Udostępnij za pośrednictwem

Zarządzanie tożsamościami i dostępem dla oprogramowania SAP

  • Artykuł

Ten artykuł opiera się na kilku zagadnieniach i zaleceniach zdefiniowanych w artykule projektowanie strefy docelowej Azure na potrzeby zarządzania tożsamościami i dostępem. W tym artykule opisano zalecenia dotyczące zarządzania tożsamościami i dostępem dotyczące wdrażania platformy SAP na platformie Microsoft Azure. SAP to platforma o znaczeniu krytycznym, dlatego należy uwzględnić wskazówki dotyczące obszaru projektowania strefy docelowej platformy Azure w projekcie.

Ważny

Sap SE ma sunset produktu SAP Identity Management (IDM) i zaleca wszystkim swoim klientom przeprowadzenie migracji do microsoft Entra ID Governance.

Zagadnienia dotyczące projektowania

  • Przejrzyj wymagane działania administracyjne i związane z zarządzaniem platformą Azure dla twojego zespołu. Rozważ środowisko SAP na platformie Azure. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.

  • Określ granice administrowania zasobami platformy Azure w porównaniu z granicami administrowania platformą SAP Basis między zespołami infrastruktury i platformy SAP Basis. Rozważ udostępnienie zespołowi SAP Basis z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym SAP. Na przykład przypisz im rolę współautora maszyny wirtualnej . Można również nadać im częściowy podwyższony dostęp administracyjny, na przykład jako częściowy uczestnik maszyny wirtualnej w środowisku produkcyjnym. Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.

  • W przypadku centralnych zespołów IT i SAP Basis należy rozważyć użycie usługi Privileged Identity Management (PIM) i uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do zasobów maszyny wirtualnej SAP z witryny Azure Portal i podstawowej infrastruktury.

Poniżej przedstawiono typowe działania administracyjne i związane z zarządzaniem oprogramowaniem SAP na platformie Azure:

Zasób platformy Azure Dostawca zasobów platformy Azure Działania
Maszyny wirtualne Microsoft.Compute/virtualMachines Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie rozmiaru, rozszerzenia, zestawy dostępności, grupy umieszczania w pobliżu
Maszyny wirtualne Microsoft.Compute/disks Odczyt i zapis na dysku
Przechowywanie Microsoft.Storage Odczyt, zmiana kont magazynu (na przykład diagnostyka rozruchu)
Składowanie Microsoft.NetApp Odczyt, zmiana w pulach pojemności i woluminach usługi NetApp
Przechowywanie Microsoft.NetApp Migawki ANF
Składowanie Microsoft.NetApp Replikacja między regionami ANF
Nawiązywanie kontaktów Microsoft.Network/networkInterfaces Odczytywanie, tworzenie i zmienianie interfejsów sieciowych
Sieciowanie Microsoft.Network/loadBalancers Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia
Nawiązywanie kontaktów Microsoft.Network/networkSecurityGroups Odczytaj NSG
Sieci Microsoft.Network/azureFirewalls Odczyt zapory

  • Bezpieczna komunikacja systemu plików sieciowych (NFS) między usługą Azure NetApp Files i usługą Azure Virtual Machines przy użyciu szyfrowania klienta systemu plików NFS NFS przy użyciu protokołu Kerberos. Usługa Azure NetApp Files obsługuje usługi Active Directory Domain Services (AD DS) i usługi Microsoft Entra Domain Services dla połączeń firmy Microsoft Entra. Rozważ wpływ wydajności protokołu Kerberos na system plików NFS w wersji 4.1.

  • Bezpieczne połączenia wywołania funkcji zdalnej (RFC) między systemami SAP z bezpieczną komunikacją sieciową (SNC) przy użyciu odpowiednich poziomów ochrony, takich jak poziom jakości ochrony (QoP). Ochrona SNC generuje pewne obciążenie związane z wydajnością. Aby chronić komunikację RFC między serwerami aplikacji tego samego systemu SAP, firma SAP zaleca używanie zabezpieczeń sieci zamiast SNC. Następujące usługi platformy Azure obsługują połączenia RFC chronione przez SNC z systemem docelowym SAP: dostawcy usługi Azure Monitor dla rozwiązań SAP, własnego środowiska Integration Runtime w usłudze Azure Data Factory i lokalnej bramy danych w przypadku usług Power BI, Power Apps, Power Automate, Azure Analysis Services i Azure Logic Apps. SNC musi skonfigurować logowanie jednokrotne (SSO) w takich przypadkach.

