了解 Azure 虚拟机身份验证、授权和访问控制
在跨界场景中,可以通过 Azure 部署的域控制器(也可能使用集成的 DNS)扩展本地的 Active Directory 作为身份验证机制。 必须将传统的 Active Directory 服务器和仅提供一部分传统本地 AD 功能的 Microsoft Entra ID 区分开来。 此子集包括标识和访问管理,但不包括许多第三方应用程序使用的完整 AD 架构或服务。 虽然在 Azure 中预配资源要求使用 Microsoft Entra ID,并且它可以将用户与客户的本地 AD 同步,但两者明显不同,客户可能会继续要求在 Microsoft Azure 中部署完整的 Active Directory 服务器。
从身份验证的角度来看,托管在 Azure 虚拟机中的 Active Directory 域控制器通常会构成本地 Active Directory 的扩展。 为了提供足够的复原能力,你应该将承载着域控制器的 Azure 虚拟机放置在同一可用性集中。 通过在同一 Azure 虚拟网络内将域控制器与 SAP 服务器并置,可以将身份验证流量本地化以提高性能。
在 Azure 中托管 SAP 工作负荷方案可能还会生成标识集成和单一登录的需求。 使用 Microsoft Entra ID 连接不同的 SAP 组件和 SAP 软件即服务 (SaaS) 或平台即服务 (PaaS) 产品时,可能会出现这种情况。
可以利用 Microsoft Entra ID 实现对 S/4HANA Fiori Launchpad、SAP HANA 和基于 SAP NetWeaver 的应用程序的单一登录 (SSO)(SAP HANA 也支持实时用户预配)。 Microsoft Entra ID 还可与 SAP Cloud Platform (SCP) 集成,以提供到 SCP 服务的单一登录,这些服务也可以在 Azure 上运行。
在所有级别上使用集中式标识管理系统来控制对资源的访问:
- 通过基于角色的访问控制 (RBAC) 提供对 Azure 资源的访问。
- 通过 LDAP、Microsoft Entra ID、Kerberos 或其他系统授予对 Azure 虚拟机的访问权限。
- 通过 SAP 提供的服务或通过使用 OAuth 2.0 和 Microsoft Entra ID 的服务来支持在应用内部进行的访问。