Usługi tożsamości i zabezpieczeń platformy Azure z rozwiązaniem SAP RISE

Ten artykuł zawiera szczegółowe informacje na temat integracji usług tożsamości i zabezpieczeń platformy Azure z obciążeniem SAP RISE. Ponadto objaśniono korzystanie z niektórych usług monitorowania platformy Azure dla środowiska SAP RISE.

Logowanie jednokrotne dla rozwiązania SAP RISE

Logowanie jednokrotne (SSO) jest skonfigurowane dla wielu środowisk SAP. W przypadku obciążeń SAP działających w usłudze ECS/RISE kroki implementacji nie różnią się od natywnie uruchomionego systemu SAP. Kroki integracji z logowaniem jednokrotnym opartym na identyfikatorze Entra firmy Microsoft są dostępne dla typowych obciążeń zarządzanych przez usługę ECS/RISE:

• Samouczek: integracja logowania jednokrotnego firmy Microsoft z oprogramowaniem SAP NetWeaver
• Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z oprogramowaniem SAP Fiori
• Samouczek: integracja firmy Microsoft Entra z platformą SAP HANA

Metoda logowania jednokrotnego	Dostawca tożsamości	Typowy przypadek użycia	Implementacja
SAML/OAuth	Microsoft Entra ID	SAP Fiori, internetowy interfejs użytkownika, portal, HANA	Konfiguracja według klienta
SNC	Microsoft Entra ID	SAP GUI	Konfiguracja według klienta
SPNEGO	Active Directory (AD)	Internetowy graficzny interfejs użytkownika, SAP Enterprise Portal	Konfiguracja według klienta i oprogramowania SAP

Logowanie jednokrotne względem usługi Active Directory (AD) domeny systemu Windows dla środowiska SAP zarządzanego przez usługę ECS/RISE z klientem bezpiecznego logowania sap SSO wymaga integracji usługi AD dla urządzeń użytkowników końcowych. Dzięki rozwiązaniu SAP RISE wszystkie systemy Windows nie są zintegrowane z domeną usługi Active Directory klienta. Integracja domeny nie jest konieczna w przypadku logowania jednokrotnego z usługą AD/Kerberos, ponieważ token zabezpieczeń domeny jest odczytywany na urządzeniu klienckim i bezpiecznie wymieniany z systemem SAP. Skontaktuj się z systemem SAP, jeśli potrzebujesz zmian w celu zintegrowania logowania jednokrotnego opartego na usłudze AD lub używania produktów innych firm niż SAP SSO Secure Login Client, ponieważ może być wymagana pewna konfiguracja w systemach zarządzanych RISE.

Aby uzyskać więcej informacji na temat usługi SNC, zobacz Artykuł Getting started with SAP SNC for RFC integrations - SAP blog (Wprowadzenie do integracji oprogramowania SAP SNC na potrzeby integracji RFC — blog SAP).

Zarządzanie tożsamościami i dostępem dla rozwiązania SAP RISE

Uwaga

Firma SAP ogłosiła wycofanie rozwiązania SAP Identity Management (SAP IDM) do 2027 roku. Firma SAP zaleca klientom przeprowadzenie migracji do usługi Microsoft Entra.

Zarządzanie tożsamością Microsoft Entra i wbudowane integracje z usługą SAP Cloud Identity Service są idealnym rozwiązaniem do obsługi cyklu życia użytkownika sap i ich autoryzacji w obu systemach ekologicznych.

Dowiedz się więcej z tego artykułu Microsoft Learn i naszego centrum scenariuszy SAP.

Microsoft Security Copilot z oprogramowaniem SAP RISE

Security Copilot to generujący sztuczną inteligencję produkt zabezpieczeń, który umożliwia specjalistom IT reagowanie na zagrożenia cybernetyczne, sygnały procesów i ocenianie narażenia na ryzyko w szybkości i skali sztucznej inteligencji. Ma on własny portal i osadzone środowiska w usługach Microsoft Defender XDR, Microsoft Sentinel i Intune.

Może być używany z dowolnym źródłem danych, które obsługuje usługa Defender XDR i Sentinel, w tym rozwiązanie SAP RISE/ECS. Poniżej przedstawiono środowisko autonomiczne.

Na tym obrazie przedstawiono przykład środowiska microsoft Security Copilot z monitem o zbadanie zdarzenia SAP.