Zarządzanie użytkownikami SAP i przydzielanie

  • Należy wziąć pod uwagę, że migracja na platformę Azure może być okazją do przejrzenia i zrównania procesów zarządzania tożsamościami i dostępem. Przejrzyj procesy w środowisku SAP i procesy na poziomie przedsiębiorstwa:

    • Przejrzyj zasady blokady uśpionych użytkowników w SAP.
    • Przejrzyj zasady hasła użytkownika SAP i dostosuj je do identyfikatora Entra firmy Microsoft.
    • Przejrzyj procedury dotyczące osób odchodzących, przenoszących się i nowozatrudnionych (LMS) i dostosuj je do identyfikatora Microsoft Entra. Jeśli używasz rozwiązania SAP Human Capital Management (HCM), rozwiązanie SAP HCM prawdopodobnie napędza proces LMS.

  • Rozważ użycie propagacji tożsamości SAP, aby przekazać tożsamość Microsoft do środowiska SAP.

  • Rozważ usługę aprowizacji Microsoft Entra, aby automatycznie aprowizować i cofać aprowizację użytkowników i grup do SAP Analytics Cloud, SAP Identity Authenticationoraz innych usług SAP.

  • Rozważ aprowizowanie użytkowników z SuccessFactors do identyfikatora Entra firmy Microsoft z opcjonalnym zapisem zwrotnym adresu e-mail do rozwiązania SuccessFactors.

Zalecenia dotyczące projektowania

  • Migrate rozwiązania SAP Identity Management (IDM) do rozwiązania Microsoft Entra ID Governance.

  • Wdroż logowanie jednokrotne, używając AD w systemie Windows, Microsoft Entra ID lub AD FS, w zależności od typu dostępu, aby użytkownicy końcowi mogli łączyć się z aplikacjami SAP bez potrzeby wprowadzania identyfikatora użytkownika i hasła, gdy centralny dostawca tożsamości pomyślnie ich uwierzytelni.

    • Zaimplementuj SSO do aplikacji SAP SaaS, takich jak SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business ByDesign, SAP Qualtrics i SAP C4C z Microsoft Entra ID przy użyciu SAML.
    • Zaimplementuj SSO do aplikacji internetowych opartych na SAP NetWeaver, takich jak SAP Fiori i SAP Web GUI za pomocą SAML.
    • Logowanie jednokrotne (SSO) można zaimplementować w SAP GUI przy użyciu SAP NetWeaver SSO lub rozwiązania partnerskiego.
    • W przypadku Single Sign-On (SSO) dla SAP GUI i dostępu do przeglądarki internetowej, zaimplementuj protokół SNC — Kerberos/SPNEGO (prosty i chroniony mechanizm negocjacji GSSAPI) ze względu na łatwość konfiguracji i konserwacji. W przypadku logowania jednokrotnego z certyfikatami klienta X.509 należy wziąć pod uwagę serwer SAP Secure Login Server, który jest składnikiem rozwiązania SAP SSO.
    • Zaimplementuj SSO przy użyciu OAuth dla SAP NetWeaver, aby zezwolić aplikacjom osób trzecich lub aplikacjom niestandardowym na dostęp do usług SAP NetWeaver OData.
    • Wdrożenie logowania jednokrotnego do SAP HANA

  • Zaimplementuj identyfikator Entra firmy Microsoft jako dostawcę tożsamości dla systemów SAP hostowanych na platformie RISE. Aby uzyskać więcej informacji, zobacz Integrowanie usługi z identyfikatorem Entra firmy Microsoft.

  • W przypadku aplikacji, które uzyskują dostęp do oprogramowania SAP, użyj propagacji tożsamości w celu ustanowienia logowania jednokrotnego (SSO).

  • Jeśli używasz usług SAP BTP lub rozwiązań SaaS, które wymagają usługi SAP Cloud Identity Service, Identity Authentication (IAS), zaimplementować logowanie jednokrotne między usługami SAP Cloud Identity Authentication Services i Microsoft Entra ID w celu uzyskania dostępu do tych usług SAP. Ta integracja umożliwia, aby SAP IAS działał jako dostawca tożsamości pełniący rolę serwera proxy i przekazywał żądania uwierzytelniania do Microsoft Entra ID, działając jako centralne repozytorium użytkowników i dostawca tożsamości.

  • Jeśli używasz rozwiązania SAP SuccessFactors, użyj identyfikatora Entra firmy Microsoft zautomatyzowanej aprowizacji użytkowników. Dzięki tej integracji, gdy dodasz nowych pracowników do rozwiązania SAP SuccessFactors, możesz automatycznie utworzyć swoje konta użytkowników w identyfikatorze Microsoft Entra ID. Opcjonalnie możesz tworzyć konta użytkowników w usłudze Microsoft 365 lub innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra. Użyj synchronizacji zwrotnej adresu e-mail w SAP SuccessFactors.