Delen via

Identiteits- en toegangsbeheer voor SAP

  • Artikel

Dit artikel is gebaseerd op verschillende overwegingen en aanbevelingen die zijn gedefinieerd in het artikel ontwerpgebied voor Azure-landingszones voor identiteits- en toegangsbeheer. In dit artikel worden de aanbevelingen voor identiteits- en toegangsbeheer beschreven voor het implementeren van een SAP-platform in Microsoft Azure. SAP is een bedrijfskritiek platform, dus neem de richtlijnen voor het ontwerpgebied van de Azure-landingszone op in uw ontwerp.

Belangrijk

SAP SE heeft zonsondergang het PRODUCT SAP Identity Management (IDM) en raadt alle klanten aan om te migreren naar Microsoft Entra ID Governance.

Ontwerpoverwegingen

  • Bekijk de vereiste Azure-beheer- en beheeractiviteiten voor uw team. Houd rekening met uw SAP op Azure-landschap. Bepaal de best mogelijke verdeling van verantwoordelijkheden binnen uw organisatie.

  • Bepaal de grenzen van het Azure-resourcebeheer versus de SAP Basis-beheergrenzen tussen de infrastructuur en SAP Basis-teams. Overweeg om het SAP-basisteam verhoogde toegang tot Azure-resourcebeheer te bieden in een niet-productieomgeving van SAP. Geef ze bijvoorbeeld een Virtual Machine Contributor-rol. U kunt ze ook gedeeltelijk verhoogde beheerderstoegang geven, zoals gedeeltelijke inzender voor virtuele machines in een productieomgeving. Beide opties zorgen voor een goed evenwicht tussen de scheiding van taken en operationele efficiëntie.

  • Voor centrale IT- en SAP-basisteams kunt u pim (Privileged Identity Management) en meervoudige verificatie gebruiken voor toegang tot SAP Virtual Machine-resources vanuit Azure Portal en de onderliggende infrastructuur.

Hier volgen algemene beheer- en beheeractiviteiten van SAP in Azure:

Azure-resource Azure-resourceprovider Activiteiten
Virtuele machines Microsoft.Compute/virtualMachines Starten, stoppen, opnieuw opstarten, toewijzing ongedaan maken, implementeren, opnieuw implementeren, wijzigen, formaat wijzigen, extensies, beschikbaarheidssets, nabijheidsplaatsingsgroepen
Virtuele machines Microsoft.Compute/schijven Lezen en schrijven naar schijf
Opslag Microsoft.Storage Lezen, wijzigen op opslagaccounts (bijvoorbeeld opstartdiagnose)
Opslag Microsoft.NetApp Lezen, wijzigen in NetApp-capaciteitspools en -volumes
Opslag Microsoft.NetApp ANF-momentopnamen
Opslag Microsoft.NetApp ANF-replicatie tussen regio's
Netwerken Microsoft.Network/networkInterfaces Netwerkinterfaces lezen, maken en wijzigen
Netwerken Microsoft.Network/loadBalancers Load balancers lezen, maken en wijzigen
Netwerken Microsoft.Network/networkSecurityGroups NSG lezen
Netwerken Microsoft.Network/azureFirewalls Firewall lezen

  • Secure Network File System (NFS) communicatie tussen Azure NetApp Files en Azure Virtual Machines met NFS-clientversleuteling met behulp van Kerberos. Azure NetApp Files ondersteunt Active Directory Domain Services (AD DS) en Microsoft Entra Domain Services voor Microsoft Entra-verbindingen. Houd rekening met het prestatie-effect van Kerberos op NFS v4.1.

  • Veilige RFC-verbindingen (Remote Function Call) tussen SAP-systemen met beveiligde netwerkcommunicatie (SNC) met behulp van de juiste beveiligingsniveaus, zoals QoP (Quality of Protection). SNC-beveiliging genereert enige prestatieoverhead. Sap raadt het gebruik van netwerkbeveiliging aan in plaats van SNC om RFC-communicatie tussen toepassingsservers van hetzelfde SAP-systeem te beveiligen. De volgende Azure-services ondersteunen SNC-beveiligde RFC-verbindingen met een SAP-doelsysteem: Providers van Azure Monitor voor SAP-oplossingen, de zelf-hostende integratieruntime in Azure Data Factory en de on-premises gegevensgateway in het geval van Power BI, Power Apps, Power Automate, Azure Analysis Services en Azure Logic Apps. SNC is vereist voor het configureren van eenmalige aanmelding (SSO) in deze gevallen.

