SAP RISE を使った Azure ID とセキュリティ サービス
この記事では、Azure ID およびセキュリティ サービスと SAP RISE ワークロードとの統合について詳しく説明します。 さらに、SAP RISE ランドスケープに対するいくつかの Azure 監視サービスの使用についても説明します。
SAP 用のシングル サインオン
多くの SAP 環境に対してシングル サインオン (SSO) が構成されます。 SAP ワークロードが ECS/RISE で実行されている場合、実装する手順はネイティブで実行される SAP システムと変わりません。 一般的な ECS/RISE マネージド ワークロードを Microsoft Entra ID ベースの SSO と統合する、次の手順が用意されています。
- チュートリアル: Microsoft Entra シングル サインオン (SSO) と SAP NetWeaver の統合
- チュートリアル: Microsoft Entra シングル サインオン (SSO) と SAP Fiori との統合
- チュートリアル: Microsoft Entra と SAP HANA の統合
SSO の方法 | ID プロバイダー | 一般的なユース ケース | 実装 |
---|---|---|---|
SAML/OAuth | Microsoft Entra ID | SAP Fiori、Web GUI、ポータル、HANA | お客様による構成 |
SNC | Microsoft Entra ID | SAP GUI | お客様による構成 |
SPNEGO | Active Directory (AD) | Web GUI、SAP Enterprise Portal | お客様と SAP による構成 |
SAP SSO Secure Login Client を使用する ECS/RISE マネージド SAP 環境の Windows ドメインの Active Directory (AD) に対する SSO の場合、エンド ユーザー デバイスに AD を統合する必要があります。 SAP RISE では、どの Windows システムにも顧客の Active Directory ドメインは統合されていません。 ドメイン セキュリティ トークンはクライアント デバイスで読み取られ、SAP システムと安全に交換されるため、AD/Kerberos を使った SSO にはドメイン統合は必要ありません。 AD ベースの SSO を統合したり、SAP SSO Secure Login Client 以外のサード パーティ製品を使用するために変更が必要な場合は、RISE マネージド システムで構成が必要になる場合があるため、SAP にお問い合わせください。
Copilot for Security の SAP RISE との使用
Copilot for Security は、セキュリティと IT のプロフェッショナルが、AI のスピードとスケールをもってサイバー脅威に対応し、シグナルを処理し、リスクの露呈を評価できるようにする生成 AI セキュリティ製品です。 この製品には独自のポータルと、Microsoft Defender XDR、Microsoft Sentinel、Intune の埋め込みエクスペリエンスがあります。
これは、Defender XDR と Sentinel がサポートする任意のデータ ソース (SAP RISE/ECS を含む) と一緒に使用できます。 スタンドアロン エクスペリエンスを次に示します。
これに加えて、Copilot for Security エクスペリエンスは、Defender XDRポータルに埋め込まれています。 AI によって生成された概要の横に、SAP のパスワード リセットなどの推奨事項と修復が追加設定なしで提供されます。 SAP 攻撃の自動中断の詳細については、こちらを参照してください。
MICROSOFT Sentinel と SAP RISE
SAP RISE 認定の SAP 向け Microsoft Sentinel ソリューションを使うと、不審なアクティビティを監視、検出し、対応できます。 Microsoft Sentinel は、Azure、他のクラウド、またはオンプレミス インフラストラクチャでホストされている SAP システムに対する高度なサイバー攻撃から重要なデータを保護します。 SAP BTP 向け Microsoft Sentinel ソリューションは、その対象範囲を SAP Business Technology Platform (BTP) に拡張します。
このソリューションでは、SAP RISE/ECS と SAP ビジネス ロジック レイヤー上のユーザー アクティビティを可視化し、Sentinel の組み込みコンテンツを適用できます。
- 1 つのコンソールを使用して、Azure やその他のクラウド上の SAP RISE/ECS 内の SAP インスタンス、SAP Azure ネイティブおよびオンプレミスの資産を含むすべてのエンタープライズ資産を監視する
- 脅威を検出して自動的に対応する。すぐに使用できる検出機能を使用し、特権エスカレーション、許可されていない変更、機密性の高いトランザクション、データの流出などの疑わしいアクティビティを検出する
