SAP 的身分識別和存取管理
本文以 Azure 登陸區域設計區域中針對身分識別和存取管理 所定義的 幾個考慮和建議為基礎。 本文說明在 Microsoft Azure 上部署 SAP 平臺的身分識別和存取管理建議。 SAP 是任務關鍵性平臺,因此您應該在設計中包含 Azure 登陸區域設計區域指引。
設計考量
檢閱小組所需的 Azure 管理和管理活動。 請考慮 Azure 上的 SAP 環境。 判斷組織內最可能的責任分佈。
判斷 Azure 資源管理界限與基礎結構與 SAP 基礎小組之間的 SAP 基礎管理界限。 請考慮在 SAP 非生產環境中為 SAP Basis 小組提供提升許可權的 Azure 資源管理存取權。 例如,為他們提供 虛擬機器參與者 角色。 您也可以提供部分提升的系統管理存取權,例如生產環境中的部分虛擬機器參與者。 這兩個選項在職責分離和營運效率之間取得了良好的平衡。
針對中央 IT 和 SAP 基礎小組,請考慮使用 Privileged Identity Management (PIM) 和多重要素驗證,從Azure 入口網站和基礎結構存取 SAP 虛擬機器資源。
以下是 Azure 上 SAP 的常見管理和管理活動:
| Azure 資源 | Azure 資源提供者 | 活動 |
|---|---|---|
| 虛擬機器 | Microsoft.Compute/virtualMachines | 啟動、停止、重新開機、解除配置、部署、重新部署、變更、調整大小、擴充功能、可用性設定組、鄰近放置群組 |
| 虛擬機器 | Microsoft.Compute/disks | 讀取和寫入磁片 |
| 儲存體 | Microsoft.Storage | 讀取、變更儲存體帳戶 (例如開機診斷) |
| 儲存體 | Microsoft.NetApp | 讀取、變更 NetApp 容量集區和磁片區 |
| 儲存體 | Microsoft.NetApp | ANF 快照集 |
| 儲存體 | Microsoft.NetApp | ANF 跨區域複寫 |
| 網路 | Microsoft.Network/networkInterfaces | 讀取、建立和變更網路介面 |
| 網路 | Microsoft.Network/loadBalancers | 讀取、建立和變更負載平衡器 |
| 網路 | Microsoft.Network/networkSecurityGroups | 讀取 NSG |
| 網路 | Microsoft.Network/azureFirewalls | 讀取防火牆 |
如果您使用 SAP Business Technology Platform (BTP) 服務,請考慮使用主體傳播,使用 SAP BTP 應用程式將身分識別轉送至 SAP 環境,方法是使用 SAP Cloud 連線or。
請考慮使用 Microsoft Entra 布建服務,將使用者和群組自動布建和取消布建至 SAP Analytics 雲端 和 SAP 身分識別驗證 。
請考慮移轉至 Azure 可能是檢閱和重新調整身分識別和存取管理程式的機會。 檢閱 SAP 環境中的程式,以及企業層級的程式:
- 檢閱 SAP 休眠使用者鎖定原則。
- 檢閱 SAP 使用者密碼原則,並將其與 Microsoft Entra ID 對齊。
- 檢閱離開者、移動者和入門程式(LMS)程式,並將它們與 Microsoft Entra ID 一致。 如果您使用 SAP 人力資源管理 (HCM),SAP HCM 可能會驅動 LMS 程式。
請考慮將使用者從 SuccessFactors Employee Central 布建到 Microsoft Entra ID,並選擇性地將電子郵件地址回寫至 SuccessFactors。
使用 Kerberos 保護 Azure NetApp Files 與 Azure 虛擬機器 與 NFS 用戶端加密之間的網路檔案系統 (NFS) 通訊。 Azure NetApp Files 支援 Active Directory 網域服務 (AD DS) 和 Microsoft Entra Domain Services for Microsoft Entra 連線。 請考慮 Kerberos 對 NFS v4.1 的效能影響。
