Compartir a través de


Administración de identidades y acceso para SAP

Este artículo se basa en varias consideraciones y recomendaciones que se definen en el artículo Área de diseño de la zona de aterrizaje de Azure para la administración de identidades y de acceso. En este artículo se describen las recomendaciones de administración de identidades y acceso para implementar una plataforma SAP en Microsoft Azure. SAP es una plataforma crítica, por lo que debe incluir en el diseño instrucciones sobre las áreas de diseño de la zona de aterrizaje de Azure.

Consideraciones de diseño

  • Revise las actividades de administración y supervisión de Azure que deben llevar a cabo el equipo. Considere la infraestructura de SAP en Azure. Determine el mejor reparto posible de responsabilidades dentro de la organización.

  • Determine cuáles son los límites de administración de recursos de Azure y los límites de administración de SAP Basis entre los equipos de infraestructura y de SAP Basis. Considere la posibilidad de proporcionar al equipo de SAP Basis privilegios elevados de acceso a la administración de recursos de Azure en un entorno de SAP que no sea de producción. Por ejemplo, asigne a sus miembros un rol de colaborador de la máquina virtual. También puede concederles privilegios parcialmente elevados de acceso a la administración, como el rol de colaborador de la máquina virtual parcial en un entorno de producción. Ambas opciones ofrecen un buen equilibrio entre la separación de las obligaciones y la eficacia operativa.

  • En el caso de los equipos centrales de TI y SAP Basis, considere la posibilidad de usar Privileged Identity Management (PIM) y la autenticación multifactor para acceder a los recursos de máquina virtual de SAP desde Azure Portal y la infraestructura subyacente.

Estas son las actividades comunes para la administración y supervisión de SAP en Azure:

Recurso de Azure Proveedor de recursos de Azure Actividades
Máquinas virtuales Microsoft.Compute/virtualMachines Iniciar, detener, reiniciar, desasignar, implementar, volver a implementar, cambiar, cambiar el tamaño, extensiones, conjuntos de disponibilidad, grupos con ubicación por proximidad
Máquinas virtuales Microsoft.Compute/disks Leer y escribir en disco
Storage Microsoft.Storage Leer, cambiar en cuentas de almacenamiento (por ejemplo, diagnósticos de arranque)
Storage Microsoft.NetApp Leer, cambiar en volúmenes y grupos de capacidad de NetApp
Storage Microsoft.NetApp Instantáneas de ANF
Storage Microsoft.NetApp Replicación entre regiones de ANF
Redes Microsoft.Network/networkInterfaces Leer, crear y cambiar interfaces de red
Redes Microsoft.Network/loadBalancers Leer, crear y cambiar equilibradores de carga
Redes Microsoft.Network/networkSecurityGroups Leer grupos de seguridad de red
Redes Microsoft.Network/azureFirewalls Leer firewall
  • Si usa servicios de SAP Business Technology Platform (BTP), considere la posibilidad de usar la propagación de entidades de seguridad para reenviar una identidad desde la aplicación SAP BTP a su entorno de SAP mediante SAP Cloud Connector.

  • Considere la posibilidad de usar el servicio de aprovisionamiento de Microsoft Entra para aprovisionar y desaprovisionar automáticamente usuarios y grupos en SAP Analytics Cloud y SAP Identity Authentication.

  • Considere la posibilidad de que una migración a Azure sea una oportunidad para revisar y volver a alinear los procesos de administración de identidades y acceso. Revise los procesos en la infraestructura de SAP y los procesos en el nivel de empresa:

    • Revise las directivas de bloqueo de usuarios inactivos de SAP.
    • Revise la directiva de contraseña de usuario de SAP y alineela con Microsoft Entra ID.
    • Revise los procedimientos de incorporaciones, cambios y bajas y alineelos con Microsoft Entra ID. Si usa SAP Human Capital Management (HCM), es probable que este sistema sea el que controle estos procedimientos.
  • Considere la posibilidad de aprovisionar usuarios de SuccessFactors Employee Central en Microsoft Entra ID, con escritura diferida opcional de la dirección de correo electrónico en SuccessFactors.

