다음을 통해 공유

SAP에 대한 ID 및 액세스 관리

  • 아티클

이 문서는 ID 및 액세스 관리에 대한 Azure 랜딩 존 설계 영역 의 항목에서 정의된 여러 고려 사항 및 권장 사항을 기반으로 발전하고 있습니다. 이 문서에서는 Microsoft Azure에서 SAP 플랫폼을 배포하기 위한 ID 및 액세스 관리 권장 사항을 설명합니다. SAP는 중요 업무용 플랫폼이므로 디자인에 Azure 랜딩 존 디자인 영역 지침을 포함해야 합니다.

중요하다

SAP SE는 SAP IDM(Identity Management) 제품에 종료되었으며 모든 고객에게 Microsoft Entra ID 거버넌스마이그레이션할 것을 권장합니다.

디자인 고려 사항

  • 팀에 필요한 Azure 관리 및 관리 활동을 검토합니다. Azure에서의 SAP 환경을 고려하십시오. 조직 내에서 가능한 최상의 책임 분배를 결정합니다.

  • 인프라와 SAP Basis 팀 간의 SAP Basis 관리 경계와 Azure 리소스 관리 경계를 결정합니다. SAP 비프로덕션 환경에서 SAP Basis 팀에 상승된 Azure 리소스 관리 액세스를 제공하는 것이 좋습니다. 예를 들어 Virtual Machine 기여자 역할을 제공합니다. 프로덕션 환경에서 부분적인 Virtual Machine 기여자와 같은 방식으로 부분적으로 상승된 관리 액세스 권한을 부여할 수도 있습니다. 두 옵션 모두 업무 분리와 운영 효율성 간의 균형을 잘 이루어 줍니다.

  • 중앙 IT 및 SAP Basis 팀의 경우 PIM(Privileged Identity Management) 및 다단계 인증을 사용하여 Azure Portal 및 기본 인프라에서 SAP Virtual Machine 리소스에 액세스하는 것이 좋습니다.

다음은 Azure에서 SAP의 일반적인 관리 및 관리 활동입니다.

Azure 리소스 Azure 리소스 공급자 활동
가상 머신 Microsoft.Compute/virtualMachines 시작, 중지, 다시 시작, 할당 해제, 배포, 재배포, 변경, 크기 조정, 확장, 가용성 집합, 근접 배치 그룹
가상 머신 Microsoft.Compute/disks 디스크 읽기 및 쓰기
보관 Microsoft.Storage 스토리지 계정의 읽기 및 변경(예: 시작 진단)
보관 Microsoft.NetApp NetApp 용량 풀 및 볼륨 읽기 및 변경
보관 Microsoft.NetApp ANF 스냅샷
보관 Microsoft.NetApp ANF 지역 간 복제
네트워킹 Microsoft.Network/networkInterfaces 네트워크 인터페이스 읽기, 만들기 및 변경
네트워킹 Microsoft.Network/loadBalancers 부하 분산 장치 읽기, 만들기 및 변경
네트워킹 Microsoft.Network/networkSecurityGroups NSG 읽기
네트워킹 Microsoft.Network/azureFirewalls (Microsoft 네트워크/azure 방화벽) 방화벽 읽기

  • Kerberos사용하여 NFS 클라이언트 암호화를 Azure NetApp Files와 Azure Virtual Machines 간의 NFS(네트워크 파일 시스템) 통신을 보호합니다. Azure NetApp Files는 Microsoft Entra 연결을 위해 AD DS(Active Directory Domain Services) 및 Microsoft Entra Domain Services를 지원합니다. Kerberos가 NFS v4.1에 미치는 성능 효과를 고려합니다.

  • SAP 시스템 간의 원격 함수 호출(RFC) 연결을 보안 네트워크 통신(SNC)으로 보호하고, 보호 품질(QoP)과 같은 적절한 보호 수준을 사용하여 연결을 보장하십시오. SNC 보호는 일부 성능 오버헤드를 생성합니다. 동일한 SAP 시스템의 애플리케이션 서버 간의 RFC 통신을 보호하기 위해 SAP는 SNC 대신 네트워크 보안을 사용하는 것이 좋습니다. 다음 Azure 서비스는 SAP 대상 시스템에 대한 SNC 보호된 RFC 연결을 지원합니다: SAP 솔루션용 Azure Monitor의 공급자, Azure Data Factory의 자체 호스팅 통합 런타임, 그리고 Power BI, Power Apps, Power Automate, Azure Analysis Services, 및 Azure Logic Apps의 경우에는 온프레미스 데이터 게이트웨이. 이러한 경우 SSO(Single Sign-On)를 구성하려면 SNC가 필요합니다.

