Gestione delle identità e degli accessi per SAP
Questo articolo si basa su diverse considerazioni e raccomandazioni definite nell'articolo Area di progettazione della zona di destinazione di Azure per la gestione delle identità e degli accessi. Questo articolo descrive le raccomandazioni relative all'identità e alla gestione degli accessi per la distribuzione di una piattaforma SAP in Microsoft Azure. SAP è una piattaforma cruciale, quindi è consigliabile includere le linee guida per l'area di progettazione della zona di destinazione di Azure nella progettazione.
Considerazioni relative alla progettazione
Esaminare le attività di amministrazione e gestione di Azure necessarie per il team. Si consideri SAP nel panorama applicativo di Azure. Determinare la migliore distribuzione possibile delle responsabilità all'interno dell'organizzazione.
Determinare i limiti di amministrazione delle risorse di Azure rispetto ai limiti di amministrazione della base SAP tra l'infrastruttura e i team SAP Basis. Valutare la possibilità di concedere al team SAP Basis l'accesso con privilegi elevati per l'amministrazione delle risorse di Azure in un ambiente SAP non di produzione. Ad esempio, assegnare loro un ruolo di Collaboratore Macchina virtuale. È anche possibile concedere loro l'accesso di amministrazione parzialmente con privilegi elevati, ad esempio collaboratore parziale della macchina virtuale in un ambiente di produzione. Entrambe le opzioni consentono di ottenere un buon equilibrio tra la separazione dei compiti e l'efficienza operativa.
Per i team DI BASE IT e SAP centrali, è consigliabile usare Privileged Identity Management (PIM) e l'autenticazione a più fattori per accedere alle risorse delle macchine virtuali SAP dalla portale di Azure e dall'infrastruttura sottostante.
Ecco le attività comuni di amministrazione e gestione di SAP in Azure:
Risorsa di Azure | Provider di risorse di Azure | Attività |
---|---|---|
Macchine virtuali | Microsoft.Compute/virtualMachines | Avvio, arresto, riavvio, deallocazione, distribuzione, ridistribuzione, modifica, ridimensionamento, estensioni, set di disponibilità, gruppi di posizionamento di prossimità |
Macchine virtuali | Microsoft.Compute/disks | Lettura e scrittura su disco |
Storage | Microsoft.Storage | Leggere, modificare gli account di archiviazione (ad esempio, diagnostica di avvio) |
Storage | Microsoft.NetApp | Lettura, modifica dei pool di capacità e di volumi di NetApp |
Storage | Microsoft.NetApp | Snapshot di Azure NetApp Files |
Storage | Microsoft.NetApp | Replica tra più aree ANF |
Rete | Microsoft.Network/networkInterfaces | Leggere, creare e modificare le interfacce di rete |
Rete | Microsoft.Network/loadBalancers | Leggere, creare e modificare i servizi di bilanciamento del carico |
Rete | Microsoft.Network/networkSecurityGroups | Lettura del gruppo di sicurezza di rete |
Rete | Microsoft.Network/azureFirewalls | Lettura del firewall |
Se si usano servizi SAP Business Technology Platform (BTP), è consigliabile usare la propagazione principale per inoltrare un'identità dall'applicazione SAP BTP al panorama applicativo SAP usando SAP Cloud Connessione or.
Prendere in considerazione il servizio di provisioning Di Microsoft Entra per effettuare automaticamente il provisioning e il deprovisioning di utenti e gruppi in SAP Analytics Cloud e SAP Identity Authentication.
Si consideri che una migrazione ad Azure potrebbe essere un'opportunità per esaminare e riallineare i processi di gestione delle identità e degli accessi. Esaminare i processi nel panorama applicativo SAP e i processi a livello aziendale:
- Esaminare i criteri di blocco utente inattivo di SAP.
- Esaminare i criteri password utente SAP e allinearli con Microsoft Entra ID.
- Esaminare le procedure di uscita, mover e starter (LMS) e allinearle con Microsoft Entra ID. Se si usa SAP Human Capital Management (HCM), SAP HCM probabilmente guida il processo LMS.
Prendere in considerazione il provisioning degli utenti da SuccessFactors Employee Central in Microsoft Entra ID, con writeback facoltativo dell'indirizzo di posta elettronica in SuccessFactors.
