Gerenciamento de identidade e acesso para SAP
Este artigo baseia-se em várias considerações e recomendações definidas no artigo Área de design da zona de aterrissagem do Azure para gerenciamento de identidade e acesso. Este artigo descreve as recomendações de gerenciamento de identidade e acesso para implantar uma plataforma SAP no Microsoft Azure. O SAP é uma plataforma de missão crítica, portanto, você deve incluir a orientação da área de design da zona de aterrissagem do Azure em seu design.
Considerações de design
Analise as atividades de administração e gerenciamento do Azure necessárias para sua equipe. Considere seu SAP no cenário do Azure. Determine a melhor distribuição possível de responsabilidades dentro da sua organização.
Determine os limites de administração de recursos do Azure versus os limites de administração do SAP Basis entre as equipes de infraestrutura e SAP Basis. Considere fornecer à equipe do SAP Basis acesso elevado à administração de recursos do Azure em um ambiente SAP que não seja de produção. Por exemplo, atribua-lhes uma função de Colaborador de Máquina Virtual . Você também pode conceder a eles acesso de administração parcialmente elevado, como o Colaborador de Máquina Virtual parcial em um ambiente de produção. Ambas as opções alcançam um bom equilíbrio entre a separação de funções e a eficiência operacional.
Para equipes centrais de TI e SAP Basis, considere o uso do Privileged Identity Management (PIM) e da autenticação multifator para acessar os recursos da Máquina Virtual SAP a partir do portal do Azure e da infraestrutura subjacente.
Aqui estão as atividades comuns de administração e gerenciamento do SAP no Azure:
| Recurso do Azure | Provedor de recursos do Azure | Atividades |
|---|---|---|
| Máquinas virtuais | Microsoft.Compute/virtualMachines | Iniciar, parar, reiniciar, deslocalizar, implantar, reimplantar, alterar, redimensionar, extensões, conjuntos de disponibilidade, grupos de posicionamento de proximidade |
| Máquinas virtuais | Microsoft.Compute/discos | Leitura e gravação em disco |
| Armazenamento | Microsoft.Storage | Ler, alterar em contas de armazenamento (por exemplo, diagnóstico de inicialização) |
| Armazenamento | Microsoft.NetApp | Ler, alterar em pools de capacidade e volumes NetApp |
| Armazenamento | Microsoft.NetApp | Instantâneos ANF |
| Armazenamento | Microsoft.NetApp | Replicação entre regiões ANF |
| Rede | Microsoft.Network/networkInterfaces | Leia, crie e altere interfaces de rede |
| Rede | Microsoft.Network/loadBalancers | Leia, crie e altere balanceadores de carga |
| Rede | Microsoft.Network/networkSecurityGroups | Leia NSG |
| Rede | Microsoft.Network/azureFirewalls | Ler firewall |
Se você estiver usando serviços SAP Business Technology Platform (BTP), considere usar a propagação principal para encaminhar uma identidade do aplicativo SAP BTP para seu cenário SAP usando o SAP Cloud Connector.
Considere o serviço de provisionamento Microsoft Entra para provisionar e desprovisionar automaticamente usuários e grupos para o SAP Analytics Cloud e o SAP Identity Authentication.
Considere que uma migração para o Azure pode ser uma oportunidade para rever e realinhar os processos de gerenciamento de identidade e acesso. Analise os processos em seu cenário SAP e os processos em seu nível corporativo:
- Analise as políticas de bloqueio de usuário inativo do SAP.
- Revise a política de senha de usuário SAP e alinhe-a com o Microsoft Entra ID.
- Analise os procedimentos de saídas, movimentadores e inicializadores (LMS) e alinhe-os com o Microsoft Entra ID. Se você estiver usando o SAP Human Capital Management (HCM), O SAP HCM provavelmente impulsionará o processo de LMS.
Considere provisionar usuários do SuccessFactors Employee Central para o Microsoft Entra ID, com write-back opcional do endereço de email para SuccessFactors.
