Identiteits- en toegangsbeheer voor SAP
Dit artikel bouwt voort op verschillende overwegingen en aanbevelingen die zijn gedefinieerd in het ontwerpgebied van de Azure-landingszone voor identiteits- en toegangsbeheer. In dit artikel worden de aanbevelingen voor identiteits- en toegangsbeheer beschreven voor het implementeren van een SAP-platform in Microsoft Azure. SAP is een bedrijfskritiek platform, dus neem de richtlijnen voor het ontwerpgebied van de Azure-landingszone op in uw ontwerp.
Ontwerpoverwegingen
Bekijk de vereiste Azure-beheer- en beheeractiviteiten voor uw team. Houd rekening met uw SAP op Azure-landschap. Bepaal de best mogelijke verdeling van verantwoordelijkheden binnen uw organisatie.
Bepaal de grenzen van het Azure-resourcebeheer versus de SAP Basis-beheergrenzen tussen de infrastructuur en SAP Basis-teams. Overweeg om het SAP-basisteam verhoogde toegang tot Azure-resourcebeheer te bieden in een niet-productieomgeving van SAP. Geef ze bijvoorbeeld de rol Inzender voor virtuele machines. U kunt ze ook gedeeltelijk verhoogde beheerderstoegang geven, zoals gedeeltelijke inzender voor virtuele machines in een productieomgeving. Beide opties zorgen voor een goed evenwicht tussen de scheiding van taken en operationele efficiëntie.
Voor centrale IT- en SAP-basisteams kunt u pim (Privileged Identity Management) en meervoudige verificatie gebruiken voor toegang tot SAP Virtual Machine-resources vanuit Azure Portal en de onderliggende infrastructuur.
Hier volgen algemene beheer- en beheeractiviteiten van SAP in Azure:
| Azure-resource | Azure-resourceprovider | Activiteiten |
|---|---|---|
| Virtuele machines | Microsoft.Compute/virtualMachines | Starten, stoppen, opnieuw opstarten, toewijzing ongedaan maken, implementeren, opnieuw implementeren, wijzigen, formaat wijzigen, extensies, beschikbaarheidssets, nabijheidsplaatsingsgroepen |
| Virtuele machines | Microsoft.Compute/disks | Lezen en schrijven naar schijf |
| Storage | Microsoft.Storage | Lezen, wijzigen in opslagaccounts (bijvoorbeeld diagnostische gegevens over opstarten) |
| Storage | Microsoft.NetApp | Lezen, wijzigen in NetApp-capaciteitspools en -volumes |
| Storage | Microsoft.NetApp | ANF-momentopnamen |
| Storage | Microsoft.NetApp | ANF-replicatie tussen regio's |
| Netwerken | Microsoft.Network/networkInterfaces | Netwerkinterfaces lezen, maken en wijzigen |
| Netwerken | Microsoft.Network/loadBalancers | Load balancers lezen, maken en wijzigen |
| Netwerken | Microsoft.Network/networkSecurityGroups | NSG lezen |
| Netwerken | Microsoft.Network/azureFirewalls | Firewall lezen |
Als u BTP-services (SAP Business Technology Platform) gebruikt, kunt u overwegen om principal-doorgifte te gebruiken om een identiteit van de SAP BTP-toepassing naar uw SAP-landschap door te sturen met behulp van SAP Cloud Verbinding maken or.
Overweeg microsoft Entra-inrichtingsservice om gebruikers en groepen automatisch in te richten en de inrichting ervan ongedaan te maken voor SAP Analytics Cloud - en SAP Identity Authentication.
Houd er rekening mee dat een migratie naar Azure een kans kan zijn om identiteits- en toegangsbeheerprocessen te bekijken en opnieuw in te stellen. Controleer de processen in uw SAP-landschap en de processen op bedrijfsniveau:
- Controleer het sap-beleid voor inactieve gebruikersvergrendeling.
- Controleer het WACHTWOORDbeleid voor SAP-gebruikers en stem dit af op Microsoft Entra-id.
- Bekijk de procedures voor verlofhouders, verplaatsingen en starters (LMS) en stem ze uit met Microsoft Entra-id. Als u SAP Human Capital Management (HCM) gebruikt, stuurt SAP HCM waarschijnlijk het LMS-proces aan.
Overweeg gebruikers van SuccessFactors Employee Central in te richten in Microsoft Entra ID, met optionele write-back van e-mailadressen naar SuccessFactors.