Oprócz tego środowisko copilot zabezpieczeń jest osadzone w portalu XDR usługi Defender. Obok podsumowania wygenerowanego przez sztuczną inteligencję dostępne są zalecenia i korygowanie, takie jak resetowanie hasła dla oprogramowania SAP. Dowiedz się więcej o automatycznych zakłóceniach ataków SAP tutaj.

Na tym obrazie przedstawiono przykład rozwiązania Microsoft Security Copilot analizującego zdarzenie wykryte na platformie SAP RISE za pośrednictwem usługi Defender XDR. Pozyskiwanie danych odbywa się za pośrednictwem rozwiązania Microsoft Sentinel dla aplikacji SAP.

Usługa Microsoft Sentinel z rozwiązaniem SAP RISE

Certyfikowane rozwiązanie SAP RISE dla aplikacji SAP Sentinel umożliwia monitorowanie i wykrywanie podejrzanych działań oraz reagowanie na nie. Usługa Microsoft Sentinel chroni krytyczne dane przed zaawansowanymi cyberatakami dla systemów SAP hostowanych na platformie Azure, w innych chmurach lub infrastrukturze lokalnej. Rozwiązanie Microsoft Sentinel dla oprogramowania SAP BTP rozszerza ten zakres do platformy SAP Business Technology Platform (BTP).

Rozwiązanie umożliwia uzyskanie wglądu w działania użytkowników na platformie SAP RISE/ECS i warstwach logiki biznesowej SAP oraz zastosowanie wbudowanej zawartości usługi Sentinel.

• Używanie jednej konsoli do monitorowania całej infrastruktury przedsiębiorstwa, w tym wystąpień SAP w rozwiązaniu SAP RISE/ECS na platformie Azure i innych chmurach, natywnych i lokalnych infrastrukturze SAP Azure
• Wykrywanie i automatyczne reagowanie na zagrożenia: wykrywanie podejrzanych działań, w tym eskalacja uprawnień, nieautoryzowane zmiany, poufne transakcje, eksfiltracja danych i nie tylko dzięki możliwościom wykrywania gotowego do użycia
• Korelowanie działań SAP z innymi sygnałami: dokładniej wykrywaj zagrożenia SAP przez krzyżowe korelowanie między punktami końcowymi, danymi firmy Microsoft Entra i nie tylko
• Dostosowywanie na podstawie Twoich potrzeb — twórz własne wykrycia, aby monitorować poufne transakcje i inne zagrożenia biznesowe
• Wizualizowanie danych za pomocą wbudowanych skoroszytów

Ten diagram przedstawia przykład usługi Microsoft Sentinel połączony za pośrednictwem pośredniej maszyny wirtualnej lub kontenera z zarządzanym systemem SAP SAP. Pośrednia maszyna wirtualna lub kontener są uruchamiane w ramach własnej subskrypcji klienta ze skonfigurowanym agentem łącznika danych SAP. Połączenie z platformą SAP Business Technology Platform (BTP) używa publicznych interfejsów API sap dla usługi zarządzania dziennikami inspekcji.

W przypadku rozwiązania SAP RISE/ECS rozwiązanie Microsoft Sentinel musi zostać wdrożone w subskrypcji platformy Azure klienta. Wszystkie części rozwiązania Sentinel są zarządzane przez klienta, a nie przez system SAP. Łączność sieci prywatnej z sieci wirtualnej klienta jest wymagana do uzyskania dostępu do środowisk SAP zarządzanych przez rozwiązanie SAP RISE/ECS. Zazwyczaj to połączenie odbywa się za pośrednictwem ustanowionej komunikacji równorzędnej sieci wirtualnych lub za pośrednictwem alternatyw opisanych w tym dokumencie.

Aby włączyć rozwiązanie, wymagany jest tylko autoryzowany użytkownik RFC i nic nie musi być zainstalowane w systemach SAP. Agent zbierania danych SAP oparty na kontenerze dołączony do rozwiązania można zainstalować na maszynie wirtualnej lub w środowisku AKS/dowolnym środowisku Kubernetes. Agent modułu zbierającego używa użytkownika usługi SAP do korzystania z danych dziennika aplikacji ze środowiska SAP za pośrednictwem interfejsu RFC przy użyciu standardowych wywołań RFC.

