Condividi tramite


Gestione delle identità e degli accessi per SAP

Questo articolo si basa su diverse considerazioni e raccomandazioni definite nell'articolo sull'area di progettazione dell'area di destinazione di Azure per la gestione delle identità e degli accessi. Questo articolo descrive le raccomandazioni relative all'identità e alla gestione degli accessi per la distribuzione di una piattaforma SAP in Microsoft Azure. SAP è una piattaforma cruciale, quindi è consigliabile includere le linee guida per l'area di progettazione della zona di destinazione di Azure nella progettazione.

Importante

SAP SE ha tramonto il prodotto SAP Identity Management (IDM) e consiglia a tutti i clienti di eseguire la migrazione a Microsoft Entra ID Governance.

Considerazioni sulla progettazione

  • Esaminare le attività di amministrazione e gestione di Azure necessarie per il team. Considerare il panorama SAP su Azure. Determinare la migliore distribuzione possibile delle responsabilità all'interno dell'organizzazione.

  • Determinare i limiti di amministrazione delle risorse di Azure rispetto ai limiti di amministrazione della base SAP tra l'infrastruttura e i team SAP Basis. Valuta di fornire al team SAP Basis l'accesso con privilegi elevati di amministrazione delle risorse di Azure in un ambiente SAP di non produzione. Ad esempio, assegnare loro un ruolo di Collaboratore macchina virtuale . È anche possibile concedere loro un accesso amministrativo parzialmente elevato, ad esempio come collaboratore parziale per macchine virtuali in un ambiente di produzione. Entrambe le opzioni consentono di ottenere un buon equilibrio tra la separazione dei compiti e l'efficienza operativa.

  • Per i team IT centrali e SAP Basis, è consigliabile usare Privileged Identity Management (PIM) e l'autenticazione a più fattori per accedere alle risorse delle macchine virtuali SAP dal portale di Azure e dall'infrastruttura sottostante.

Ecco le attività comuni di amministrazione e gestione di SAP in Azure:

Risorsa di Azure Provider di risorse di Azure Attività
Macchine virtuali Microsoft.Compute/virtualMachines Avviare, arrestare, riavviare, deallocare, distribuire, ridistribuire, modificare, ridimensionare, estensioni, set di disponibilità, gruppi di posizionamento di prossimità
Macchine virtuali Microsoft.Compute/disks Leggere e scrivere su disco
Immagazzinamento Microsoft.Storage Leggere e modificare gli account di archiviazione (ad esempio, la diagnostica di avvio)
Immagazzinamento Microsoft.NetApp Leggere e modificare i pool di capacità e i volumi NetApp
Immagazzinamento Microsoft.NetApp Instantanee ANF
Immagazzinamento Microsoft.NetApp Replica tra più aree ANF
Rete Microsoft.Network/networkInterfaces Leggere, creare e modificare le interfacce di rete
Networking Microsoft.Network/loadBalancers Leggere, creare e modificare i bilanciatori di carico
Rete Microsoft.Network/networkSecurityGroups Leggi il gruppo di sicurezza di rete (NSG)
Rete Microsoft.Network/azureFirewalls Leggere il firewall
  • Comunicazione NFS (Secure Network File System) tra Azure NetApp Files e macchine virtuali di Azure con crittografia client NFS tramite Kerberos. Azure NetApp Files supporta Active Directory Domain Services (AD DS) e Microsoft Entra Domain Services per le connessioni Microsoft Entra. Considerare l'effetto delle prestazioni di Kerberos in NFS v4.1.

  • Connessioni RFC (Secure Remote Function Call) tra sistemi SAP con comunicazioni di rete sicure (SNC) usando livelli di protezione appropriati, ad esempio la qualità della protezione (QoP). La protezione SNC genera un sovraccarico delle prestazioni. Per proteggere la comunicazione RFC tra server applicazioni dello stesso sistema SAP, SAP consiglia di usare la sicurezza di rete anziché SNC. I seguenti servizi di Azure supportano connessioni RFC protette da SNC a un sistema di destinazione SAP: Azure Monitor per SAP Solutions, il runtime di integrazione self-hosted in Azure Data Factory e il gateway dati locale nel caso di Power BI, Power Apps, Power Automate, Azure Analysis Services e Azure Logic Apps. SNC deve configurare l'accesso Single Sign-On (SSO) in questi casi.

Governance degli utenti SAP e fornitura

  • Si consideri che una migrazione ad Azure potrebbe essere un'opportunità per esaminare e riallineare i processi di gestione delle identità e degli accessi. Esaminare i processi nel panorama applicativo SAP e i processi a livello aziendale:

    • Esaminare le politiche di blocco degli utenti inattivi di SAP.
    • Esaminare i criteri delle password utente SAP e allinearli con Microsoft Entra ID.
    • Esaminare le procedure di uscita, trasferimenti e nuovi assunti (LMS) e allinearle con Microsoft Entra ID. Se si usa SAP Human Capital Management (HCM), SAP HCM probabilmente guida il processo LMS.
  • Considera l'uso di propagazione principale di SAP per inoltrare un'identità Microsoft al tuo ambiente SAP.

  • Considerare il servizio di provisioning di Microsoft Entra per effettuare automaticamente il provisioning e il deprovisioning di utenti e gruppi verso SAP Analytics Cloud, SAP Identity Authenticatione altri servizi SAP.

  • Considerare il provisioning degli utenti da SuccessFactors in Microsoft Entra ID, con scrittura facoltativa dell'indirizzo di posta elettronica in SuccessFactors.

Consigli per la progettazione

  • Migrare la soluzione SAP Identity Management (IDM) a Microsoft Entra ID Governance.

  • Implementare l'accesso SSO usando Windows AD, Microsoft Entra ID o AD FS, a seconda del tipo di accesso, in modo che gli utenti finali possano connettersi alle applicazioni SAP senza un ID utente e una password dopo che il provider di identità centrale li autentica correttamente.

  • Implementare Microsoft Entra ID come provider di identità per i sistemi SAP ospitati in RISE. Per altre informazioni, vedere Integrazione del servizio con Microsoft Entra ID.

  • Per le applicazioni che accedono a SAP, usare la propagazione del principale per stabilire SSO.

  • Se si utilizzano servizi SAP BTP o soluzioni SaaS che richiedono SAP Cloud Identity Service o Identity Authentication (IAS), implementare SSO tra SAP Cloud Identity Authentication Services e Microsoft Entra ID per accedere a tali servizi SAP. Questa integrazione consente a SAP IAS di agire come provider di identità proxy e di inoltrare le richieste di autenticazione a Microsoft Entra ID come archivio utente centrale e fornitore di identità.

  • Se stai utilizzando SAP SuccessFactors, usa il provisioning automatizzato degli utenti di Microsoft Entra ID . Con questa integrazione, man mano che si aggiungono nuovi dipendenti a SAP SuccessFactors, è possibile creare automaticamente gli account utente in Microsoft Entra ID. Facoltativamente, è possibile creare account utente in Microsoft 365 o in altre applicazioni SaaS supportate da Microsoft Entra ID. Usare il writeback dell'indirizzo di posta elettronica in SAP SuccessFactors.