Administración de identidades y acceso para SAP
Este artículo se basa en varias consideraciones y recomendaciones que se definen en el artículo Área de diseño de la zona de aterrizaje de Azure para la administración de identidades y acceso. En este artículo se describen las recomendaciones de administración de identidades y acceso para implementar una plataforma SAP en Microsoft Azure. SAP es una plataforma esencial, por lo que debe incluir en el diseño instrucciones sobre las áreas de diseño de la zona de aterrizaje de Azure.
Importante
SAP SE ha decidido retirar el producto SAP Identity Management (IDM) y recomienda a todos sus clientes migrar a Gobierno de Microsoft Entra ID.
Consideraciones de diseño
Revise las actividades de administración y administración de Azure necesarias para el equipo. Tenga en cuenta su entorno de SAP en Azure. Determine la mejor distribución posible de responsabilidades dentro de su organización.
Determine los límites de administración de recursos de Azure frente a los límites de administración de SAP Basis entre la infraestructura y los equipos de SAP Basis. Considere la posibilidad de proporcionar al equipo de SAP Basis acceso de administración de recursos de Azure con privilegios elevados en un entorno que no sea de producción de SAP. Por ejemplo, asigne a sus miembros un rol de colaborador de la máquina virtual. También puede concederles privilegios parcialmente elevados de acceso a la administración con el rol de colaborador de la máquina virtual parcial en un entorno de producción. Ambas opciones logran un buen equilibrio entre la separación de tareas y la eficacia operativa.
En el caso de los equipos centrales de TI y SAP Basis, considere la posibilidad de usar Privileged Identity Management (PIM) y la autenticación multifactor para acceder a los recursos de la máquina virtual de SAP desde Azure Portal y la infraestructura subyacente.
Estas son las actividades comunes de administración y gestión de SAP en Azure.
| Recurso de Azure | Proveedor de recursos de Azure | Actividades |
|---|---|---|
| Máquinas virtuales | Microsoft.Compute/virtualMachines | Iniciar, detener, reiniciar, desasignar, implementar, volver a implementar, cambiar, cambiar el tamaño, extensiones, conjuntos de disponibilidad, grupos con ubicación por proximidad |
| Máquinas virtuales | Microsoft.Compute/disks | Lectura y escritura en disco |
| Almacenamiento | Microsoft.Storage | Leer y modificar cuentas de almacenamiento (por ejemplo, diagnóstico de inicio) |
| Almacenamiento | Microsoft.NetApp | Leer, cambiar en grupos y volúmenes de capacidad de NetApp |
| Almacenamiento | Microsoft.NetApp | Instantáneas de ANF |
| Almacenamiento | Microsoft.NetApp | Replicación entre regiones de ANF |
| Gestión de redes | Microsoft.Network/networkInterfaces | Leer, crear y cambiar interfaces de red |
| Gestión de redes | Microsoft.Network/loadBalancers | Leer, crear y cambiar equilibradores de carga |
| Gestión de redes | Microsoft.Network/networkSecurityGroups | Leer NSG |
| Gestión de redes | Microsoft.Network/azureFirewalls | Leer firewall |
Proteja la comunicación Network File System (NFS) entre Azure NetApp Files y Azure Virtual Machines con cifrado de cliente NFS mediante Kerberos. Azure NetApp Files admite Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services para las conexiones de Microsoft Entra. Considere el efecto de rendimiento de Kerberos en NFS v4.1.
Proteger las conexiones de llamadas a funciones remotas (RFC) entre sistemas SAP con comunicaciones de red seguras (SNC) mediante niveles de protección adecuados, como la calidad de protección (QoP). La protección SNC genera sobrecarga de rendimiento. Para proteger la comunicación RFC entre servidores de aplicaciones del mismo sistema SAP, SAP recomienda usar la seguridad de red en lugar de SNC. Los siguientes servicios de Azure admiten conexiones RFC protegidas por SNC a un sistema de destino de SAP: proveedores de Azure Monitor para soluciones de SAP, el entorno de ejecución de integración autohospedado en Azure Data Factory y la puerta de enlace de datos local en caso de Power BI, Power Apps, Power Automate, Azure Analysis Services y Azure Logic Apps. SNC es obligatorio para configurar el inicio de sesión único (SSO) en estos casos.
