Compartilhar via

Gerenciamento de identidade e acesso para SAP

  • Artigo

Este artigo se baseia em várias considerações e recomendações definidas no artigo Área de design da zona de destino do Azure para gerenciamento de identidade e acesso. Este artigo descreve as recomendações de identidade e gerenciamento de acesso para implantar uma plataforma SAP no Microsoft Azure. O SAP é uma plataforma crítica, portanto, você deve incluir as diretrizes da área de design da zona de destino do Azure em seu design.

Importante

O SAP SE descontinuou o produto IDM (SAP Identity Management) e recomenda que todos os clientes migrem para Governança do Microsoft Entra ID.

Considerações sobre design

  • Examine as atividades necessárias de administração e gerenciamento do Azure para sua equipe. Considere seu panorama SAP no Azure. Determine a melhor distribuição possível de responsabilidades em sua organização.

  • Determine os limites de administração de recursos do Azure em relação aos limites de administração do SAP Basis entre as equipes de infraestrutura e de SAP Basis. Considere fornecer à equipe do SAP Basis acesso elevado à administração de recursos do Azure em um ambiente de não produção do SAP. Por exemplo, dê a eles uma função de Contribuidor de máquina virtual. Você também pode dar a eles acesso de administração parcialmente elevado, como Contribuidor de Máquina Virtual parcial em um ambiente de produção. Ambas as opções alcançam um bom equilíbrio entre a separação de tarefas e a eficiência operacional.

  • Para equipes centrais de TI e SAP Base, considere usar o PIM (Privileged Identity Management) e a autenticação multifator para acessar recursos da Máquina Virtual SAP do portal do Azure e da infraestrutura subjacente.

Aqui estão as atividades comuns de administração e gerenciamento do SAP no Azure:

Recurso do Azure Provedor de recursos do Azure Atividades
Máquinas virtuais Microsoft.Compute/virtualMachines Iniciar, parar, reiniciar, desalocar, implantar, reimplantar, alterar, redimensionar, extensões, conjuntos de disponibilidade, grupos de posicionamento por proximidade
Máquinas virtuais Microsoft.Compute/disks Ler e gravar em disco
Armazenamento Microsoft.Storage Ler, alterar em contas de armazenamento (por exemplo, diagnóstico de inicialização)
Armazenamento Microsoft.NetApp Ler, alterar em pools e volumes de capacidade do NetApp
Armazenamento Microsoft.NetApp Instantâneos ANF
Armazenamento Microsoft.NetApp Replicação multirregional do ANF
Rede Microsoft.Network/networkInterfaces Ler, criar e alterar interfaces de rede
Rede Microsoft.Network/loadBalancers Ler, criar e alterar balanceadores de carga
Rede Microsoft.Network/networkSecurityGroups Ler NSG
Rede Microsoft.Network/azureFirewalls Ler firewall

  • Comunicação NFS (Secure Network File System) entre o Azure NetApp Files e as Máquinas Virtuais do Azure com criptografia de cliente NFS usando o Kerberos. O Azure NetApp Files dá suporte ao AD DS (Active Directory Domain Services) e ao Microsoft Entra Domain Services para conexões do Microsoft Entra. Considere o efeito no desempenho do Kerberos no NFS v4.1.

  • Conexões RFC (Chamada de Função Remota Segura) entre sistemas SAP com comunicação de rede segura (SNC) usando o nível de proteção apropriado, como QoP (qualidade de proteção). A proteção SNC gera um pouco de sobrecarga de desempenho. Para proteger a comunicação RFC entre servidores de aplicativos do mesmo sistema SAP, o SAP recomenda usar a segurança de rede em vez de SNC. Os seguintes serviços do Azure dão suporte a conexões RFC protegidas por SNC para um sistema de destino SAP: provedores do Azure Monitor para Soluções SAP, runtime de integração auto-hospedada no Azure Data Factory e gateway de dados local no caso do Power BI, Power Apps, Power Automate, Azure Analysis Services e Aplicativos Lógicos do Azure. O SNC precisa ser configurado para SSO (logon único) nesses casos.

