SAP の ID とアクセス管理
この記事は、ID とアクセス管理ののための Azure ランディング ゾーンの設計領域
重要
SAP SE は、SAP Identity Management (IDM) 製品を廃止しており、すべてのお客様に Microsoft Entra ID ガバナンスに移行することをお勧めしています。
設計に関する考慮事項
チームに必要な Azure の管理および管理アクティビティを確認します。 SAP on Azure ランドスケープについて考えてみましょう。 組織内で可能な限り最高の責任配分を決定します。
Azure リソース管理の境界と、インフラストラクチャチームと SAP Basis チームの間の SAP Basis 管理境界を決定します。 SAP 非運用環境での管理者特権の Azure リソース管理アクセス権を SAP Basis チームに提供することを検討してください。 たとえば、仮想マシン共同作成者ロールを付与します。 また、運用環境で部分的な仮想マシン共同作成者などの部分的に管理者アクセス権を付与することもできます。 どちらのオプションも、職務の分離と運用効率のバランスを取る必要があります。
中央 IT チームと SAP Basis チームの場合は、Privileged Identity Management (PIM) と多要素認証を使用して、Azure portal と基になるインフラストラクチャから SAP Virtual Machine リソースにアクセスすることを検討してください。
SAP on Azure の一般的な管理および管理アクティビティを次に示します。
Azure リソース | Azure リソース プロバイダー | 活動 |
---|---|---|
仮想マシン | Microsoft.Compute/virtualMachines | 開始、停止、再起動、割り当て解除、デプロイ、再デプロイ、変更、サイズ変更、拡張機能、可用性セット、近接配置グループ |
仮想マシン | Microsoft.Compute/disks | ディスクの読み取りと書き込み |
ストレージ | Microsoft.Storage | ストレージ アカウントの読み取り、変更 (ブート診断など) |
ストレージ | Microsoft.NetApp | NetApp の容量プールとボリュームの読み取り、変更 |
ストレージ | Microsoft.NetApp | ANF スナップショット |
ストレージ | Microsoft.NetApp | ANF リージョン間レプリケーション |
ネットワーキング | Microsoft.Network/networkInterfaces | ネットワーク インターフェイスの読み取り、作成、変更 |
ネットワーキング | Microsoft.Network/loadBalancers | ロード バランサーの読み取り、作成、変更 |
ネットワーキング | Microsoft.Network/networkSecurityGroups | NSG の読み取り |
ネットワーキング | Microsoft.Network/azureFirewalls | ファイアウォールの読み取り |
Kerberosを使用した
NFS クライアント暗号化を使用した Azure NetApp Files と Azure Virtual Machines 間のセキュリティで保護されたネットワーク ファイル システム (NFS) 通信。 Azure NetApp Files では、Microsoft Entra 接続用の Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services がサポートされています。 NFS v4.1 に対する Kerberos のパフォーマンスの影響を検討してください。 SAPシステム間のリモート関数呼び出し (RFC) 接続を、セキュアネットワーク通信 (SNC) を使用して確保するために、保護品質 (QoP) などの適切な保護レベルを使用します。 SNC 保護を使用すると、パフォーマンスのオーバーヘッドが発生します。 同じ SAP システムのアプリケーション サーバー間の RFC 通信を保護するために、SNC ではなくネットワーク セキュリティを使用することをお勧めします。 次の Azure サービスは、SAP ターゲット システムへの SNC で保護された RFC 接続をサポートしています。Azure Monitor for SAP Solutions のプロバイダー、Azure Data Factory のセルフホステッド統合ランタイム、Power BI、Power Apps、Power Automate、Azure Analysis Services、Azure Logic Apps の場合はオンプレミス データ ゲートウェイです。 このような場合、シングル サインオン (SSO) を構成するには SNC が必要です。
SAP ユーザー ガバナンスとプロビジョニング
Azure への移行は、ID とアクセス管理のプロセスを確認して再調整する機会となる可能性があると考えてください。 SAP ランドスケープのプロセスと、エンタープライズ レベルのプロセスを確認します。
