Esplorare l'autenticazione, l'autorizzazione e il controllo di accesso delle macchine virtuali di Azure
Negli scenari cross-premise, Active Directory dell'ambiente locale può essere esteso per fungere da meccanismo di autenticazione tramite un controller di dominio distribuito da Azure (e potenzialmente usando il DNS integrato). È importante distinguere tra i server di Active Directory tradizionali e Microsoft Azure Entra ID che fornisce solo un subset delle funzionalità di Active Directory locale tradizionali. Questo subset include la gestione delle identità e degli accessi, ma non i servizi o lo schema AD completo usati da numerose applicazioni di terze parti. Anche se Microsoft Entra ID è un requisito per il provisioning delle risorse in Azure e consente di sincronizzare gli utenti con AD locale dei clienti, si tratta di servizi esplicitamente diversi ed è probabile che i clienti continuino a richiedere server Active Directory completi distribuiti in Microsoft Azure.
Dal punto di vista dell'autenticazione, i controller di dominio Active Directory ospitati nelle macchine virtuali di Azure costituiscono in genere un'estensione di un servizio Active Directory locale. Per garantire una resilienza sufficiente, è necessario inserire macchine virtuali di Azure che ospitano controller di dominio nello stesso set di disponibilità. Grazie alla collocazione dei controller di dominio e i server SAP all'interno della stessa rete virtuale di Azure, è possibile migliorare le prestazioni localizzando il traffico di autenticazione.
Per scenari di carico di lavoro SAP ospitati in Azure possono anche essere necessari l'integrazione delle identità e il Single Sign-On. Questa situazione può verificarsi quando si usa Microsoft Entra ID per connettere diversi componenti SAP e offerte SAP di tipo SaaS (Software-as-a-Service) o PaaS (Platform-as-a-Service).
È possibile sfruttare i vantaggi di Microsoft Entra ID per abilitare l'accesso Single-Sign-On (SSO) a S/4HANA Fiori Launchpad, a SAP HANA e alle applicazioni basate su SAP NetWeaver (SAP HANA supporta anche il provisioning utente just-in-time). Microsoft Entra ID può anche essere integrato con SAP Cloud Platform (SCP) per fornire l'accesso Single Sign-On ai servizi SCP, che possono essere eseguiti anche in Azure.
Controllare l'accesso alle risorse usando un sistema di gestione delle identità centralizzato a tutti i livelli:
- Fornire l'accesso alle risorse di Azure tramite il controllo degli accessi in base al ruolo.
- Concedere l'accesso alle macchine virtuali di Azure tramite LDAP, Microsoft Entra ID, Kerberos o un altro sistema.
- Supportare l'accesso dall'interno delle app stesse tramite i servizi offerti da SAP oppure usare OAuth 2.0 e Microsoft Entra ID.