Governança e provisionamento de usuário do SAP

  • Considere que uma migração para o Azure pode ser uma oportunidade para examinar e realinhar processos de gerenciamento de identidade e acesso. Revise os processos no seu cenário SAP e nos processos da sua empresa.

    • Examine as políticas de bloqueio de usuário inativas do SAP.
    • Examine a política de senha do usuário sap e alinhe-a com a ID do Microsoft Entra.
    • Revise os procedimentos de LMS (saídas, movimentações e inícios) e os alinhe ao Microsoft Entra ID. Se você estiver usando o SAP Human Capital Management (HCM), o SAP HCM provavelmente conduz o processo de LMS.

  • Considere usar propagação de entidade de segurança do SAP para encaminhar uma identidade da Microsoft para o ambiente SAP.

  • Considere o serviço de provisionamento do Microsoft Entra para provisionar e desprovisionar automaticamente usuários e grupos para o SAP Analytics Cloud, o SAP Identity Authenticatione mais serviços SAP.

  • Considere o provisionamento de usuários do SuccessFactors para o Microsoft Entra ID, com a opção de realizar o write-back do endereço de email para o SuccessFactors.

Recomendações de design

  • Migrar sua solução de IDM (Gerenciamento de Identidade) da SAP para a Governança do Microsoft Entra ID.

  • Implemente o SSO usando o Windows AD, o Microsoft Entra ID ou o AD FS, dependendo do tipo de acesso, para que os usuários finais possam se conectar a aplicativos SAP sem uma ID de usuário e senha depois que o provedor de identidade central os autenticar com êxito.

    • Implemente o SSO para aplicativos SaaS SAP, como SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business ByDesign, SAP Qualtrics e SAP C4C com Microsoft Entra ID usando SAML.
    • Implemente SSO para aplicativos Web baseados em SAP NetWeaver, como SAP Fiori e SAP Web GUI usando SAML.
    • Você pode implementar o SSO na GUI do SAP usando o SSO do SAP NetWeaver ou uma solução de parceiro.
    • Para SSO para SAP GUI e acesso ao navegador da Web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociação GSSAPI simples e protegido) devido à sua facilidade de configuração e manutenção. Para SSO com certificados de cliente X.509, considere o Servidor de Logon Seguro sap, que é um componente da solução de SSO do SAP.
    • Implemente SSO usando o OAuth para SAP NetWeaver para permitir que aplicativos personalizados ou de terceiros acessem os serviços OData do SAP NetWeaver.
    • Implementar SSO para o SAP HANA

  • Implemente a ID do Microsoft Entra como provedor de identidade para sistemas SAP hospedados no RISE. Para obter mais informações, confira Integração do serviço ao Microsoft Entra ID.

  • Para aplicativos que acessam o SAP, use a propagação de credenciais para estabelecer SSO.

  • Se você estiver usando serviços SAP BTP ou soluções SaaS que exigem SAP Cloud Identity Service e IAS (Identity Authentication), implemente SSO entre o SAP Cloud Identity Authentication Services e o Microsoft Entra ID para acessar esses serviços SAP. Essa integração permite que o SAP IAS atue como um fornecedor de identidade proxy e encaminhe solicitações de autenticação para o Microsoft Entra ID como o repositório central de usuários e o provedor de identidade.

  • Se você estiver usando o SAP SuccessFactors, use o provisionamento automatizado de usuário do Microsoft Entra ID. Com essa integração, à medida que você adiciona novos funcionários ao SAP SuccessFactors, você pode criar automaticamente suas contas de usuário na ID do Microsoft Entra. Opcionalmente, você pode criar contas de usuário no Microsoft 365 ou em outros aplicativos SaaS compatíveis com a ID do Microsoft Entra. Use write-back do endereço de email para SAP SuccessFactors.