Secure Network File System (NFS) communicatie tussen Azure NetApp Files en Azure Virtual Machines met NFS-clientversleuteling met behulp van Kerberos. Azure NetApp Files ondersteunt Active Directory-domein Services (AD DS) en Microsoft Entra Domain Services voor Microsoft Entra-verbindingen. Houd rekening met het prestatie-effect van Kerberos op NFS v4.1.
SAP Identity Management (IDM) kan worden geïntegreerd met Microsoft Entra ID met behulp van SAP Cloud Identity Provisioning als proxyservice. Overweeg Microsoft Entra ID als een centrale gegevensbron voor gebruikers die SAP IDM gebruiken. Beveilig de NFS-communicatie (Network File System) tussen Azure NetApp Files en Azure Virtual Machines met NFS-clientversleuteling met behulp van Kerberos. Azure NetApp Files vereist AD DS- of Microsoft Entra Domain Services-verbinding voor Kerberos-ticketing. Houd rekening met het prestatie-effect van Kerberos op NFS v4.1.
Veilige RFC-verbindingen (Remote Function Call) tussen SAP-systemen met beveiligde netwerkcommunicatie (SNC) met behulp van de juiste beveiligingsniveaus, zoals QoP (Quality of Protection). SNC-beveiliging genereert enige prestatieoverhead. Sap raadt het gebruik van netwerkbeveiliging aan in plaats van SNC om RFC-communicatie tussen toepassingsservers van hetzelfde SAP-systeem te beveiligen. De volgende Azure-services ondersteunen SNC-beveiligde RFC-verbindingen met een SAP-doelsysteem: Providers van Azure Monitor voor SAP-oplossingen, de zelf-hostende integratieruntime in Azure Data Factory en de on-premises gegevensgateway in het geval van Power BI, Power Apps, Power Automate, Azure Analysis Services en Azure Logic Apps. SNC is vereist voor het configureren van eenmalige aanmelding (SSO) in deze gevallen.
Ontwerpaanaanvelingen
Implementeer eenmalige aanmelding met Windows AD, Microsoft Entra ID of AD FS, afhankelijk van het toegangstype, zodat de eindgebruikers verbinding kunnen maken met SAP-toepassingen zonder een gebruikers-id en wachtwoord zodra de centrale id-provider deze heeft geverifieerd.
- Implementeer eenmalige aanmelding voor SAP SaaS-toepassingen zoals SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics en SAP C4C met Microsoft Entra ID met behulp van SAML.
- Implementeer eenmalige aanmelding voor webtoepassingen op basis van SAP NetWeaver, zoals SAP Fiori en SAP Web GUI met behulp van SAML.
- U kunt eenmalige aanmelding implementeren in SAP GUI met behulp van SAP NetWeaver SSO of een partneroplossing.
- Voor SSO voor SAP GUI en webbrowsertoegang implementeert u SNC – Kerberos/SPNEGO (eenvoudig en beveiligd GSSAPI-onderhandelingsmechanisme) vanwege het gemak van configuratie en onderhoud. Voor eenmalige aanmelding met X.509-clientcertificaten kunt u de SAP Secure Login Server overwegen. Dit is een onderdeel van de SAP SSO-oplossing.
- Implementeer eenmalige aanmelding met behulp van OAuth voor SAP NetWeaver om externe of aangepaste toepassingen toegang te geven tot SAP NetWeaver OData-services.
- Eenmalige aanmelding implementeren in SAP HANA
Overweeg Microsoft Entra ID een id-provider voor SAP-systemen die worden gehost op RISE. Zie De service integreren met Microsoft Entra ID voor meer informatie.
Voor toepassingen die toegang hebben tot SAP, wilt u mogelijk principal-doorgifte gebruiken om eenmalige aanmelding tot stand te brengen.
Als u SAP BTP-services of SaaS-oplossingen gebruikt waarvoor SAP Identity Authentication Service (IAS) is vereist, kunt u overwegen om eenmalige aanmelding te implementeren tussen SAP Cloud Identity Authentication Services en Microsoft Entra ID voor toegang tot deze SAP-services. Met deze integratie kan SAP IAS fungeren als een proxy-id-provider en worden verificatieaanvragen doorgestuurd naar Microsoft Entra-id als de centrale gebruikersopslag en id-provider.
Als u SAP SuccessFactors gebruikt, kunt u overwegen om de geautomatiseerde inrichting van gebruikers met Microsoft Entra ID te gebruiken. Wanneer u met deze integratie nieuwe werknemers toevoegt aan SAP SuccessFactors, kunt u automatisch hun gebruikersaccounts maken in Microsoft Entra-id. U kunt eventueel gebruikersaccounts maken in Microsoft 365 of andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID. Gebruik write-back van het e-mailadres voor SAP SuccessFactors.