- SAP アクティビティを他のシグナルと関連付ける。エンドポイント、Microsoft Entra データなどを相互に相関させることで、SAP の脅威をより正確に検出する
- ニーズに応じてカスタマイズする。機密性の高いトランザクションや他のビジネス リスクを監視するために独自の検出を構築する
- 組み込みのブックを使用してデータを視覚化する
SAP RISE/ECS の場合、Microsoft Sentinel ソリューションは顧客の Azure サブスクリプションにデプロイする必要があります。 Sentinel ソリューションのすべての部分は、SAP ではなく顧客が管理します。 SAP RISE/ECS が管理する SAP ランドスケープには、顧客の vnet からのプライベート ネットワークで接続して到達する必要があります。 通常、これは確立された vnet ピアリング経由か、このドキュメントで説明されている代替手段を介して接続されます。
このソリューションを可能にするには、承認された RFC ユーザーのみが必要で、SAP システムには何もインストールする必要はありません。 このソリューションに含まれるコンテナー ベースの SAP データ収集エージェント は、VM または AKS および任意の Kubernetes 環境にインストールできます。 コレクター エージェントは、SAP サービス ユーザーを使用して、標準の RFC 呼び出しを使用する RFC インターフェイスを介して SAP ランドスケープからアプリケーションのログ データを使用します。
- SAP RISE でサポートされている認証方法: SAP ユーザー名とパスワード、または X509/SNC 証明書
- 現在、SAP RISE/ECS 環境では RFC ベースの接続のみが可能です
重要
- SAP RISE/ECS 環境での Microsoft Sentinel の実行要件: SAP セキュリティ監査ログからのクライアント IP アドレス情報、DB テーブル ログ (プレビュー)、スプール出力ログの各ログ フィールドまたはソースに、SAP トランスポート変更要求をインポートする必要があります。 これらのログ ソースなしで、Sentinel の組み込みコンテンツ (検出、ブック、プレイブック) は、広範なカバレッジと相関関係を提供します。
- SAP インフラストラクチャとオペレーティング システムのログは、共同責任モデルのため、RISE 内の Sentinel では使用できません。
Sentinel の SOAR 機能を使用した自動応答
セキュリティ、オーケストレーション、自動化、対応機能 (SOAR) 用の事前構築済みのプレイブックを使うと、脅威に迅速に対応できます。 一般的な最初のシナリオは、Microsoft Teams の介入オプションを使用した SAP ユーザーのブロックです。 この統合パターンは、攻撃対象領域の削減に関して、SAP Business Technology Platform (BTP) または Microsoft Entra ID におよぶあらゆる種類のインシデントおよびターゲット サービスに適用できます。
Microsoft Sentinel と SAP 向け SOAR の詳細については、重要な SAP セキュリティ シグナルに関する Microsoft Sentinel を使用したゼロからヒーローまでのセキュリティ カバレッジに関するブログ シリーズを参照してください。
デプロイ ガイドを含む Microsoft Sentinel と SAP の詳細については、Sentinel の製品ドキュメントを参照してください。
Azure Monitor for SAP と SAP RISE
Azure Monitor for SAP Solutions は、SAP システムを監視するための Azure ネイティブのソリューションです。 SAP NetWeaver、データベース、オペレーティング システムの詳細に関するデータを収集するサポートにより、Azure 監視プラットフォームの監視機能を拡張します。
SAP RISE/ECS はお使いの SAP ランドスケープ用のフル マネージド サービスであるため、Azure Monitoring for SAP はそのようなマネージド環境での利用を想定していません。 SAP RISE/ECS では、Azure Monitor for SAP Solutions との統合をサポートしていません。 SAP 独自の監視とレポート機能が使われ、SAP のサービス記述で定義されたとおりに顧客に提供されます。
Azure Center for SAP ソリューション
Azure Monitor for SAP Solutions と同様、SAP RISE/ECS では、Azure Monitoring for SAP と同様に、どの機能も Azure Center for SAP Solutions との統合はサポートされていません。 すべての SAP RISE のワークロードは SAP によってデプロイされ、顧客が Azure リソースにアクセスできない状態で、SAP の Azure テナントとサブスクリプションで実行されます。
次のステップ
次のドキュメントを参照してください。