Gerenciamento de identidade e acesso para SAP
Este artigo baseia-se em várias considerações e recomendações definidas no artigo área de design da zona de aterrissagem do Azure para gerenciamento de identidade e acesso. Este artigo descreve as recomendações de gerenciamento de identidade e acesso para implantar uma plataforma SAP no Microsoft Azure. O SAP é uma plataforma de missão crítica, portanto, você deve incluir a orientação da área de design da zona de aterrissagem do Azure em seu design.
Importante
A SAP SE pôs sol do produto SAP Identity Management (IDM) e recomenda a todos os seus clientes que migrem para Microsoft Entra ID Governance.
Considerações de design
Analise as atividades de administração e gerenciamento do Azure necessárias para sua equipe. Considere seu SAP no cenário do Azure. Determine a melhor distribuição possível de responsabilidades dentro da sua organização.
Determine os limites de administração de recursos do Azure versus os limites de administração do SAP Basis entre as equipes de infraestrutura e SAP Basis. Considere fornecer à equipe do SAP Basis acesso elevado à administração de recursos do Azure em um ambiente SAP que não seja de produção. Por exemplo, dê-lhes uma função de Colaborador de Máquina Virtual. Você também pode conceder a eles acesso de administração com permissões parcialmente elevadas, como Colaborador parcial de Máquina Virtual em um ambiente de produção. Ambas as opções alcançam um bom equilíbrio entre a separação de funções e a eficiência operacional.
Para equipes centrais de TI e SAP Basis, considere o uso do Privileged Identity Management (PIM) e da autenticação multifator para acessar os recursos da Máquina Virtual SAP a partir do portal do Azure e da infraestrutura subjacente.
Aqui estão as atividades comuns de administração e gerenciamento do SAP no Azure:
| Recurso do Azure | Provedor de recursos do Azure | Atividades |
|---|---|---|
| Máquinas virtuais | Microsoft.Compute/virtualMachines | Iniciar, parar, reiniciar, deslocalizar, implantar, reimplantar, alterar, redimensionar, extensões, conjuntos de disponibilidade, grupos de posicionamento de proximidade |
| Máquinas virtuais | Microsoft.Compute/discos | Leitura e gravação em disco |
| Armazenamento | Microsoft.Armazenamento | Ler e alterar nas contas de armazenamento (por exemplo, diagnósticos de arranque) |
| Armazenamento | Microsoft.NetApp | Ler e alterar nos pools de capacidade e volumes da NetApp |
| Armazenamento | Microsoft.NetApp | Instantâneos ANF |
| Armazenamento | Microsoft.NetApp | Replicação entre regiões ANF |
| Ligação em rede | Microsoft.Network/networkInterfaces | Leia, crie e altere interfaces de rede |
| Ligação em rede | Microsoft.Network/loadBalancers | Leia, crie e altere balanceadores de carga |
| Ligação em rede | Microsoft.Network/networkSecurityGroups | Leia NSG |
| Ligação em rede | Microsoft.Network/azureFirewalls | Ler os registos do firewall |
Comunicação NFS (Sistema de Arquivos de Rede Segura) entre Arquivos NetApp do Azure e Máquinas Virtuais do Azure com criptografia de cliente NFS usando Kerberos. Os Arquivos NetApp do Azure dão suporte aos Serviços de Domínio Active Directory (AD DS) e aos Serviços de Domínio Microsoft Entra para as conexões Microsoft Entra. Considere o efeito de desempenho do Kerberos no NFS v4.1.
Conexões RFC (Secure Remote Function Call) entre sistemas SAP com comunicações de rede seguras (SNC) usando níveis de proteção apropriados, como qualidade de proteção (QoP). A proteção SNC gera alguma sobrecarga de desempenho. Para proteger a comunicação RFC entre servidores de aplicativos do mesmo sistema SAP, a SAP recomenda o uso de segurança de rede em vez de SNC. Os seguintes serviços do Azure dão suporte a conexões RFC protegidas por SNC para um sistema de destino SAP: Serviços de Monitorização do Azure para Soluções SAP, o ambiente de execução de integração auto-hospedado no Azure Data Factory e o gateway de dados local para Power BI, Power Apps, Power Automate, Azure Analysis Services e Azure Logic Apps. O SNC precisa configurar a autenticação única (SSO) nesses casos.