SAP 사용자 거버넌스 및 프로비전

  • Azure로의 마이그레이션은 ID 및 액세스 관리 프로세스를 검토하고 다시 정렬할 수 있는 기회일 수 있습니다. SAP 환경의 프로세스와 엔터프라이즈 수준의 프로세스를 검토합니다.

    • SAP 휴면 사용자 잠금 정책을 검토합니다.
    • SAP 사용자 암호 정책을 검토하고 Microsoft Entra ID에 맞춥니다.
    • 퇴직자, 이동자 및 신입 직원 절차를 검토하고 Microsoft Entra ID에 맞춥니다. SAP HCM(Human Capital Management)을 사용하는 경우 SAP HCM이 LMS 프로세스를 구동할 수 있습니다.

  • SAP 주체 전파를 고려하여 Microsoft 아이덴티티를 SAP 환경으로 전달하는 것을 고려하십시오.

  • MICROSOFT Entra 프로비저닝 서비스를 사용하여 SAP Analytics Cloud, SAP ID 인증및 더 많은 SAP 서비스를 사용자 및 그룹을 자동으로 프로비저닝 및 프로비저닝 해제하는 것이 좋습니다.

  • SuccessFactors 사용자를 Microsoft Entra ID로 프로비전하고 선택적으로 이메일 주소를 SuccessFactors에 쓰기 저장합니다.

디자인 권장 사항

  • SAP ID 관리 솔루션을 Microsoft Entra ID 거버넌스로 이전하십시오.

  • 액세스 유형에 따라 Windows AD, Microsoft Entra ID 또는 AD FS를 사용하여 SSO를 구현하여 중앙 ID 공급자가 성공적으로 인증한 후 최종 사용자가 사용자 ID 및 암호 없이 SAP 애플리케이션에 연결할 수 있도록 합니다.

    • SAP Analytics Cloud, SAP BTP (Business Technology Platform), Business by Design, SAP Qualtrics, 및 SAP C4C 같은 SAP SaaS 애플리케이션에 Microsoft Entra ID를 사용하여 SAML로 SSO를 구현합니다.
    • SAML을 사용하여 SAP Fiori 및 SAP Web GUI와 같은 SAP NetWeaver기반 웹 애플리케이션을 SSO를 구현합니다.
    • SAP NetWeaver SSO 또는 파트너 솔루션을 사용하여 SAP GUI에 SSO를 구현할 수 있습니다.
    • SAP GUI 및 웹 브라우저 액세스를 위한 SSO의 경우 구성 및 유지 관리의 용이성으로 인해 SNC – Kerberos/SPNEGO(간단하고 보호된 GSSAPI 협상 메커니즘)를 구현합니다. X.509 클라이언트 인증서를 사용하는 SSO의 경우 SAP SSO 솔루션의 구성 요소인 SAP Secure Login Server를 고려합니다.
    • 타사 또는 사용자 지정 애플리케이션이 SAP NetWeaver OData 서비스에 액세스할 수 있도록 SAP NetWeaver OAuth를 사용하여 SSO를 구현합니다.
    • SSO를 SAP HANA에 구현

  • RISE에서 호스트되는 SAP 시스템의 ID 공급자로 Microsoft Entra ID를 구현합니다. 자세한 내용은 microsoft Entra ID서비스를 통합하는 참조하세요.

  • SAP에 액세스하는 애플리케이션의 경우 보안 주체 전파를 사용하여 SSO설정합니다.

  • SAP CLOUD Identity Service, IAS(ID 인증)가 필요한 SAP BTP 서비스 또는 SaaS 솔루션을 사용하는 경우 SAP Cloud Identity Authentication Services와 Microsoft Entra ID 간에 SSO를 구현하여 해당 SAP 서비스에 액세스할 있습니다. 이 통합을 통해 SAP IAS는 프록시 ID 공급자 역할을 하고 인증 요청을 Microsoft Entra ID에 중앙 사용자 저장소 및 ID 공급자로 전달할 수 있습니다.

  • SAP SuccessFactors를 사용하는 경우 Microsoft Entra ID 자동화된 사용자 프로비저닝을 사용하십시오. 이 통합을 통해 SAP SuccessFactors에 새 직원을 추가하면 Microsoft Entra ID에서 해당 사용자 계정을 자동으로 만들 수 있습니다. 필요에 따라 Microsoft 365 또는 Microsoft Entra ID에서 지원하는 다른 SaaS 애플리케이션에서 사용자 계정을 만들 수 있습니다. 이메일 주소를 SAP SuccessFactors에 저장하는 기능을 사용하십시오.