Erkunden der Authentifizierung, Autorisierung und Zugriffssteuerung von virtuellen Azure-Computern (VMs)
In Szenarios mit verschiedenen Standorten kann eine lokale Active Directory-Instanz so erweitert werden, dass sie als Authentifizierungsmechanismus über einen in Azure bereitgestellten Domänencontroller fungiert. (Es kann auch das integrierte DNS verwendet werden.) Es ist wichtig, zwischen traditionellen Active Directory-Servern und Microsoft Entra ID, das nur eine Teilmenge der traditionellen lokalen AD-Funktionen bietet, zu unterscheiden. Diese Teilmenge beinhaltet die Identitäts- und Zugriffsverwaltung, umfasst jedoch nicht das vollständige AD-Schema bzw. die Dienste, die viele Drittanbieteranwendungen nutzen. Microsoft Entra ID ist zwar eine Voraussetzung für das Bereitstellen von Ressourcen in Azure, und Benutzer*innen können mit lokalen AD-Instanzen von Kund*innen synchronisiert werden, die beiden Optionen unterscheiden sich jedoch explizit, und Kund*innen benötigen wahrscheinlich weiterhin alle Active Directory-Server, die in Microsoft Azure bereitgestellt wurden.
Vom Standpunkt der Authentifizierung aus betrachtet, würden die Active Directory-Domänencontroller, die in Azure-VMs gehostet werden, normalerweise eine Erweiterung eines lokalen Active Directory darstellen. Um genügend Resilienz bereitzustellen, sollten Sie Azure-VMs, die Domänencontroller hosten, in dieselbe Verfügbarkeitsgruppe aufnehmen. Indem Domänencontroller und SAP-Server sich am selben Standort innerhalb des virtuellen Azure-Netzwerks befinden, können Sie die Leistung steigern, indem Sie den Authentifizierungsdatenverkehr lokalisieren.
Durch das Hosten von SAP-Workloadszenarien in Azure können auch Anforderungen an Identitätsintegration und einmaliges Anmelden entstehen. Diese Situation kann auftreten, wenn Sie Microsoft Entra ID verwenden, um verschiedene SAP-Komponenten und SAP Software-as-a-Service (SaaS) oder Platform-as-a-Service (PaaS) Angebote zu verbinden.
Mithilfe von Microsoft Entra ID können Sie das einmalige Anmelden (Single Sign-On, SSO) für Ihre S/4HANA Fiori Launchpad-, SAP HANA- und SAP NetWeaver-basierten Anwendungen aktivieren (SAP HANA unterstützt auch die Just-In-Time-Benutzerbereitstellung). Microsoft Entra ID kann auch in die SAP Cloud Platform (SCP) integriert werden, um einmaliges Anmelden (SSO) für Ihre SCP-Dienste bereitzustellen, die ebenfalls in Azure ausgeführt werden können.
Steuern Sie den Zugriff auf Ressourcen, indem Sie ein zentrales Identitätsverwaltungssystem auf allen Ebenen verwenden:
- Gewähren Sie Zugriff auf Azure-Ressourcen über rollenbasierte Zugriffssteuerung.
- Gewähren Sie den Zugriff auf Azure-VMs über LDAP, Microsoft Entra ID, Kerberos oder ein anderes System.
- Unterstützung Sie den Zugriff innerhalb der Apps selbst durch die von SAP bereitgestellten Dienste oder durch die Verwendung von OAuth 2.0 und Microsoft Entra ID.