Prozkoumání ověřování, autorizace a řízení přístupu k virtuálním počítačům Azure

  • 5 min

V místních scénářích je možné službu Active Directory z místního prostředí rozšířit tak, aby sloužila jako ověřovací mechanismus prostřednictvím řadiče domény nasazeného v Azure (a také potenciálně pomocí integrovaného DNS). Je důležité rozlišovat mezi tradičními servery Active Directory a ID Microsoft Entra, které poskytuje pouze podmnožinu tradičních místních funkcí AD. Tato podmnožina zahrnuje správu identit a přístupu, ale nemá úplné schéma ad ani služby, které využívá mnoho aplikací třetích stran. I když je ID Microsoft Entra požadavek na zřizování prostředků v Azure a může synchronizovat uživatele s místní službou AD zákazníků, oba jsou explicitně odlišné a zákazníci budou pravděpodobně i nadále vyžadovat úplné servery Active Directory nasazené v Microsoft Azure.

Z hlediska ověřování by řadiče domény Active Directory hostované ve službě Azure Virtual Machines obvykle představovaly rozšíření místní Active Directory. Pokud chcete zajistit dostatečnou odolnost, měli byste umístit virtuální počítače Azure hostující řadiče domény do stejné skupiny dostupnosti. Když shromáždíte řadiče domény se servery SAP ve stejné virtuální síti Azure, zlepšíte výkon lokalizací ověřovacího provozu.

Hostování scénářů úloh SAP v Azure může také vytvářet požadavky na integraci identit a jednotné přihlašování. K této situaci může dojít, když pomocí Microsoft Entra ID připojíte různé komponenty SAP a software jako službu (SaaS) nebo nabídky typu platforma jako služba (PaaS).

Microsoft Entra ID můžete využít k povolení jednotného přihlašování (SSO) k aplikacím S/4HANA Launchpad, SAP HANA a SAP NetWeaver (SAP HANA také podporuje zřizování uživatelů za běhu). Microsoft Entra ID je také možné integrovat se SAP Cloud Platform (SCP) a poskytovat jednotné přihlašování ke službám SCP, které je možné spustit také v Azure.

Řízení přístupu k prostředkům pomocí centralizovaného systému správy identit na všech úrovních:

  • Poskytnutí přístupu k prostředkům Azure prostřednictvím řízení přístupu na základě role (RBAC).
  • Udělte přístup k virtuálním počítačům Azure prostřednictvím protokolu LDAP, Microsoft Entra ID, Kerberos nebo jiného systému.
  • Podpora přístupu v rámci samotných aplikací prostřednictvím služeb, které SAP poskytuje nebo které používají OAuth 2.0 a Microsoft Entra ID.