  • Proteja la comunicación Network File System (NFS) entre Azure NetApp Files y Azure Virtual Machines con cifrado de cliente NFS mediante Kerberos. Azure NetApp Files admite Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services para las conexiones de Microsoft Entra. Considere el efecto en el rendimiento de Kerberos en NFS v4.1.

  • SAP Identity Management (IDM) se integra en Microsoft Entra ID mediante el aprovisionamiento de identidades en la nube de SAP como servicio proxy. Considere Microsoft Entra ID como origen de datos central para los usuarios que usan SAP IDM. Proteja la comunicación de Network File System (NFS) entre Azure NetApp Files y Azure Virtual Machines con cifrado de cliente NFS mediante Kerberos. Azure NetApp Files requiere una conexión de AD DS o Microsoft Entra Domain Services para el vale de Kerberos. Considere el efecto en el rendimiento de Kerberos en NFS v4.1.

  • Proteja las conexiones de Remote Function Call (RFC) entre sistemas SAP con comunicaciones de red seguras (SNC) mediante un nivel de protección adecuado, como la calidad de protección (QoP). La protección SNC genera una sobrecarga de rendimiento. Para proteger la comunicación RFC entre servidores de aplicaciones del mismo sistema SAP, SAP recomienda el uso de la seguridad de red en lugar de SNC. Los siguientes servicios de Azure admiten conexiones RFC protegidas por SNC a un sistema de destino de SAP: proveedores de Azure Monitor para soluciones de SAP, el entorno de ejecución de integración autohospedado en Azure Data Factory y la puerta de enlace de datos local en caso de Power BI, Power Apps, Power Automate, Azure Analysis Services y Azure Logic Apps. SNC es obligatorio para configurar el inicio de sesión único (SSO) en estos casos.

Recomendaciones de diseño

  • Implemente el SSO mediante Windows AD, Microsoft Entra ID o AD FS, según el tipo de acceso, para que los usuarios finales puedan conectarse a aplicaciones de SAP sin un identificador de usuario y una contraseña una vez que el proveedor de identidades central los autentique correctamente.

    • Implemente el SSO en aplicaciones SaaS de SAP, como SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics y SAP C4C con Microsoft Entra ID mediante SAML.
    • Implemente el SSO en aplicaciones web basadas en SAP NetWeaver, como SAP Fiori, SAP WebGUI mediante SAML.
    • Puede implementar el SSO en la GUI de SAP mediante el SSO de SAP NetWeaver o la solución de un asociado.
    • Para el SSO para la GUI de SAP y el acceso al explorador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociación GSSAPI simple y protegido) debido a su facilidad de configuración y mantenimiento. Para el SSO con certificados de cliente X.509, tenga en cuenta SAP Secure Login Server, que es un componente de la solución de SSO de SAP.
    • Implemente el SSO mediante OAuth para SAP NetWeaver para permitir que las aplicaciones personalizadas o de terceros accedan a los servicios OData de SAP NetWeaver.
    • Implementación del SSO en SAP HANA
  • Considere Microsoft Entra ID un proveedor de identidades para sistemas SAP hospedados en RISE. Para obtener más información, consulte Integración del servicio con Microsoft Entra ID.

  • En el caso de las aplicaciones que acceden a SAP, es posible que desee usar la propagación de entidades de seguridad para establecer el SSO.

  • Si usa servicios de SAP BTP o soluciones SaaS que requieren SAP Identity Authentication Service (IAS), considere la posibilidad de implementar el SSO entre SAP Cloud Identity Authentication Services y Microsoft Entra ID para acceder a esos servicios de SAP. Esta integración permite que SAP IAS actúe como proveedor de identidades de proxy y reenvíe las solicitudes de autenticación a Microsoft Entra ID, que actúa como almacén central de usuarios y proveedor de identidades.

  • Si usa SAP SuccessFactors, considere la posibilidad de usar el aprovisionamiento automatizado de usuarios de Microsoft Entra ID. Con esta integración, a medida que agrega nuevos empleados a SAP SuccessFactors, puede crear automáticamente sus cuentas de usuario en Microsoft Entra ID. De manera opcional, puede crear cuentas de usuario en Microsoft 365 u otras aplicaciones SaaS compatibles con Microsoft Entra ID. Use la reescritura de la dirección de correo electrónico en SAP SuccessFactors.