- SAP 休止状態のユーザー ロックアウト ポリシーを確認します。
- SAP ユーザー パスワード ポリシーを確認し、Microsoft Entra ID に合わせます。
- 退職者、部署移動者、新入社員 (LMS) の手順を確認し、Microsoft Entra ID に合わせます。 SAP Human Capital Management (HCM) を使用している場合、SAP HCM は LMS プロセスを推進する可能性があります。
SAP プリンシパルの伝達を使用して Microsoft ID を SAP ランドスケープに転送することを検討してください。
ユーザーとグループの SAP Analytics Cloud、SAP Identity Authentication、その他の SAP サービスのプロビジョニングとプロビジョニング解除を自動的に行うには、Microsoft Entra プロビジョニング サービスを検討してください。
SuccessFactors から Microsoft Entra ID にユーザーをプロビジョニングすることを検討してください。オプションとして、電子メール アドレスを SuccessFactors に書き戻すことが可能です。
設計に関する推奨事項
SAP Identity Management (IDM) ソリューション Microsoft Entra ID ガバナンスに移行します。
アクセスの種類に応じて、Windows AD、Microsoft Entra ID、または AD FS を使用して SSO を実装します。そのため、エンド ユーザーは、中央 ID プロバイダーによって認証が正常に行われると、ユーザー ID とパスワードなしで SAP アプリケーションに接続できます。
SAP Analytics Cloud 、SAP Business Technology Platform (BTP)、Business by design 、SAP Qualtrics 、SAML を使用した Microsoft Entra ID を使用した SAP C4Cなどの SAP SaaS アプリケーションに SSO を実装します。 - SAML を使用して SAP Fiori や SAP Web GUI
などの SAP NetWeaverベースの Web アプリケーション に SSO を実装します。 - SAP NetWeaver SSO またはパートナー ソリューションを使用して、SAP GUI に SSO を実装できます。
- SAP GUI および Web ブラウザー アクセスの SSO については、SNC – Kerberos/SPNEGO (シンプルで保護された GSSAPI ネゴシエーション メカニズム) を実装します。これは、構成とメンテナンスが容易なためです。 X.509 クライアント証明書に対する SSO については、SAP SSO ソリューションのコンポーネントである SAP Secure Login Server を検討してください。
- OAuth for SAP NetWeaver を使用して
SSO を実装し、サードパーティまたはカスタム アプリケーションが SAP NetWeaver OData サービスにアクセスできるようにします。 - SSO を SAP HANA に実装する
RISE でホストされている SAP システムの ID プロバイダーとして Microsoft Entra ID を実装します。 詳細については、「サービスと Microsoft Entra IDの統合」を参照してください。
SAP にアクセスするアプリケーションの場合は、プリンシパル伝達 使用して SSOを確立します。
SAP Cloud Identity Service、Identity Authentication (IAS) を必要とする SAP BTP サービスまたは SaaS ソリューションを使用している場合は、それらの SAP サービスにアクセスするために、SAP Cloud Identity Authentication サービスと Microsoft Entra ID の間に SSO を実装します。 この統合により、SAP IAS はプロキシ ID プロバイダーとして機能し、中央ユーザー ストアおよび ID プロバイダーとして Microsoft Entra ID に認証要求を転送できます。
SAP SuccessFactors を使用している場合は、Microsoft Entra ID の自動ユーザー プロビジョニングを使用します。 この統合により、SAP SuccessFactors に新しい従業員を追加すると、Microsoft Entra ID でユーザー アカウントを自動的に作成できます。 必要に応じて、Microsoft 365 または Microsoft Entra ID でサポートされている他の SaaS アプリケーションでユーザー アカウントを作成できます。 SAP SuccessFactors への電子メール アドレスの書き戻しを使用します。