Управление удостоверениями и доступом для SAP
Эта статья основана на нескольких соображениях и рекомендациях, определенных в статье области разработки целевой зоны Azure для управления удостоверениями и доступом. В этой статье описываются рекомендации по управлению удостоверениями и доступом для развертывания платформы SAP в Microsoft Azure. SAP — это критически важная платформа, поэтому в проект следует включить руководство по проектированию целевой зоны Azure.
Важный
SAP SE закат продукт SAP Identity Management (IDM) и рекомендует всем своим клиентам перейти на управление идентификаторами Майкрософт.
Рекомендации по проектированию
Просмотрите необходимые действия администрирования и управления Azure для вашей команды. Рассмотрим SAP в ландшафте Azure. Определите оптимальное распределение обязанностей в организации.
Определите границы администрирования ресурсов Azure и границы администрирования базы SAP между инфраструктурой и командами sap Basis. Рассмотрите возможность предоставления команде SAP Basis повышенных привилегий административного доступа к ресурсам Azure в непроизводственной среде SAP. Например, назначьте им роль участника виртуальной машины . Вы также можете предоставить им частично повышенный доступ к администрированию, как, например, частичный доступ на роль Участника виртуальной машины в производственной среде. Оба варианта обеспечивают хороший баланс между разделением обязанностей и эффективностью работы.
Для центральных ит-отделов и команд SAP Basis рекомендуется использовать привилегированное управление удостоверениями (PIM) и многофакторную проверку подлинности для доступа к ресурсам виртуальной машины SAP на портале Azure и базовой инфраструктуре.
Ниже приведены распространенные действия администрирования и управления SAP в Azure:
| Ресурс Azure | Поставщик ресурсов Azure | Деятельности |
|---|---|---|
| Виртуальные машины | Microsoft.Compute/virtualMachines | Запуск, остановка, перезапуск, деактивация, развертывание, повторное развертывание, изменение, изменение размера, расширения, наборы доступности, группы близкого размещения. |
| Виртуальные машины | Microsoft.Compute/disks | Чтение и запись на диск |
| Хранение | Microsoft.Storage | Чтение и изменение данных в учетных записях хранилища (например, диагностика запуска системы) |
| Хранение | Microsoft.NetApp | Чтение и изменение пулов емкости и томов NetApp |
| Хранение | Microsoft.NetApp | Моментальные снимки ANF |
| Хранение | Microsoft.NetApp | Репликация ANF между регионами |
| Сети | Microsoft.Network/networkInterfaces | Чтение, создание и изменение сетевых интерфейсов |
| Сети | Microsoft.Network/loadBalancers | Чтение, создание и изменение балансировщиков нагрузки |
| Сети | Microsoft.Network/networkSecurityGroups | Чтение NSG |
| Сети | Microsoft.Network/azureFirewalls | Чтение брандмауэра |
Безопасное взаимодействие файловой системы сети (NFS) между Azure NetApp Files и виртуальными машинами Azure с шифрованием клиента NFS с помощью kerberos. Azure NetApp Files поддерживает доменные службы Active Directory (AD DS) и доменные службы Microsoft Entra для подключений Microsoft Entra. Рассмотрим влияние производительности Kerberos на NFS версии 4.1.
Безопасный удаленный вызов функции (RFC) между системами SAP с безопасными сетевыми коммуникациями (SNC), используя соответствующие уровни защиты, такие как качество защиты (QoP). Защита SNC создает некоторые потери производительности. Чтобы защитить связь RFC между серверами приложений одной системы SAP, SAP рекомендует использовать сетевую безопасность вместо SNC. Следующие службы Azure поддерживают подключения RFC, защищенные SNC, к целевой системе SAP: поставщики Azure Monitor для решений SAP, локальная среда выполнения интеграции в Фабрике данных Azure и локальный шлюз данных в случае Power BI, Power Apps, Power Automate, Azure Analysis Services и Azure Logic Apps. В этих случаях SNC требуется для настройки единого входа (SSO).
