Zarządzanie tożsamościami i dostępem dla oprogramowania SAP
Ten artykuł opiera się na kilku zagadnieniach i zaleceniach zdefiniowanych w artykule projektowanie strefy docelowej Azure na potrzeby zarządzania tożsamościami i dostępem. W tym artykule opisano zalecenia dotyczące zarządzania tożsamościami i dostępem dotyczące wdrażania platformy SAP na platformie Microsoft Azure. SAP to platforma o znaczeniu krytycznym, dlatego należy uwzględnić wskazówki dotyczące obszaru projektowania strefy docelowej platformy Azure w projekcie.
Ważny
Sap SE ma sunset produktu SAP Identity Management (IDM) i zaleca wszystkim swoim klientom przeprowadzenie migracji do microsoft Entra ID Governance.
Zagadnienia dotyczące projektowania
Przejrzyj wymagane działania administracyjne i związane z zarządzaniem platformą Azure dla twojego zespołu. Rozważ środowisko SAP na platformie Azure. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Określ granice administrowania zasobami platformy Azure w porównaniu z granicami administrowania platformą SAP Basis między zespołami infrastruktury i platformy SAP Basis. Rozważ udostępnienie zespołowi SAP Basis z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym SAP. Na przykład przypisz im rolę współautora maszyny wirtualnej . Można również nadać im częściowy podwyższony dostęp administracyjny, na przykład jako częściowy uczestnik maszyny wirtualnej w środowisku produkcyjnym. Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.
W przypadku centralnych zespołów IT i SAP Basis należy rozważyć użycie usługi Privileged Identity Management (PIM) i uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do zasobów maszyny wirtualnej SAP z witryny Azure Portal i podstawowej infrastruktury.
Poniżej przedstawiono typowe działania administracyjne i związane z zarządzaniem oprogramowaniem SAP na platformie Azure:
Zasób platformy Azure | Dostawca zasobów platformy Azure | Działania |
---|---|---|
Maszyny wirtualne | Microsoft.Compute/virtualMachines | Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie rozmiaru, rozszerzenia, zestawy dostępności, grupy umieszczania w pobliżu |
Maszyny wirtualne | Microsoft.Compute/disks | Odczyt i zapis na dysku |
Przechowywanie | Microsoft.Storage | Odczyt, zmiana kont magazynu (na przykład diagnostyka rozruchu) |
Składowanie | Microsoft.NetApp | Odczyt, zmiana w pulach pojemności i woluminach usługi NetApp |
Przechowywanie | Microsoft.NetApp | Migawki ANF |
Składowanie | Microsoft.NetApp | Replikacja między regionami ANF |
Nawiązywanie kontaktów | Microsoft.Network/networkInterfaces | Odczytywanie, tworzenie i zmienianie interfejsów sieciowych |
Sieciowanie | Microsoft.Network/loadBalancers | Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia |
Nawiązywanie kontaktów | Microsoft.Network/networkSecurityGroups | Odczytaj NSG |
Sieci | Microsoft.Network/azureFirewalls | Odczyt zapory |
Bezpieczna komunikacja systemu plików sieciowych (NFS) między usługą Azure NetApp Files i usługą Azure Virtual Machines przy użyciu szyfrowania klienta systemu plików NFS NFS przy użyciu protokołu Kerberos. Usługa Azure NetApp Files obsługuje usługi Active Directory Domain Services (AD DS) i usługi Microsoft Entra Domain Services dla połączeń firmy Microsoft Entra. Rozważ wpływ wydajności protokołu Kerberos na system plików NFS w wersji 4.1.
Bezpieczne połączenia wywołania funkcji zdalnej (RFC) między systemami SAP z bezpieczną komunikacją sieciową (SNC) przy użyciu odpowiednich poziomów ochrony, takich jak poziom jakości ochrony (QoP). Ochrona SNC generuje pewne obciążenie związane z wydajnością. Aby chronić komunikację RFC między serwerami aplikacji tego samego systemu SAP, firma SAP zaleca używanie zabezpieczeń sieci zamiast SNC. Następujące usługi platformy Azure obsługują połączenia RFC chronione przez SNC z systemem docelowym SAP: dostawcy usługi Azure Monitor dla rozwiązań SAP, własnego środowiska Integration Runtime w usłudze Azure Data Factory i lokalnej bramy danych w przypadku usług Power BI, Power Apps, Power Automate, Azure Analysis Services i Azure Logic Apps. SNC musi skonfigurować logowanie jednokrotne (SSO) w takich przypadkach.
