Identitets- och åtkomsthantering för SAP
Den här artikeln bygger på flera överväganden och rekommendationer som definieras i artikeln Designområde för Azure-landningszoner för identitets- och åtkomsthantering. I den här artikeln beskrivs rekommendationer för identitets- och åtkomsthantering för distribution av en SAP-plattform i Microsoft Azure. SAP är en verksamhetskritisk plattform, så du bör inkludera vägledningen för designområdet för Azure-landningszoner i din design.
Viktig
SAP SE har solnedgång produkten SAP Identity Management (IDM) och rekommenderar alla sina kunder att migrera till Microsoft Entra ID Governance.
Designöverväganden
Granska de nödvändiga azure-administrations- och hanteringsaktiviteterna för ditt team. Överväg ditt SAP på Azure-landskap. Fastställa bästa möjliga ansvarsfördelning inom din organisation.
Fastställa gränserna för Azure-resursadministration jämfört med SAP Basis-administrationsgränserna mellan infrastruktur- och SAP Basis-teamen. Överväg att ge SAP Basis-teamet utökad åtkomst till Azure-resursadministration i en SAP-miljö som inte är produktionsmiljö. Ge dem till exempel rollen virtuell maskindeltagarbidragsgivare. Du kan också ge dem delvis förhöjd administrationsåtkomst, till exempel partiell virtuell datordeltagare i en produktionsmiljö. Båda alternativen ger en bra balans mellan ansvarsfördelning och driftseffektivitet.
För centrala IT- och SAP-basteam bör du överväga att använda Privileged Identity Management (PIM) och multifaktorautentisering för att få åtkomst till SAP Virtual Machine-resurser från Azure-portalen och den underliggande infrastrukturen.
Här är vanliga administrations- och hanteringsaktiviteter för SAP i Azure:
| Azure-resurs | Azure-resursprovider | Verksamhet |
|---|---|---|
| Virtuella datorer | Microsoft.Compute/virtualMachines | Starta, stoppa, starta om, frånkoppla, distribuera, distribuera om, ändra, ändra storlek, tillägg, tillgänglighetsuppsättningar, närhetsplaceringsgrupper |
| Virtuella datorer | Microsoft.Compute/diskar | Läsa och skriva till disk |
| Lagring | Microsoft.Storage | Läs, ändra på lagringskonton (till exempel startdiagnostik) |
| Lagring | Microsoft.NetApp | Läs och ändra i NetApp-kapacitetspooler och volymer |
| Lagring | Microsoft.NetApp | ANF-ögonblicksbilder |
| Lagring | Microsoft.NetApp | REPLIkering mellan ANF-regioner |
| Nätverkande | Microsoft.Network/networkInterfaces | Läsa, skapa och ändra nätverksgränssnitt |
| Nätverkande | Microsoft.Network/loadBalancers | Läsa, skapa och ändra lastbalanserare |
| Nätverkande | Microsoft.Network/nätverkssäkerhetsgrupper | Läs NSG |
| Nätverkande | Microsoft.Network/azureFirewalls | Läs brandväggen |
Säker NFS-kommunikation (Network File System) mellan Azure NetApp Files och Azure Virtual Machines med NFS-klientkryptering med Kerberos. Azure NetApp Files stöder Active Directory Domain Services (AD DS) och Microsoft Entra Domain Services för Microsoft Entra-anslutningar. Överväg prestandaeffekten för Kerberos på NFS v4.1.
RFC-anslutningar (Secure Remote Function Call) mellan SAP-system med säker nätverkskommunikation (SNC) med hjälp av lämpliga skyddsnivåer, till exempel QoP (Quality of Protection). SNC-skydd genererar vissa prestandakostnader. För att skydda RFC-kommunikation mellan programservrar i samma SAP-system rekommenderar SAP att du använder nätverkssäkerhet i stället för SNC. Följande Azure-tjänster stöder SNC-skyddade RFC-anslutningar till ett SAP-målsystem: Leverantörer av Azure Monitor för SAP-lösningar, den lokalt installerade integrationskörningen i Azure Data Factory och den lokala datagatewayen i händelse av Power BI, Power Apps, Power Automate, Azure Analysis Services och Azure Logic Apps. SNC krävs för att konfigurera enkel inloggning (SSO) i dessa fall.
