Explorar la autenticación, la autorización y el control de acceso en las máquinas virtuales de Azure
En escenarios entre entornos, Active Directory desde el entorno local se puede extender para que sirva como mecanismo de autenticación mediante un controlador de dominio implementado de Azure (además del uso potencial del DNS integrado). Es importante distinguir entre los servidores de Active Directory tradicionales y Microsoft Entra ID, que proporciona solo un subconjunto de las características de AD locales tradicionales. Este subconjunto incluye la Administración de identidad y acceso, pero no tiene el esquema ni los servicios completos de AD que muchas aplicaciones de terceros utilizan. Aunque Microsoft Entra ID es un requisito para el aprovisionamiento de recursos en Azure y puede sincronizar usuarios con el entorno de AD local de los clientes, los dos son explícitamente diferentes y los clientes seguirán requiriendo servidores de Active Directory completos implementados en Microsoft Azure.
Desde el punto de vista de la autenticación, los controladores de dominio de Active Directory hospedados en Azure Virtual Machines normalmente constituyen una extensión de Active Directory local. Para proporcionar suficiente recuperación, debe colocar las máquinas virtuales Azure que hospedan controladores de dominio en el mismo conjunto de disponibilidad. Mediante la colocación de los controladores de dominio con servidores SAP dentro de la misma red virtual de Azure, se mejora el rendimiento al localizar el tráfico de autenticación.
El hospedaje de escenarios de carga de trabajo de SAP en Azure también puede crear requisitos de integración de identidades y de inicio de sesión único. Esta situación puede producirse al usar Microsoft Entra ID para conectar diferentes componentes y ofertas de software como servicio (SaaS) o plataforma como servicio (PaaS) de SAP.
Puede aprovechar las ventajas de Microsoft Entra ID para habilitar el inicio de sesión único (SSO) en las aplicaciones S/4HANA Fiori Launchpad, SAP HANA y SAP basadas en NetWeaver (SAP HANA también admite el aprovisionamiento de usuarios Just-in-Time). Microsoft Entra ID se puede integrar también con SAP Cloud Platform (SCP) para proporcionar inicio de sesión único a los servicios de SCP que también se pueden ejecutar en Azure.
Controle el acceso a los recursos mediante el uso de un sistema de administración de identidades centralizado en todos los niveles:
- Proporcione acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC).
- Conceda acceso a Azure Virtual Machines a través de LDAP, Microsoft Entra ID, Kerberos u otro sistema.
- Habilite el acceso dentro de las propias aplicaciones a través de los servicios que proporciona SAP o que usan OAuth 2.0 y Microsoft Entra ID.