Gestion des identités et des accès pour SAP
Cet article s’appuie sur des considérations et des recommandations définies dans l’article relatif Zone de conception des zones d’atterrissage Azure pour la gestion des identités et des accès. Cet article décrit les recommandations de gestion des identités et des accès pour le déploiement d’une plateforme SAP sur Microsoft Azure. SAP est une plateforme stratégique. Vous devez donc inclure les instructions relatives à la zone de conception des zones d’atterrissage Azure dans votre conception.
Important
SAP SE a mis fin au produit SAP Identity Management (IDM) et recommande à tous ses clients de migrer vers Microsoft Entra ID Governance.
Considérations relatives à la conception
Passez en revue les activités d’administration et de gestion Azure requises pour votre équipe. Tenez compte de votre environnement SAP sur Azure. Déterminez la meilleure répartition possible des responsabilités au sein de votre organisation.
Déterminez les limites d’administration des ressources Azure par rapport aux limites d’administration SAP Basis entre l’infrastructure et les équipes SAP Basis. Envisagez de fournir à l’équipe SAP Basis un accès élevé à l’administration des ressources Azure dans un environnement sap hors production. Attribuez-leur par exemple un rôle de Contributeur de machine virtuelle . Vous pouvez également lui accorder un accès d’administration partiellement élevé, tel que le contributeur de machines virtuelles partielles dans un environnement de production. Les deux options permettent d’obtenir un bon équilibre entre la séparation des tâches et l’efficacité opérationnelle.
Pour les équipes informatiques centrales et SAP Basis, envisagez d’utiliser Privileged Identity Management (PIM) et l’authentification multifacteur pour accéder aux ressources de machine virtuelle SAP à partir du portail Azure et de l’infrastructure sous-jacente.
Voici les activités courantes d’administration et de gestion de SAP sur Azure :
| Ressource Azure | Fournisseur de ressources Azure | Activités |
|---|---|---|
| Machines virtuelles | Microsoft.Compute/virtualMachines | Démarrer, arrêter, redémarrer, désallouer, déployer, redéployer, modifier, redimensionner, extensions, groupes de disponibilité, groupes de placement de proximité |
| Machines virtuelles | Ordinateur/disques Microsoft | Lecture et écriture sur le disque |
| Stockage | Microsoft.Storage | Lecture, modification sur les comptes de stockage (par exemple, diagnostic de démarrage) |
| Stockage | Microsoft.NetApp | Lecture, modification sur les pools de capacité et volumes NetApp |
| Stockage | Microsoft.NetApp | Captures instantanées ANF |
| Stockage | Microsoft.NetApp | Réplication entre régions ANF |
| Réseautage | Microsoft.Network/networkInterfaces | Lire, créer et modifier des interfaces réseau |
| Réseautage | Microsoft.Network/loadBalancers | Lire, créer et modifier des équilibreurs de charge |
| Réseautage | Microsoft.Network/networkSecurityGroups | Lire le groupe de sécurité réseau |
| Réseautage | Microsoft.Network/azureFirewalls | Lire le pare-feu |
Communication NFS (Secure Network File System) entre Azure NetApp Files et les machines virtuelles Azure avec chiffrement client NFS à l’aide de Kerberos. Azure NetApp Files prend en charge les services de domaine Active Directory (AD DS) et Les services de domaine Microsoft Entra pour les connexions Microsoft Entra. Considérez l’effet de Kerberos sur les performances de NFS v4.1.
Établissez des connexions RFC (Remote Function Call sécurisées) entre les systèmes SAP en utilisant des communications réseau sécurisées (SNC) avec des niveaux de protection appropriés, tels que la qualité de protection (QoP). La protection SNC génère une surcharge de performance. Pour protéger la communication RFC entre les serveurs d’applications du même système SAP, SAP recommande d’utiliser la sécurité réseau au lieu de SNC. Les services Azure suivants prennent en charge les connexions RFC protégées par SNC à un système cible SAP : fournisseurs d’Azure Monitor pour SAP Solutions, runtime d’intégration auto-hébergé dans Azure Data Factory et passerelle de données locale en cas de Power BI, Power Apps, Power Automate, Azure Analysis Services et Azure Logic Apps. SNC est nécessaire pour configurer l’authentification unique (SSO) dans ces cas.