Governança e provisionamento de usuários SAP
Considere que uma migração para o Azure pode ser uma oportunidade para rever e realinhar os processos de gerenciamento de identidade e acesso. Analise os processos em seu cenário SAP e os processos em seu nível corporativo:
- Revise as políticas de bloqueio de usuário inativo do SAP.
- Revise a política de senha de usuário SAP e alinhe-a com o Microsoft Entra ID.
- Revise os procedimentos de saídas, transferências e admissões (LMS) e alinhe-os com o Microsoft Entra ID. Se você estiver usando o SAP Human Capital Management (HCM), O SAP HCM provavelmente impulsionará o processo de LMS.
Considere usar de propagação principal SAP para encaminhar uma identidade Microsoft para seu cenário SAP.
Considere o serviço de provisionamento Microsoft Entra para provisionar e desprovisionar automaticamente usuários e grupos para SAP Analytics Cloud, SAP Identity Authenticatione mais serviços SAP.
Considere provisionar usuários do SuccessFactors para o Microsoft Entra ID, com write-back opcional do endereço de email para SuccessFactors.
Recomendações de design
Migre sua solução SAP Identity Management (IDM) para o Microsoft Entra ID Governance.
Implemente o SSO usando o Windows AD, o Microsoft Entra ID ou o AD FS, dependendo do tipo de acesso, para que os usuários finais possam se conectar a aplicativos SAP sem um ID de usuário e senha assim que o provedor de identidade central os autenticar com êxito.
- Implemente SSO para aplicativos SAP SaaS como SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business by design, SAP Qualtrics e SAP C4C com Microsoft Entra ID usando SAML.
- Implemente o SSO para aplicativos Web baseados no SAP NetWeaver, como SAP Fiori e SAP Web GUI usando SAML.
- Você pode implementar SSO para SAP GUI usando o SAP NetWeaver SSO ou uma solução de parceiro.
- Para SSO para SAP GUI e acesso ao navegador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociação GSSAPI simples e protegido) devido à sua facilidade de configuração e manutenção. Para SSO com certificados de cliente X.509, considere o SAP Secure Login Server, que é um componente da solução SAP SSO.
- Implemente SSO usando o OAuth for SAP NetWeaver para permitir que aplicativos personalizados ou de terceiros acessem os serviços SAP NetWeaver OData.
- Implementar SSO no SAP HANA
Implemente o Microsoft Entra ID como provedor de identidade para sistemas SAP hospedados no RISE. Para obter mais informações, consulte Integrando o serviço com o Microsoft Entra ID.
Para aplicativos que acessam o SAP, use propagação principal para estabelecer o SSO.
Se estiver a usar serviços SAP BTP ou soluções SaaS que exijam o Serviço de Identidade da SAP Cloud, Autenticação de Identidade (IAS), implemente SSO entre o Serviço de Autenticação de Identidade da SAP Cloud e o ID do Microsoft Entra para aceder a esses serviços SAP. Esta integração permite que o SAP IAS atue como um fornecedor de identidade proxy e envie autenticações para o Microsoft Entra ID como o repositório central de utilizadores e fornecedor de identidade.
Se estiveres a usar o SAP SuccessFactors, utiliza o Microsoft Entra ID o provisionamento automatizado de utilizadores. Com essa integração, à medida que você adiciona novos funcionários ao SAP SuccessFactors, você pode criar automaticamente suas contas de usuário no Microsoft Entra ID. Opcionalmente, você pode criar contas de usuário no Microsoft 365 ou em outros aplicativos SaaS suportados pelo Microsoft Entra ID. Utilize a opção de escrita para trás do endereço de e-mail no SAP SuccessFactors.