SAP の ID とアクセスの管理
この記事は、ID およびアクセス管理のための Azure ランディング ゾーンの設計領域に関する記事で定義されている、いくつかの考慮事項とレコメンデーションに基づいています。 この記事では、Microsoft Azure に SAP プラットフォームをデプロイするための ID とアクセス管理に関するレコメンデーションについて説明します。 SAP はミッション クリティカルなプラットフォームであるため、Azure ランディング ゾーンの設計領域に関するガイダンスを設計に含める必要があります。
設計上の考慮事項
チームに必要な Azure 管理および管理アクティビティを確認します。 SAP on Azure ランドスケープを検討してください。 組織内での役割の最適な配分を決定します。
インフラストラクチャ チームと SAP Basis チーム間で、Azure 管理境界と SAP Basis 管理境界を決定します。 SAP の非運用環境で、管理者特権での Azure リソース管理アクセスを SAP Basis チームに提供することを検討してください。 たとえば、 仮想マシンの共同作成者 ロールを付与します。 また、運用環境における部分的な仮想マシン共同作成者のように、部分的に昇格した管理アクセス権を与えることもできます。 どちらのオプションでも、職務の分離と運用効率のバランスをとることができます。
中央 IT チームと SAP Basis チームの場合は、Privileged Identity Management (PIM) と多要素認証を使用して、Azure portal と基になるインフラストラクチャから SAP Virtual Machine リソースにアクセスすることを検討してください。
SAP on Azure の管理に関連する一般的な Azure 管理アクティビティを次に示します:
Azure リソース | Azure リソース プロバイダー | Activities |
---|---|---|
仮想マシン | Microsoft.Compute/virtualMachines | 開始、停止、再起動、割り当て解除、デプロイ、再デプロイ、変更、サイズ変更、拡張、可用性セット、近接配置グループ |
仮想マシン | Microsoft.Compute/disks | ディスクの読み取りと書き込み |
ストレージ | Microsoft.Storage | ストレージ アカウントの読み取り、変更 (ブート診断など) |
ストレージ | Microsoft.NetApp | NetApp の容量プールとボリュームの読み取り、変更 |
ストレージ | Microsoft.NetApp | ANF スナップショット |
ストレージ | Microsoft.NetApp | ANF リージョン間レプリケーション |
ネットワーク | Microsoft.Network/networkInterfaces | ネットワーク インターフェイスの読み取り、作成、変更 |
ネットワーク | Microsoft.Network/loadBalancers | ロードバランサーの読み取り、作成、変更 |
ネットワーク | Microsoft.Network/networkSecurityGroups | NSG の読み取り |
ネットワーク | Microsoft.Network/azureFirewalls | ファイアウォールの読み取り |
SAP Business Technology Platform (BTP) サービスを使用している場合は、プリンシパル伝達を使用して、SAP Cloud Connector を使用して SAP BTP アプリケーションから SAP ランドスケープに ID を転送することを検討してください。
ユーザーとグループを SAP Analytics Cloud と SAP Identity Authentication に自動的にプロビジョニングおよびプロビジョニング解除するには、Microsoft Entra プロビジョニング サービスを検討してください。
ID およびアクセス管理プロセスを確認して再調整するには、Azure への移行が 1 つの機会になりえるということを考慮してください。 SAP ランドスケープのプロセスと、エンタープライズレベルのプロセスをレビューします。
- SAP 非アクティブ ユーザー ロックアウト ポリシーをレビューします。
- SAP ユーザーのパスワード ポリシーを確認し、Microsoft Entra ID と整合させます。
- Leaver、Mover、Starter (LMS) の手順を確認し、それらを Microsoft Entra ID と整合させます。 SAP の人材管理 (HCM) を使用している場合は、SAP HCM が LMS プロセスを駆動している可能性があります。
SuccessFactors Employee Central から Microsoft Entra ID へのユーザーのプロビジョニングを検討します。必要に応じて、メール アドレスを SuccessFactors に書き戻します。
Kerberos を使用した NFS クライアント暗号化で、Azure NetApp Files と Azure Virtual Machines 間のセキュリティで保護された Network File System (NFS) 通信。 Azure NetApp Files は、Microsoft Entra 接続用に Azure Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services をサポートしています。 NFS v4.1 での Kerberos のパフォーマンスへの影響を検討します。