• Metody uwierzytelniania obsługiwane w oprogramowaniu SAP RISE: nazwa użytkownika i hasło SAP lub certyfikaty X509/SNC
• Obecnie w środowiskach SAP RISE/ECS można używać tylko połączeń opartych na protokole RFC

Ważne

• Uruchomienie usługi Microsoft Sentinel w środowisku SAP RISE/ECS wymaga: importowanie żądania zmiany transportu SAP dla następujących pól/źródła dziennika: informacje o adresie IP klienta z dziennika inspekcji zabezpieczeń SAP, dzienniki tabel bazy danych (wersja zapoznawcza), dziennik danych wyjściowych buforu. Wbudowana zawartość usługi Sentinel (wykrywanie, skoroszyty i podręczniki) zapewnia obszerne pokrycie i korelację bez tych źródeł dzienników.
• Dzienniki infrastruktury i systemu operacyjnego SAP nie są dostępne dla usługi Sentinel w rozwiązaniu RISE ze względu na wspólny model odpowiedzialności.

Automatyczna odpowiedź z funkcjami SOAR usługi Sentinel

Użyj wstępnie utworzonych podręczników do szybkiego reagowania na zagrożenia w zakresie zabezpieczeń, aranżacji, automatyzacji i odpowiedzi (SOAR). Popularnym pierwszym scenariuszem jest blokowanie użytkowników SAP z opcją interwencji z usługi Microsoft Teams. Wzorzec integracji można zastosować do dowolnego typu zdarzenia i usługi docelowej obejmującej platformę SAP Business Technology Platform (BTP) lub identyfikator Entra firmy Microsoft w odniesieniu do zmniejszenia obszaru ataków.

Aby uzyskać więcej informacji na temat usług Microsoft Sentinel i SOAR for SAP, zobacz serię blogów From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals (Od zera do hero security coverage with Microsoft Sentinel for your critical SAP security signals for your critical SAP security signals( Od zera do hero security coverage with Microsoft Sentinel for your critical SAP security signals (Od zera do hero security coverage with Microsoft Sentinel for your critical SAP security signals).

Na tym obrazie przedstawiono zdarzenie SAP wykryte przez usługę Sentinel z opcją blokowania podejrzanego użytkownika na platformie SAP ERP, SAP Business Technology Platform lub identyfikatorze Firmy Microsoft Entra.

Aby uzyskać więcej informacji na temat usług Microsoft Sentinel i SAP, w tym przewodnika wdrażania, zobacz dokumentację produktu Sentinel.

Monitorowanie platformy Azure dla oprogramowania SAP za pomocą rozwiązania SAP RISE

Usługa Azure Monitor dla rozwiązań SAP to rozwiązanie natywne dla platformy Azure do monitorowania systemu SAP. Rozszerza ona możliwości monitorowania platformy Azure Monitor z obsługą zbierania danych na temat oprogramowania SAP NetWeaver, bazy danych i szczegółów systemu operacyjnego.

SAP RISE/ECS to w pełni zarządzana usługa dla środowiska SAP, dlatego usługa Azure Monitoring for SAP nie jest przeznaczona do użycia w takim środowisku zarządzanym. Rozwiązanie SAP RISE/ECS nie obsługuje żadnej integracji z usługą Azure Monitor dla rozwiązań SAP. Własne monitorowanie i raportowanie sap jest używane i udostępniane klientowi zgodnie z opisem usługi z oprogramowaniem SAP.

Centrum platformy Azure dla rozwiązań SAP

Podobnie jak w przypadku usługi Azure Monitoring dla rozwiązań SAP, rozwiązanie SAP RISE/ECS nie obsługuje żadnej integracji z usługą Azure Center for SAP Solutions w żadnej możliwości. Wszystkie obciążenia SAP RISE są wdrażane przez system SAP i działają w dzierżawie i subskrypcji platformy Azure sap bez dostępu klienta do zasobów platformy Azure.

Następne kroki

Zapoznaj się z dokumentacją:

• Omówienie integrowania platformy Azure z platformą SAP RISE
• Opcje łączności sieciowej na platformie Azure z rozwiązaniem SAP RISE
• Integrowanie usług platformy Azure z oprogramowaniem SAP RISE
• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wdrażanie rozwiązania Microsoft Sentinel dla oprogramowania SAP® BTP