SAP 身分識別管理 (IDM) 會使用 SAP 雲端身分識別布建作為 Proxy 服務,與 Microsoft Entra ID 整合。 將 Microsoft Entra ID 視為使用 SAP IDM 之使用者的中央資料來源。 使用 Kerberos 保護 Azure NetApp Files 與 Azure 虛擬機器與 NFS 用戶端加密之間的網路檔案系統 (NFS) 通訊。 Azure NetApp Files 需要 AD DS 或 Microsoft Entra Domain Services 連線,以進行 Kerberos 票證。 請考慮 Kerberos 對 NFS v4.1 的效能影響。
使用適當的保護層級,例如保護品質(QoP),保護 SAP 系統與安全網路通訊 (SNC) 之間的遠端函數呼叫 (RFC) 連線。 SNC 保護會產生一些效能額外負荷。 為了保護相同 SAP 系統之應用程式伺服器之間的 RFC 通訊,SAP 建議使用網路安全性,而不是 SNC。 下列 Azure 服務支援 SNC 保護的 RFC 連線至 SAP 目標系統:適用于 SAP 解決方案的 Azure 監視器提供者、Azure Data Factory 中的自我裝載整合執行時間,以及 Power BI、Power Apps、Power Automate、Azure Analysis Services 和 Azure Logic Apps 的內部部署資料閘道。 在這些情況下,必須設定單一登入 (SSO) SNC。
設計建議
根據存取類型,使用 Windows AD、Microsoft Entra ID 或 AD FS 實作 SSO,如此一旦中央身分識別提供者成功驗證,終端使用者就可以連線到沒有使用者識別碼和密碼的 SAP 應用程式。
- 使用 SAML 搭配 Microsoft Entra ID,實作 SSO 至 SAP SaaS 應用程式,例如 SAP Analytics Cloud 、 SAP Cloud Platform 、 Business by design 、 SAP Qualtrics 和 SAP C4C 。
- 使用 SAML 實作 SSO 至 SAP NetWeaver 型 Web 應用程式,例如 SAP Fiori 和 SAP Web GUI。
- 您可以使用 SAP NetWeaver SSO 或合作夥伴解決方案來實作 SSO 至 SAP GUI。
- 針對 SAP GUI 和網頁瀏覽器存取的 SSO,請實作 SNC – Kerberos/SPNEGO (簡單且受保護的 GSSAPI 交涉機制),因為它易於設定和維護。 針對具有 X.509 用戶端憑證的 SSO,請考慮 SAP Secure Login Server,這是 SAP SSO 解決方案的元件。
- 使用適用于 SAP NetWeaver 的 OAuth 實 作 SSO,以允許協力廠商或自訂應用程式存取 SAP NetWeaver OData 服務。
- 實作 SSO 至 SAP HANA
請考慮使用 Microsoft Entra ID 作為裝載在 RISE 上的 SAP 系統的識別提供者。 如需詳細資訊,請參閱 整合服務與 Microsoft Entra ID 。
對於存取 SAP 的應用程式,您可能想要使用 主體傳播來建立 SSO 。
如果您使用需要 SAP 身分識別驗證服務 (IAS) 的 SAP BTP 服務或 SaaS 解決方案, 請考慮實作 SAP Cloud Identity Authentication Services 與 Microsoft Entra ID 之間的 SSO 來存取這些 SAP 服務。 此整合可讓 SAP IAS 作為 Proxy 識別提供者,並將驗證要求轉送至 Microsoft Entra ID 作為中央使用者存放區和身分識別提供者。
如果您使用 SAP SuccessFactors,請考慮使用 Microsoft Entra ID 自動化使用者布建 。 透過這項整合,當您將新員工新增至 SAP SuccessFactors 時,您可以在 Microsoft Entra ID 中自動建立其使用者帳戶。 您可以選擇性地在 Microsoft 365 或其他 Microsoft Entra ID 支援的 SaaS 應用程式中建立使用者帳戶。 使用電子郵件地址的回寫至 SAP SuccessFactors。