SAP Identity Management (IDM) は、プロキシ サービスとしての SAP クラウド ID プロビジョニングを使用して Microsoft Entra ID と統合されます。 SAP IDM を使うユーザー向けの中央のデータ ソースとして Microsoft Entra ID を検討してください。 Kerberos を使用した NFS クライアント暗号化で、Azure NetApp Files と Azure Virtual Machines 間で Network File System (NFS) 通信をセキュリティで保護します。 Azure NetApp Files で Kerberos チケットを発行するには、AD DS または Microsoft Entra Domain Services の接続が必要です。 NFS v4.1 での Kerberos のパフォーマンスへの影響を検討します。
保護の品質 (QoP) などの適切な保護レベルを使用して、セキュリティで保護されたネットワーク通信 (SNC) を使用した SAP システム間のリモート関数呼び出し (RFC) 接続をセキュリティで保護します。 SNC の保護によって、パフォーマンスのオーバーヘッドが発生します。 同じ SAP システムのアプリケーション サーバー間での RFC 通信を保護するために、SAP では SNC ではなくネットワーク セキュリティを使用することをお勧めします。 次の Azure サービスは、SAP ターゲット システムへの SNC で保護された RFC 接続をサポートしています: Azure Monitor for SAP Solutions のプロバイダー、Azure Data Factory のセルフホステッド統合ランタイム、および Power BI、Power Apps、Power Automate、Azure Analysis Services の場合のオンプレミス データ ゲートウェイ、および Azure Logic Apps。 このような場合、シングル サインオン (SSO) を構成するには SNC が必要です。
設計の推奨事項
アクセスの種類に応じて Windows AD、Microsoft Entra ID、または AD FS を使って SSO を実装し、中央 ID プロバイダーが正常に認証した後にエンド ユーザーがユーザー ID とパスワードなしで SAP アプリケーションに接続できるようにします。
- Microsoft Entra ID で SAML を使って SAP SaaS アプリケーション (SAP Analytics Cloud、SAP Cloud Platform、Business by design、SAP Qualtrics、SAP C4C など) に SSO を実装します。
- SAML を使用して、SAP NetWeaver ベースの Web アプリケーション (SAP Fiori、SAP WebGUI など) に SSO を実装します。
- SAP NetWeaver SSO またはパートナー ソリューションを使用して、SAP GUI に SSO を実装できます。
- SAP GUI と Web ブラウザー アクセスの SSO の場合、構成とメンテナンスが容易なため、SNC – Kerberos/SPNEGO (シンプルで保護された GSSAPI ネゴシエーション メカニズム) を実装します。 X.509 クライアント証明書を使った SSO の場合、SAP SSO ソリューションのコンポーネントである SAP Secure Login Server を検討してください。
- SAP NetWeaver の OAuth を使って SSO を実装し、サードパーティまたはカスタム アプリケーションが SAP NetWeaver OData サービスにアクセスできるようにします。
- SAP HANA に SSO を実装する
RISE でホストされている SAP システムについては、ID プロバイダーとして Microsoft Entra ID を検討してください。 詳細については、Microsoft Entra ID とのサービスの統合に関するページを参照してください。
SAP にアクセスするアプリケーションの場合は、プリンシパル伝達を使用して SSO を確立できます。
SAP ID 認証サービス (IAS) を必要とする SAP BTP サービスまたは SaaS ソリューションを使用している場合、それらの SAP サービスにアクセスするために、SAP Cloud Identity Authentication Services と Microsoft Entra ID の間に SSO を実装することを検討してください。 この統合により、SAP IAS はプロキシ ID プロバイダーとして機能し、中央のユーザー ストアおよび ID プロバイダーとして Microsoft Entra ID に認証要求を転送できます。
SAP SuccessFactors を使っている場合は、Microsoft Entra ID 自動ユーザー プロビジョニングの使用を検討してください。 この統合により、新しい従業員を SAP SuccessFactors に追加するときに、そのユーザーアカウントを Microsoft Entra ID に自動的に作成できます。 必要に応じて、Microsoft 365 または Microsoft Entra ID でサポートされているその他の SaaS アプリケーションでユーザー アカウントを作成できます。 SAP SuccessFactors に電子メール アドレスの書き戻しを使用します。