Zarządzanie użytkownikami SAP i przydzielanie
Należy wziąć pod uwagę, że migracja na platformę Azure może być okazją do przejrzenia i zrównania procesów zarządzania tożsamościami i dostępem. Przejrzyj procesy w środowisku SAP i procesy na poziomie przedsiębiorstwa:
- Przejrzyj zasady blokady uśpionych użytkowników w SAP.
- Przejrzyj zasady hasła użytkownika SAP i dostosuj je do identyfikatora Entra firmy Microsoft.
- Przejrzyj procedury dotyczące osób odchodzących, przenoszących się i nowozatrudnionych (LMS) i dostosuj je do identyfikatora Microsoft Entra. Jeśli używasz rozwiązania SAP Human Capital Management (HCM), rozwiązanie SAP HCM prawdopodobnie napędza proces LMS.
Rozważ użycie propagacji tożsamości SAP, aby przekazać tożsamość Microsoft do środowiska SAP.
Rozważ usługę aprowizacji Microsoft Entra, aby automatycznie aprowizować i cofać aprowizację użytkowników i grup do SAP Analytics Cloud, SAP Identity Authenticationoraz innych usług SAP.
Rozważ aprowizowanie użytkowników z SuccessFactors do identyfikatora Entra firmy Microsoft z opcjonalnym zapisem zwrotnym adresu e-mail do rozwiązania SuccessFactors.
Zalecenia dotyczące projektowania
Migrate rozwiązania SAP Identity Management (IDM) do rozwiązania Microsoft Entra ID Governance.
Wdroż logowanie jednokrotne, używając AD w systemie Windows, Microsoft Entra ID lub AD FS, w zależności od typu dostępu, aby użytkownicy końcowi mogli łączyć się z aplikacjami SAP bez potrzeby wprowadzania identyfikatora użytkownika i hasła, gdy centralny dostawca tożsamości pomyślnie ich uwierzytelni.
- Zaimplementuj SSO do aplikacji SAP SaaS, takich jak SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business ByDesign, SAP Qualtrics i SAP C4C z Microsoft Entra ID przy użyciu SAML.
- Zaimplementuj SSO do aplikacji internetowych opartych na SAP NetWeaver, takich jak SAP Fiori i SAP Web GUI za pomocą SAML.
- Logowanie jednokrotne (SSO) można zaimplementować w SAP GUI przy użyciu SAP NetWeaver SSO lub rozwiązania partnerskiego.
- W przypadku Single Sign-On (SSO) dla SAP GUI i dostępu do przeglądarki internetowej, zaimplementuj protokół SNC — Kerberos/SPNEGO (prosty i chroniony mechanizm negocjacji GSSAPI) ze względu na łatwość konfiguracji i konserwacji. W przypadku logowania jednokrotnego z certyfikatami klienta X.509 należy wziąć pod uwagę serwer SAP Secure Login Server, który jest składnikiem rozwiązania SAP SSO.
- Zaimplementuj SSO przy użyciu OAuth dla SAP NetWeaver, aby zezwolić aplikacjom osób trzecich lub aplikacjom niestandardowym na dostęp do usług SAP NetWeaver OData.
- Wdrożenie logowania jednokrotnego do SAP HANA
Zaimplementuj identyfikator Entra firmy Microsoft jako dostawcę tożsamości dla systemów SAP hostowanych na platformie RISE. Aby uzyskać więcej informacji, zobacz Integrowanie usługi z identyfikatorem Entra firmy Microsoft.
W przypadku aplikacji, które uzyskują dostęp do oprogramowania SAP, użyj propagacji tożsamości w celu ustanowienia logowania jednokrotnego (SSO).
Jeśli używasz usług SAP BTP lub rozwiązań SaaS, które wymagają usługi SAP Cloud Identity Service, Identity Authentication (IAS), zaimplementować logowanie jednokrotne między usługami SAP Cloud Identity Authentication Services i Microsoft Entra ID w celu uzyskania dostępu do tych usług SAP. Ta integracja umożliwia, aby SAP IAS działał jako dostawca tożsamości pełniący rolę serwera proxy i przekazywał żądania uwierzytelniania do Microsoft Entra ID, działając jako centralne repozytorium użytkowników i dostawca tożsamości.
Jeśli używasz rozwiązania SAP SuccessFactors, użyj identyfikatora Entra firmy Microsoft zautomatyzowanej aprowizacji użytkowników. Dzięki tej integracji, gdy dodasz nowych pracowników do rozwiązania SAP SuccessFactors, możesz automatycznie utworzyć swoje konta użytkowników w identyfikatorze Microsoft Entra ID. Opcjonalnie możesz tworzyć konta użytkowników w usłudze Microsoft 365 lub innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra. Użyj synchronizacji zwrotnej adresu e-mail w SAP SuccessFactors.