Gobernanza y aprovisionamiento de usuarios de SAP
Tenga en cuenta que una migración a Azure podría ser una oportunidad para revisar y realignar los procesos de administración de identidades y acceso. Revise los procesos en el entorno de SAP y los procesos en el nivel empresarial:
- Revise las directivas de bloqueo de usuarios inactivos de SAP.
- Revise la directiva de contraseña de usuario de SAP y alinee con microsoft Entra ID.
- Revise los procedimientos de salidas, traslados y nuevas incorporaciones (LMS) y los alinee con Microsoft Entra ID. Si usa SAP Human Capital Management (HCM), es probable que SAP HCM impulse el proceso de LMS.
Considere la posibilidad de usar la propagación de la entidad de seguridad de SAP para reenviar una identidad de Microsoft a su entorno de SAP.
Considere el servicio de aprovisionamiento de Microsoft Entra para aprovisionar y desaprovisionar automáticamente usuarios y grupos para SAP Analytics Cloud, SAP Identity Authenticationy más servicios de SAP.
Considere la posibilidad de aprovisionar usuarios de SuccessFactors en Microsoft Entra ID, con escritura diferida opcional de la dirección de correo electrónico en SuccessFactors.
Recomendaciones de diseño
Migrar la solución SAP Identity Management (IDM) a Microsoft Entra ID Governance.
Implemente SSO mediante Windows AD, Microsoft Entra ID o AD FS, en función del tipo de acceso, para que los usuarios finales puedan conectarse a aplicaciones SAP sin un identificador de usuario y una contraseña una vez que el proveedor de identidades central los autentique correctamente.
- Implemente SSO en aplicaciones SaaS de SAP como SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business by Design, SAP Qualtrics y SAP C4C con Microsoft Entra ID mediante SAML.
- Implemente SSO para aplicaciones web basadas en SAP NetWeaver, como SAP Fiori y SAP Web GUI mediante SAML.
- Puede implementar SSO en la GUI de SAP mediante SAP NetWeaver SSO o una solución de un socio.
- Para el inicio de sesión único para la GUI de SAP y el acceso al explorador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociación GSSAPI simple y protegido) debido a su facilidad de configuración y mantenimiento. Para el SSO con certificados de cliente X.509, considere usar SAP Secure Login Server, que es un componente de la solución de SSO de SAP.
- Implemente SSO mediante OAuth para SAP NetWeaver para permitir que las aplicaciones personalizadas o de terceros accedan a los servicios de SAP NetWeaver OData.
- Implementación del SSO en SAP HANA
Implemente Microsoft Entra ID como proveedor de identidades para los sistemas SAP hospedados en RISE. Para obtener más información, consulte Integración del servicio con Microsoft Entra ID.
En el caso de las aplicaciones que acceden a SAP, use la propagación de entidades de seguridad para establecer el SSO.
Si usa servicios de SAP BTP o soluciones SaaS que requieren SAP Cloud Identity Service, SAP Identity Authentication (IAS), implemente el SSO entre SAP Cloud Identity Authentication Services y Microsoft Entra ID para acceder a esos servicios de SAP. Esta integración permite que IAS de SAP actúe como proveedor de identidades de proxy y reenvíe las solicitudes de autenticación a Microsoft Entra ID como almacén de usuarios central y proveedor de identidades.
Si usa SAP SuccessFactors, use el aprovisionamiento automatizado de usuarios de Microsoft Entra ID. Con esta integración, a medida que agrega nuevos empleados a SAP SuccessFactors, puede crear automáticamente sus cuentas de usuario en Microsoft Entra ID. Opcionalmente, puede crear cuentas de usuario en Microsoft 365 u otras aplicaciones SaaS compatibles con el identificador de Entra de Microsoft. Use la reescritura diferida de la dirección de correo electrónico en SAP SuccessFactors.