SAP-gebruikersbeheer en -inrichting

  • Houd er rekening mee dat een migratie naar Azure een kans kan zijn om identiteits- en toegangsbeheerprocessen te bekijken en opnieuw in te stellen. Controleer de processen in uw SAP-landschap en de processen op bedrijfsniveau:

    • Controleer het SAP-beleid voor het blokkeren van inactieve gebruikers.
    • Controleer het WACHTWOORDbeleid voor SAP-gebruikers en stem dit af op Microsoft Entra-id.
    • Bekijk de procedures voor vertrekkers, overplaatsingen en starters (LMS) en breng ze in lijn met Microsoft Entra ID. Als u SAP Human Capital Management (HCM) gebruikt, stuurt SAP HCM waarschijnlijk het LMS-proces aan.

  • Overweeg het gebruik van SAP-principal-doorgifte voor het doorsturen van een Microsoft-identiteit naar uw SAP-landschap.

  • Overweeg Microsoft Entra-inrichtingsservice om gebruikers en groepen automatisch in te richten en de inrichting ervan ongedaan te maken voor SAP Analytics Cloud, SAP Identity Authenticationen andere SAP-services.

  • Overweeg gebruikers van SuccessFactors in te richten in Microsoft Entra ID, met het optioneel terugschrijven van e-mailadressen naar SuccessFactors.

Ontwerpaanaanvelingen

  • Migreer uw SAP Identity Management-oplossing (IDM) naar Microsoft Entra ID Governance.

  • Implementeer eenmalige aanmelding met Windows AD, Microsoft Entra ID of AD FS, afhankelijk van het toegangstype, zodat de eindgebruikers verbinding kunnen maken met SAP-toepassingen zonder een gebruikers-id en wachtwoord zodra de centrale id-provider deze heeft geverifieerd.

    • Implementeer Single Sign-On voor SAP SaaS-toepassingen zoals SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business by Design, SAP Qualtrics en SAP C4C met Microsoft Entra ID via SAML.
    • Implementeer Single Sign-On (SSO) voor op SAP NetWeavergebaseerde webtoepassingen, zoals SAP Fiori en SAP Web GUI, door SAML te gebruiken.
    • Je kunt Single Sign-On (SSO) implementeren in SAP GUI met behulp van SAP NetWeaver SSO of een partneroplossing.
    • Voor SSO voor SAP GUI en webbrowsertoegang implementeert u SNC – Kerberos/SPNEGO (eenvoudig en beveiligd GSSAPI-onderhandelingsmechanisme) vanwege het gemak van configuratie en onderhoud. Voor eenmalige aanmelding met X.509-clientcertificaten kunt u de SAP Secure Login Server overwegen. Dit is een onderdeel van de SAP SSO-oplossing.
    • Implementeer SSO met behulp van OAuth voor SAP NetWeaver om externe of aangepaste toepassingen toegang te geven tot SAP NetWeaver OData-services.
    • SSO implementeren in SAP HANA

  • Implementeer Microsoft Entra-id als id-provider voor SAP-systemen die worden gehost op RISE. Zie De service integreren met Microsoft Entra IDvoor meer informatie.

  • Voor toepassingen die toegang hebben tot SAP, gebruik principal-overdracht om Single Sign-On tot stand te brengen.

  • Als u SAP BTP-services of SaaS-oplossingen gebruikt waarvoor SAP Cloud Identity Service, Identity Authentication (IAS) is vereist, SSO implementeren tussen SAP Cloud Identity Authentication Services en Microsoft Entra ID voor toegang tot deze SAP-services. Met deze integratie kan SAP IAS fungeren als een proxy-id-provider en worden verificatieaanvragen doorgestuurd naar Microsoft Entra-id als de centrale gebruikersopslag en id-provider.

  • Wanneer u SAP SuccessFactors gebruikt, maakt u gebruik van Microsoft Entra ID voor automatische gebruikersvoorziening. Wanneer u met deze integratie nieuwe werknemers toevoegt aan SAP SuccessFactors, kunt u automatisch hun gebruikersaccounts maken in Microsoft Entra-id. U kunt eventueel gebruikersaccounts maken in Microsoft 365 of andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID. Gebruik terugschrijven van het e-mailadres naar SAP SuccessFactors.