Gouvernance et approvisionnement des utilisateurs SAP
Considérez qu’une migration vers Azure peut être l’occasion de passer en revue et de réaligner les processus de gestion des identités et des accès. Passez en revue les processus dans votre paysage SAP et les processus au niveau de votre entreprise :
- Passez en revue les politiques de verrouillage des utilisateurs dormants SAP.
- Passez en revue la stratégie de mot de passe utilisateur SAP et alignez-la avec l’ID Microsoft Entra.
- Passez en revue les procédures de départ, de déplacement et de démarrage (LMS) et alignez-les avec l’ID Microsoft Entra. Si vous utilisez SAP Human Capital Management (HCM), SAP HCM pilote probablement le processus LMS.
Envisagez d'utiliser la propagation des principaux SAP pour transmettre une identité Microsoft à votre paysage SAP.
Envisagez le service d’approvisionnement Microsoft Entra pour approvisionner et déprovisionner automatiquement des utilisateurs et des groupes pour SAP Analytics Cloud, SAP Identity Authenticationet d’autres services SAP.
Envisagez d’approvisionner des utilisateurs de SuccessFactors dans Microsoft Entra ID, avec écriture différée facultative de l’adresse e-mail dans SuccessFactors.
Recommandations en matière de conception
Migrer votre solution SAP Identity Management (IDM) vers Microsoft Entra ID Governance.
Implémentez l’authentification unique à l’aide de Windows AD, de Microsoft Entra ID ou d’AD FS, en fonction du type d’accès, afin que les utilisateurs finaux puissent se connecter à des applications SAP sans ID d’utilisateur et mot de passe une fois que le fournisseur d’identité central les authentifie correctement.
- Implémentez l'authentification unique dans des applications SAP SaaS telles que SAP Analytics Cloud, SAP Business Technology Platform (BTP), SAP Business ByDesign, SAP Qualtrics et SAP C4C avec Microsoft Entra ID à l'aide de SAML.
- Implémentez l’authentification unique pour les applications web basées sur SAP NetWeavertelles que SAP Fiori et SAP Web GUI en utilisant SAML.
- Vous pouvez implémenter SSO dans SAP GUI à l'aide de SAP NetWeaver SSO ou d'une solution partenaire.
- Pour l’authentification unique pour l’interface graphique SAP et l’accès au navigateur web, implémentez SNC – Kerberos/SPNEGO (mécanisme de négociation GSSAPI simple et protégé) en raison de sa facilité de configuration et de maintenance. Pour l’authentification unique avec des certificats clients X.509, tenez compte du serveur de connexion sécurisée SAP, qui est un composant de la solution SAP SSO.
- Implémentez SSO à l’aide d’OAuth pour SAP NetWeaver afin de permettre l'accès des applications tierces ou personnalisées aux services OData de SAP NetWeaver.
- Implémenter l’authentification unique sur SAP HANA
Implémentez l’ID Microsoft Entra en tant que fournisseur d’identité pour les systèmes SAP hébergés sur RISE. Pour plus d’informations, consultez Intégration du service avec l’ID Microsoft Entra.
Pour les applications qui accèdent à SAP, utilisez la propagation du principal pour établir l’authentification unique.
Si vous utilisez des services SAP BTP ou des solutions SaaS qui nécessitent SAP Cloud Identity Service, Identity Authentication (IAS), envisagez d’implémenter l’authentification unique entre SAP Cloud Identity Authentication Services et Microsoft Entra ID pour accéder à ces services SAP. Cette intégration permet à SAP IAS d’agir en tant que fournisseur d’identité proxy et transfère les demandes d’authentification à Microsoft Entra ID en tant que magasin d’utilisateurs central et fournisseur d’identité.
Si vous utilisez SAP SuccessFactors, utilisez l’approvisionnement automatique des utilisateurs Microsoft Entra ID. Avec cette intégration, lorsque vous ajoutez de nouveaux employés à SAP SuccessFactors, vous pouvez créer automatiquement leurs comptes d’utilisateur dans l’ID Microsoft Entra. Si vous le souhaitez, vous pouvez créer des comptes d’utilisateur dans Microsoft 365 ou d’autres applications SaaS prises en charge par l’ID Microsoft Entra. Utilisez l’écriture différée de l’adresse e-mail dans SAP SuccessFactors.