvažte svou infrastrukturu SAP na Azure. Určete nejlepší možnou distribuci zodpovědností v rámci vaší organizace.

  • Určete hranice správy prostředků Azure a hranice správy SAP Basis mezi infrastrukturou a týmy SAP Basis. Zvažte možnost poskytnout týmu SAP Basis přístup pro správu prostředků Azure se zvýšenými oprávněními v neprodukčním prostředí SAP. Můžete jim například udělit roli přispěvatele virtuálního počítače . Můžete jim také udělit částečný zvýšený přístup k administraci, jako je role přispěvatele virtuálních strojů ve výrobním prostředí. Obě možnosti mají dobrou rovnováhu mezi oddělením povinností a provozní efektivitou.

  • Pro centrální týmy IT a SAP Basis zvažte použití Privileged Identity Management (PIM) a vícefaktorového ověřování pro přístup k prostředkům virtuálního počítače SAP z webu Azure Portal a základní infrastruktury.

Zde jsou běžné aktivity administrace a řízení SAP na platformě Azure:

Prostředek Azure Poskytovatel prostředků Azure Činnosti
Virtuální počítače Microsoft.Compute/virtualMachines Spuštění, zastavení, restartování, zrušení přidělení, nasazení, opětovné nasazení, změna, změna velikosti, rozšíření, skupiny dostupnosti, skupiny umístění v blízkosti
Virtuální počítače Microsoft.Compute/disky Čtení a zápis na disk
Skladování Microsoft.Storage Čtení, změna účtů úložiště (například diagnostika spouštění)
Skladování Microsoft.NetApp Čtení a změna kapacitních fondů a svazků na NetApp
Skladování Microsoft.NetApp Snímky ANF
Skladování Microsoft.NetApp Replikace mezi oblastmi ANF
Síťování Microsoft.Network/networkInterfaces Čtení, vytváření a změna síťových rozhraní
Síťování Microsoft.Network/loadBalancers Čtení, vytváření a změna vyrovnávačů zatížení
Síťování Microsoft.Network/networkSecurityGroups Číst NSG
Síťování Microsoft.Network/azureFirewalls Čtení firewallu

  • Zabezpečená komunikace systému souborů NFS (Network File System) mezi službou Azure NetApp Files a virtuálními počítači Azure pomocí protokolu Kerbeross šifrováním klienta NFS. Azure NetApp Files podporuje služby Active Directory Domain Services (AD DS) a Microsoft Entra Domain Services pro připojení Microsoft Entra. Zvažte vliv protokolu Kerberos na výkon NFS verze 4.1.

  • Zabezpečená připojení typu RFC (Secure Remote Function Call) mezi systémy SAP pomocí zabezpečené síťové komunikace (SNC) za použití odpovídajících úrovní ochrany, jako je kvalita ochrany (QoP). Ochrana SNC generuje určité výkonové režijní náklady. Pokud chcete chránit komunikaci RFC mezi aplikačními servery stejného systému SAP, doporučuje SAP místo SNC používat zabezpečení sítě. Následující služby Azure podporují připojení RFC chráněná SNC k cílovému systému SAP: Poskytovatelé služby Azure Monitor pro řešení SAP, místní prostředí Integration Runtime ve službě Azure Data Factory a místní bránu dat v případě Power BI, Power Apps, Power Automate, Azure Analysis Services a Azure Logic Apps. SNC je potřeba ke konfiguraci jednotného přihlašování (SSO) v těchto případech.

Správa a řízení uživatelského přístupu v SAP

  • Vezměte v úvahu, že migrace do Azure může být příležitostí kontrolovat a revidovat procesy správy identit a přístupu. Projděte si procesy v prostředí SAP a procesy na podnikové úrovni:

    • Projděte si zásady uzamčení neaktivních uživatelů SAP.
    • Zkontrolujte zásady hesel uživatele SAP a zarovnejte je s ID Microsoft Entra.
    • Projděte si postupy pro odchozí, přesuny a začínající (LMS) a slaďte je s Microsoft Entra ID. Pokud používáte SAP Human Capital Management (HCM), SAP HCM pravděpodobně řídí proces LMS.

  • Zvažte použití propagace SAP principálů k předání identity Microsoftu do vašeho prostředí SAP.

  • Zvažte zřizovací službu Microsoft Entra, která automaticky zřídí a zruší zřízení uživatelů a skupin pro cloudovýchSAP Analytics, ověřování IDENTIT SAP a dalších služeb SAP.

  • Zvažte zřízení uživatelů z SuccessFactors do ID Microsoft Entra s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.

Doporučení k návrhu

  • Migrujte řešení SAP Identity Management (IDM) na správu identit Microsoft Entra ID.

  • V závislosti na typu přístupu implementujte jednotné přihlašování pomocí Windows AD, Microsoft Entra ID nebo AD FS, aby se koncoví uživatelé mohli připojit k aplikacím SAP bez ID uživatele a hesla, jakmile je centrální zprostředkovatel identity úspěšně ověří.

    • Implementujte jednotné přihlašování (SSO) k aplikacím SAP SaaS, jako je SAP Analytics Cloud, SAP Business Technology Platform (BTP), SAP Business ByDesign, SAP Qualtrics a SAP C4C s použitím Microsoft Entra ID a SAML.
    • Implementujte jednotné přihlašování pro SAP NetWeaverwebových aplikací, jako je SAP Fiori a SAP Web GUI, pomocí SAML.
    • Jednotné přihlašování do SAP GUI můžete implementovat pomocí jednotného přihlašování SAP NetWeaver nebo partnerského řešení.
    • Pro jednotné přihlašování pro přístup k rozhraní SAP GUI a webovému prohlížeči implementujte SNC – Kerberos/SPNEGO (jednoduchý a chráněný mechanismus vyjednávání GSSAPI) kvůli snadné konfiguraci a údržbě. Pro jednotné přihlašování s klientskými certifikáty X.509 zvažte SAP Secure Login Server, což je součást řešení SAP SSO.
    • Implementujte jednotné přihlašování pomocí OAuth pro SAP NetWeaver, abyste umožnili externím nebo vlastním aplikacím přístup ke službám SAP NetWeaver OData.
    • Implementujte SSO do SAP HANA

  • Implementujte MICROSOFT Entra ID jako zprostředkovatele identity pro systémy SAP hostované ve službě RISE. Další informace naleznete v tématu Integrace služby s Microsoft Entra ID.

  • Pro aplikace, které přistupují k SAP, použijte propagaci hlavního objektu pro SSO.

  • Pokud používáte služby SAP BTP nebo řešení SaaS, která vyžadují službu SAP Cloud Identity Service, Identity Authentication (IAS), implementujte jednotné přihlašování mezi službou SAP Cloud Identity Authentication Service a Microsoft Entra ID pro přístup k těmto službám SAP. Díky této integraci může SAP IAS fungovat jako proxy poskytovatel identity a předávat žádosti o ověření do Microsoft Entra ID jako centrální úložiště uživatelů a poskytovatele identity.

  • Pokud používáte SAP SuccessFactors, použijte Microsoft Entra ID pro automatizované zřizování uživatelů. S touto integrací můžete při přidávání nových zaměstnanců do SAP SuccessFactors automaticky vytvářet své uživatelské účty v Microsoft Entra ID. Volitelně můžete vytvářet uživatelské účty v Microsoftu 365 nebo jiných aplikacích SaaS, které podporuje Microsoft Entra ID. Použijte zpětný zápis e-mailové adresy do SAP SuccessFactors.