Explore a autenticação, a autorização e o controle de acesso da Máquina Virtual do Azure
Em cenários entre instalações, o Active Directory do local pode ser estendido para servir como o mecanismo de autenticação por meio de um controlador de domínio implantado do Azure (bem como o uso do DNS integrado). É importante distinguir entre os servidores tradicionais do Active Directory e o Microsoft Entra ID que fornece apenas um subconjunto dos recursos tradicionais do AD local. Esse subconjunto inclui Gerenciamento de Acesso e Identidade, mas não tem o esquema completo do AD ou serviços que muitos aplicativos de terceiros aproveitam. Embora o Microsoft Entra ID seja um requisito para provisionar recursos no Azure, e ele pode sincronizar usuários com o AD local dos clientes, os dois são explicitamente diferentes e os clientes provavelmente continuarão a exigir servidores do Active Directory completos implantados no Microsoft Azure.
Do ponto de vista da autenticação, os controladores de domínio do Active Directory hospedados nas Máquinas Virtuais do Azure normalmente constituem uma extensão de um Active Directory local. Para fornecer resiliência suficiente, você deve colocar as Máquinas Virtuais do Azure que hospedam controladores de domínio no mesmo conjunto de disponibilidade. Ao posicionar controladores de domínio com servidores SAP na mesma rede virtual do Azure, você melhora o desempenho localizando o tráfego de autenticação.
A hospedagem de cenários de carga de trabalho do SAP no Azure também pode criar requisitos de integração de identidade e logon único. Essa situação pode ocorrer quando você Microsoft Entra ID para conectar diferentes componentes SAP e ofertas de SaaS (software como serviço) ou PaaS (plataforma como serviço) do SAP.
Você pode aproveitar o Microsoft Entra ID para habilitar o SSO (logon único) para os S/4HANA Fiori Launchpad, SAP HANA e aplicativos baseados no SAP NetWeaver (SAP HANA também dá suporte ao provisionamento de usuário just-in-time). O Microsoft Entra ID também pode ser integrado ao SAP Cloud Platform (SCP) para fornecer logon único aos seus serviços do SCP, que também podem ser executados no Azure.
Controle o acesso aos recursos usando um sistema de gerenciamento centralizado de identidades em todos os níveis:
- Forneça acesso aos recursos do Azure por meio de controle de acesso baseado em função (RBAC).
- Permita acesso às Máquinas Virtuais do Azure por meio do LDAP, do Microsoft Entra ID, do Kerberos ou de outro sistema.
- Dar suporte ao acesso dentro dos próprios aplicativos por meio dos serviços que o SAP fornece ou que usam o OAuth 2.0 e o Microsoft Entra ID.