Comunicação NFS (Sistema de Arquivos de Rede Segura) entre Arquivos NetApp do Azure e Máquinas Virtuais do Azure com criptografia de cliente NFS usando Kerberos. Os Arquivos NetApp do Azure dão suporte aos Serviços de Domínio Ative Directory (AD DS) e aos Serviços de Domínio Microsoft Entra para conexões Microsoft Entra. Considere o efeito de desempenho do Kerberos no NFS v4.1.
O SAP Identity Management (IDM) integra-se ao Microsoft Entra ID usando o provisionamento de identidade na nuvem SAP como um serviço de proxy. Considere o Microsoft Entra ID como uma fonte de dados central para usuários que usam o SAP IDM. Proteja a comunicação NFS (Network File System) entre os Arquivos NetApp do Azure e as Máquinas Virtuais do Azure com criptografia de cliente NFS usando Kerberos. Os Arquivos NetApp do Azure exigem conexão dos Serviços de Domínio AD DS ou Microsoft Entra para emissão de tíquetes Kerberos. Considere o efeito de desempenho do Kerberos no NFS v4.1.
Conexões RFC (Secure Remote Function Call) entre sistemas SAP com comunicações de rede seguras (SNC) usando níveis de proteção apropriados, como qualidade de proteção (QoP). A proteção SNC gera alguma sobrecarga de desempenho. Para proteger a comunicação RFC entre servidores de aplicativos do mesmo sistema SAP, a SAP recomenda o uso de segurança de rede em vez de SNC. Os seguintes serviços do Azure suportam ligações RFC protegidas por SNC a um sistema de destino SAP: Fornecedores do Azure Monitor for SAP Solutions, o tempo de execução de integração auto-alojado no Azure Data Factory e o gateway de dados no local no caso do Power BI, Power Apps, Power Automate, Azure Analysis Services e Azure Logic Apps. O SNC é necessário para configurar o logon único (SSO) nesses casos.
Recomendações de design
Implemente o SSO usando o Windows AD, o Microsoft Entra ID ou o AD FS, dependendo do tipo de acesso, para que os usuários finais possam se conectar a aplicativos SAP sem um ID de usuário e senha assim que o provedor de identidade central os autenticar com êxito.
- Implementar SSO para aplicações SAP SaaS como SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics e SAP C4C com Microsoft Entra ID usando SAML.
- Implemente SSO para aplicativos Web baseados em SAP NetWeaver, como SAP Fiori e SAP Web GUI, usando SAML.
- Você pode implementar SSO para SAP GUI usando o SAP NetWeaver SSO ou uma solução de parceiro.
- Para SSO para SAP GUI e acesso ao navegador web, implemente SNC – Kerberos/SPNEGO (mecanismo de negociação GSSAPI simples e protegido) devido à sua facilidade de configuração e manutenção. Para SSO com certificados de cliente X.509, considere o SAP Secure Login Server, que é um componente da solução SAP SSO.
- Implemente o SSO usando o OAuth for SAP NetWeaver para permitir que aplicativos personalizados ou de terceiros acessem os serviços do SAP NetWeaver OData.
- Implementar SSO no SAP HANA
Considere o Microsoft Entra ID um provedor de identidade para sistemas SAP hospedados no RISE. Para obter mais informações, consulte Integrando o serviço com o Microsoft Entra ID.
Para aplicativos que acessam o SAP, convém usar a propagação principal para estabelecer o SSO.
Se você estiver usando serviços SAP BTP ou soluções SaaS que exijam o SAP Identity Authentication Service (IAS), considere implementar o SSO entre o SAP Cloud Identity Authentication Services e o Microsoft Entra ID para acessar esses serviços SAP. Essa integração permite que o SAP IAS atue como um provedor de identidade de proxy e encaminhe solicitações de autenticação para o Microsoft Entra ID como o armazenamento de usuário central e provedor de identidade.
Se você estiver usando o SAP SuccessFactors, considere usar o provisionamento automatizado de usuários do Microsoft Entra ID. Com essa integração, à medida que você adiciona novos funcionários ao SAP SuccessFactors, você pode criar automaticamente suas contas de usuário no Microsoft Entra ID. Opcionalmente, você pode criar contas de usuário no Microsoft 365 ou outros aplicativos SaaS que são suportados pelo Microsoft Entra ID. Use write-back do endereço de e-mail para SAP SuccessFactors.