Découvrir l’authentification, l’autorisation et le contrôle d’accès des machines virtuelles Azure
Dans les scénarios intersites, Active Directory local peut être étendu pour servir de mécanisme d’authentification via un contrôleur de domaine déployé par Azure (et utilisant potentiellement le DNS intégré). Il est important de faire la distinction entre les serveurs Active Directory traditionnels et Microsoft Entra ID, qui offre uniquement un sous-ensemble des fonctionnalités AD locales traditionnelles. Ce sous-ensemble comprend la gestion des identités et des accès, mais n’a pas le schéma ou les services AD complets que de nombreuses applications de tiers utilisent. Microsoft Entra ID est indispensable pour l’approvisionnement des ressources dans Azure et peut synchroniser les utilisateurs avec le répertoire AD local des clients. Cependant, les deux outils sont explicitement différents, et les clients vont probablement continuer à demander le déploiement de serveurs Active Directory complets dans Microsoft Azure.
Du point de vue de l’authentification, les contrôleurs de domaine Active Directory hébergés dans des machines virtuelles Azure constituent généralement une extension d’un annuaire Active Directory local. Pour assurer une résilience suffisante, vous devez placer les machines virtuelles Azure hébergeant des contrôleurs de domaine dans le même ensemble de disponibilité. En plaçant les contrôleurs de domaine avec les serveurs SAP dans le même réseau virtuel Azure, vous améliorez les performances en localisant le trafic d’authentification.
L’hébergement de scénarios de charge de travail SAP dans Azure peut également induire des exigences en matière d’intégration des identités et d’authentification unique. Cette situation peut survenir lorsque vous utilisez Microsoft Entra ID pour connecter différents composants SAP et des offres SAP SaaS (software as a service) ou PaaS (platform as a service).
Vous pouvez tirer parti de Microsoft Entra ID pour activer l’authentification unique (SSO) sur vos applications 4HANA Fiori Launchpad, SAP HANA et SAP NetWeaver (SAP HANA prend également en charge l’approvisionnement juste-à-temps des utilisateurs). Microsoft Entra ID peut également être intégré à SAP Cloud Platform (SCP) pour fournir une authentification unique à vos services SCP, qui peuvent également être exécutés sur Azure.
Contrôlez l’accès aux ressources en utilisant le système centralisé de gestion des identités à tous les niveaux :
- Fournissez l’accès aux ressources Azure via le contrôle d’accès en fonction du rôle (RBAC).
- Accordez l’accès aux machines virtuelles Azure via LDAP, Microsoft Entra ID, Kerberos ou un autre système.
- Prenez en charge l’accès aux applications elles-mêmes via les services fournis par SAP ou qui utilisent OAuth 2.0 et Microsoft Entra ID.