Proteggere la comunicazione NFS (Network File System) tra Azure NetApp Files e Macchine virtuali di Azure con la crittografia client NFS tramite Kerberos. Azure NetApp Files supporta Dominio di Active Directory Services (AD DS) e Microsoft Entra Domain Services per le connessioni Microsoft Entra. Prendere in considerazione l'effetto sulle prestazioni di Kerberos in NFS v4.1.
SAP Identity Management (IDM) si integra con Microsoft Entra ID usando il provisioning delle identità cloud SAP come servizio proxy. Si consideri Microsoft Entra ID come origine dati centrale per gli utenti che usano SAP IDM. Proteggere la comunicazione NFS (Network File System) tra Azure NetApp Files e Azure Macchine virtuali con la crittografia client NFS usando Kerberos. Azure NetApp Files richiede la connessione ad Active Directory Domain Services o Microsoft Entra Domain Services per il ticket Kerberos. Prendere in considerazione l'effetto sulle prestazioni di Kerberos in NFS v4.1.
Connessioni RFC (Secure Remote Function Call) tra sistemi SAP con comunicazioni di rete sicure (SNC) usando livelli di protezione appropriati, ad esempio la qualità della protezione (QoP). La protezione SNC genera un sovraccarico delle prestazioni. Per proteggere la comunicazione RFC tra i server applicativi dello stesso sistema SAP, SAP consiglia di usare la sicurezza di rete anziché SNC. I servizi di Azure seguenti supportano connessioni RFC protette da SNC a un sistema di destinazione SAP: provider di Monitoraggio di Azure per soluzioni SAP, runtime di integrazione self-hosted in Azure Data Factory e gateway dati locale nel caso di Power BI, Power Apps, Power Automate, Azure Analysis Services e App per la logica di Azure. SNC è necessario per configurare l'accesso Single Sign-On (SSO) in questi casi.
Suggerimenti per la progettazione
Implementare l'accesso SSO usando Windows AD, Microsoft Entra ID o AD FS, a seconda del tipo di accesso, in modo che gli utenti finali possano connettersi alle applicazioni SAP senza un ID utente e una password dopo che il provider di identità centrale li autentica correttamente.
- Implementare l'accesso SSO alle applicazioni SaaS SAP come SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics e SAP C4C con Microsoft Entra ID con SAML.
- Implementare l'accesso SSO alle applicazioni Web basate su SAP NetWeaver come SAP Fiori e SAP Web GUI usando SAML.
- È possibile implementare l'accesso SSO a SAP GUI usando SAP NetWeaver SSO o una soluzione partner.
- Per l'accesso SSO per SAP GUI e Web browser, implementare SNC - Kerberos/SPNEGO (meccanismo di negoziazione GSSAPI semplice e protetto) grazie alla facilità di configurazione e manutenzione. Per l'accesso SSO con certificati client X.509, prendere in considerazione sap Secure Login Server, che è un componente della soluzione SAP SSO.
- Implementare l'accesso SSO usando OAuth per SAP NetWeaver per consentire alle applicazioni di terze parti o personalizzate di accedere ai servizi SAP NetWeaver OData.
- Implementare l'accesso SSO a SAP HANA
Si consideri Microsoft Entra ID un provider di identità per i sistemi SAP ospitati in istanze riservate edizione Standard. Per altre informazioni, vedere Integrazione del servizio con Microsoft Entra ID.
Per le applicazioni che accedono a SAP, è possibile usare la propagazione delle entità per stabilire l'accesso SSO.
Se si usano servizi SAP BTP o soluzioni SaaS che richiedono SAP Identity Authentication Service (IAS), prendere in considerazione l'implementazione dell'accesso SSO tra SAP Cloud Identity Authentication Services e Microsoft Entra ID per accedere a tali servizi SAP. Questa integrazione consente a SAP IAS di fungere da provider di identità proxy e inoltra le richieste di autenticazione all'ID Microsoft Entra come archivio utente centrale e provider di identità.
Se si usa SAP SuccessFactors, è consigliabile usare il provisioning utenti automatizzato di Microsoft Entra ID. Con questa integrazione, man mano che si aggiungono nuovi dipendenti a SAP SuccessFactors, è possibile creare automaticamente gli account utente in Microsoft Entra ID. Facoltativamente, è possibile creare account utente in Microsoft 365 o in altre applicazioni SaaS supportate da Microsoft Entra ID. Usare il writeback dell'indirizzo di posta elettronica in SAP SuccessFactors.