SAP-användarstyrning och tilldelning
Tänk på att en migrering till Azure kan vara en möjlighet att granska och justera processer för identitets- och åtkomsthantering. Granska processerna i DITT SAP-landskap och processerna på företagsnivå:
- Granska principerna för vilande användarutelåsning för SAP.
- Granska lösenordspolicyn för SAP-användare och justera den så att den överensstämmer med Microsoft Entra ID.
- Granska procedurerna för slutare, flyttare och nybörjare (LMS) och anpassa dem till Microsoft Entra ID. Om du använder SAP Human Capital Management (HCM) driver SAP HCM sannolikt LMS-processen.
Överväg att använda SAP Principal Propagation för att skicka vidare en Microsoft-identitet till ditt SAP-landskap.
Överväg att använda Microsoft Entra-etableringstjänsten för att automatiskt tillhandahålla och ta bort användare och grupper till SAP Analytics Cloud, SAP Identity Authenticationoch fler SAP-tjänster.
Överväg att förse användare från SuccessFactors till Microsoft Entra ID, med valfri tillbakaskrivning av e-postadress till SuccessFactors.
Designrekommendationer
Migrera din IDM-lösning (SAP Identity Management) till Microsoft Entra ID Governance.
Implementera enkel inloggning med hjälp av Windows AD, Microsoft Entra ID eller AD FS, beroende på åtkomsttyp, så att slutanvändarna kan ansluta till SAP-program utan användar-ID och lösenord när den centrala identitetsprovidern har autentiserat dem.
- Implementera enkel inloggning till SAP SaaS-program som SAP Analytics Cloud, SAP Business Technology Platform (BTP), Business by design, SAP Qualtrics och SAP C4C med Microsoft Entra ID med hjälp av SAML.
- Implementera SSO för att SAP NetWeaver-baserade webbprogram som SAP Fiori och SAP Web GUI med hjälp av SAML.
- Du kan implementera enkel inloggning till SAP GUI med hjälp av SAP NetWeaver SSO eller en partnerlösning.
- För enkel inloggning för SAP GUI och webbläsaråtkomst implementerar du SNC – Kerberos/SPNEGO (enkel och skyddad GSSAPI-förhandlingsmekanism) på grund av dess enkla konfiguration och underhåll. För enkel inloggning med X.509-klientcertifikat bör du överväga SAP Secure Login Server, som är en komponent i SAP SSO-lösningen.
- Implementera SSO (Single Sign-On) med hjälp av OAuth för SAP NetWeaver för att tillåta tredjepartsapplikationer eller anpassade applikationer att få åtkomst till SAP NetWeaver OData-tjänster.
- Implementera SSO till SAP HANA
Implementera Microsoft Entra ID som identitetsprovider för SAP-system som finns på RISE. Mer information finns i Integrera tjänsten med Microsoft Entra ID.
För program som har åtkomst till SAP använder du huvudspridning för att upprätta SSO-.
Om du använder SAP BTP-tjänster eller SaaS-lösningar som kräver SAP Cloud Identity Service, Identity Authentication (IAS), och implementera SSO mellan SAP Cloud Identity Authentication-tjänster och Microsoft Entra ID för åtkomst till dessa SAP-tjänster. Med den här integreringen kan SAP IAS fungera som en proxyidentitetsprovider och vidarebefordra autentiseringsbegäranden till Microsoft Entra-ID som central användararkiv och identitetsprovider.
Om du använder SAP SuccessFactors, använd Microsoft Entra-ID för automatiserad användarprovisionering. Med den här integreringen, när du lägger till nya anställda i SAP SuccessFactors, kan du automatiskt skapa deras användarkonton i Microsoft Entra-ID. Du kan också skapa användarkonton i Microsoft 365 eller andra SaaS-program som stöds av Microsoft Entra-ID. Använd funktionen för att skriva tillbaka e-postadressen till SAP SuccessFactors.