Управление и предоставление доступа пользователям SAP
Рассмотрим, что миграция в Azure может быть возможностью просматривать и перестроить процессы управления удостоверениями и доступом. Просмотрите процессы в ландшафте SAP и процессы на корпоративном уровне:
- Просмотрите политики блокировки неактивных пользователей SAP.
- Просмотрите политику пароля пользователя SAP и выровняйте ее с идентификатором Microsoft Entra.
- Просмотрите процедуры ухода, перемещений и новичков (LMS) и приведите их в соответствие с идентификатором Microsoft Entra. Если вы используете SAP Human Capital Management (HCM), SAP HCM, скорее всего, управляет процессом LMS.
Рассмотрите возможность использования распространения субъекта SAP для пересылки удостоверения Майкрософт в ландшафт SAP.
Рассмотрите использование службы подготовки Microsoft Entra для автоматического предоставления и удаления пользователей и групп в SAP Analytics Cloud, SAP Identity Authenticationи других служб SAP.
Рассмотрите возможность предоставления доступа пользователям из SuccessFactors в Microsoft Entra ID с необязательной обратной записью адреса электронной почты в SuccessFactors.
Рекомендации по проектированию
перенести решение SAP Identity Management (IDM) в систему управления идентификаторами Microsoft Entra ID.
Реализуйте единый вход с помощью Windows AD, Идентификатора Microsoft Entra или AD FS в зависимости от типа доступа, чтобы конечные пользователи могли подключаться к приложениям SAP без идентификатора пользователя и пароля после успешной проверки подлинности центрального поставщика удостоверений.
- Внедрите единый вход в приложения SAP SaaS, такие как SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business by Design, SAP Qualtrics и SAP C4C с использованием Microsoft Entra ID через SAML.
- Реализуйте единую аутентификацию для веб-приложений на базе SAP NetWeaver, таких как SAP Fiori и SAP Web GUI, используя SAML.
- Вы можете реализовать единый вход (SSO) в SAP GUI с помощью SAP NetWeaver SSO или партнерского решения.
- Для единого входа для SAP GUI и доступа к веб-браузеру реализуйте SNC — Kerberos/SPNEGO (простой и защищенный механизм согласования GSSAPI) из-за простоты настройки и обслуживания. Для единого входа с сертификатами клиента X.509 рассмотрим сервер безопасного входа SAP, который является компонентом решения SAP SSO.
- Реализуйте единый вход с помощью OAuth для SAP NetWeaver, чтобы разрешить сторонним или пользовательским приложениям доступ к службам OData SAP NetWeaver.
- Реализация единого входа в SAP HANA
Реализуйте идентификатор Microsoft Entra в качестве поставщика удостоверений для систем SAP, размещенных в RISE. Дополнительные сведения см. в разделе Интеграция службы с Microsoft Entra ID.
Для приложений, обращающихся к SAP, используйте распространение полномочий для установки единого входа.
Если вы используете службы SAP BTP или решения SaaS, требующие SAP Cloud Identity Service, Identity Authentication (IAS), , реализуйте единый вход между службами SAP Cloud Identity Authentication Services и Идентификатором Microsoft Entra ID для доступа к этим службам SAP. Эта интеграция позволяет SAP IAS выступать в качестве поставщика удостоверений прокси и пересылать запросы проверки подлинности в идентификатор Microsoft Entra в качестве центрального хранилища пользователей и поставщика удостоверений.
Если вы используете SAP SuccessFactors, воспользуйтесь Microsoft Entra ID для автоматизированного предоставления пользователей. Благодаря этой интеграции при добавлении новых сотрудников в SAP SuccessFactors вы можете автоматически создавать учетные записи пользователей в идентификаторе Microsoft Entra ID. При необходимости можно создавать учетные записи пользователей в Microsoft 365 или других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra. Используйте обратную запись адреса электронной почты в SAP SuccessFactors.