Azure 身分識別和安全性服務搭配 SAP RISE
本文詳細說明 Azure 身分識別和安全性服務與 SAP RISE 工作負載的整合。 SAP RISE 環境會說明一些 Azure 監視服務的使用方式。
SAP 的單一登入
許多 SAP 環境已設定單一登入 (SSO)。 在 ECS/RISE 中執行的 SAP 工作負載時,實作的步驟與原生執行的 SAP 系統並無不同。 與 Microsoft Entra ID 型 SSO 的整合步驟適用於一般 ECS/RISE 受控工作負載:
- 教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP NetWeaver 整合
- 教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP Fiori 整合
- 教學課程:Microsoft Entra 與 SAP HANA 整合
| SSO 方法 | 身分識別提供者 | 典型的使用案例 | 實作 |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori、Web GUI、入口網站、HANA | 依客戶設定 |
| SNC | Microsoft Entra ID | SAP GUI | 依客戶設定 |
| SPNEGO | Active Directory (AD) | Web GUI、SAP 企業版入口網站 | 依客戶設定和 SAP |
針對 ECS/RISE 受控 SAP 環境的 Windows 網域進行 SSO 對 Active Directory (AD),而 SAP SSO 安全登入用戶端則需要終端使用者裝置的 AD 整合。 透過 SAP RISE,任何 Windows 系統都不會與客戶的 Active Directory 網域整合。 與 AD/Kerberos 的 SSO 不需要網域整合,因為用戶端裝置上會讀取網域安全性權杖,並與 SAP 系統安全地交換。 如果您需要任何變更來整合 AD 型 SSO 或使用 SAP SSO 安全登入用戶端以外的第三方產品,請連絡 SAP,因為可能需要在 RISE 受控系統上進行某些設定。
安全性 Copilot 搭片 SAP RISE
安全性 Copilot 是一種生成式 AI 安全性產品,可讓安全性和 IT 專業人員回應網路威脅、處理訊號,以及評估 AI 的速度和規模的風險暴露。 在 Microsoft Defender XDR、Microsoft Sentinel 和 Intune 中有自己的入口網站和內嵌體驗。
可以與 Defender XDR 和 Sentinel 支援的任何資料來源搭配使用,包括 SAP RISE/ECS。 以下顯示獨立體驗。
此外,適用於安全性 Copilot 體驗也內嵌在 Defender XDR 入口網站中。 在 AI 產生的摘要旁邊,會提供現成可用的建議和補救,例如 SAP 的密碼重設。 在這裡深入了解自動 SAP 攻擊中斷。
Microsoft Sentinel 搭配 SAP RISE
SAP RISE 認證適用於 SAP 應用程式的 Microsoft Sentinel 解決方案可讓您監視、偵測及回應可疑的活動。 Microsoft Sentinel 可保護您的重要資料,防範 Azure、其他雲端或內部部署基礎結構上裝載的 SAP 系統的複雜網路攻擊。 適用於 SAP BTP 的 Microsoft Sentinel 解決方案將涵蓋範圍拓展至商業技術平台 (BTP) 系統。
此解決方案可讓您了解 SAP RISE/ECS 和 SAP 商業規則層上的使用者活動,並套用 Sentinel 的內建內容。
- 使用單一控制台來監視所有企業資產,包括 Azure 上 SAP RISE/ECS 中的 SAP 執行個體和其他雲端、SAP Azure 原生和內部部署資產
- 偵測和自動回應威脅:偵測可疑的活動,包括權限提升、未經授權的變更、敏感性交易、資料外流和更多現成偵測功能
- 將 SAP 活動與其他訊號相互關聯:透過跨端點相互關聯、Microsoft Entra 資料等等,更準確地偵測 SAP 威脅
- 根據需求自訂 - 建立您自己的偵測,以監視敏感性交易和其他商務風險
- 使用內建活頁簿將資料可視化
針對 SAP RISE/ECS,Microsoft Sentinel 解決方案必須部署在客戶的 Azure 訂用帳戶中。 Sentinel 解決方案的所有部分都是由客戶管理,而不是由 SAP 管理。 需要客戶 Vnet 的專用網連線,才能連線到 SAP RISE/ECS 所管理的 SAP 環境。 一般而言,此連線是透過已建立的 Vnet 對等互連,或透過本文件中所述的替代方式進行。
若要啟用解決方案,只需要授權的 RFC 使用者,而且不需要在 SAP 系統上安裝任項目。 容器型 SAP 資料收集代理程式隨附的解決方案可以安裝在 VM 或 AKS/任何 Kubernetes 環境中。 收集器代理程式會使用 SAP 服務使用者,使用標準 RFC 呼叫,透過 RFC 介面取用 SAP 環境的應用程式記錄資料。
- SAP RISE 中支援的驗證方法:SAP 使用者名稱和密碼或 X509/SNC 憑證
- 目前只有 RFC 型連線可以搭配 SAP RISE/ECS 環境使用
重要
- 在 SAP RISE/ECS 環境中執行 Microsoft Sentinel 需要:匯入下列記錄欄位/來源的 SAP 傳輸變更要求:來自 SAP 安全性稽核記錄的用戶端 IP 位址資訊、資料庫資料表記錄 (預覽)、多任務緩衝輸出記錄。 Sentinel 的內建內容 (偵測、活頁簿和劇本) 在沒有這些記錄來源的情況下,提供廣泛的涵蓋範圍和相互關聯。
- SAP 基礎結構和作業系統記錄無法供 RISE 中的 Sentinel 使用,因為共用責任模型。
使用 Sentinel 的 SOAR 功能自動回應
針對安全性、協調流程、自動化和回應功能 (SOAR) 使用預先建置的劇本來快速響應威脅。 熱門的第一個案例是 SAP 使用者封鎖 Microsoft Teams 的介入選項。 整合模式可以套用至任何跨越 SAP Business Technology Platform (BTP) 或 Microsoft Entra 識別碼的事件類型和目標服務,以降低受攻擊面。
如需適用於 SAP 的 Microsoft Sentinel 和 SOAR 的詳細資訊,請參閱部落格系列從零到主角安全性涵蓋範圍,並針對重要 SAP 安全性訊號 Microsoft Sentinel。
如需 Microsoft Sentinel 和 SAP 的詳細資訊,包括部署指南,請參閱 Sentinel 產品文件。
適用於 SAP 的 Azure 監視器搭配 SAP RISE
適用於 SAP 解決方案的 Azure 監視器是用來監視 SAP 系統的 Azure 原生解決方案。 這個解決方案擴充了 Azure 監視器平台的監視功能,支援收集 SAP NetWeaver、資料庫和作業系統詳細資料的相關資料。
SAP RISE/ECS 是 SAP 環境的完整受控服務,因此適用於 SAP 的 Azure 監視並非設計用於這類受控環境。 SAP RISE/ECS 不支援與適用於 SAP 解決方案的 Azure 監視器進行任何整合。 根據您為 SAP 定義的服務描述,SAP 自己的監視和報告會使用並提供給客戶。
Azure SAP 解決方案中心
與適用於 SAP 解決方案的 Azure 監視一樣,SAP RISE/ECS 不支援任何功能 Azure SAP 解決方案中心的任何整合。 SAP 會部署所有 SAP RISE 工作負載,並在 SAP 的 Azure 租用戶和訂用帳戶中執行,而不需要客戶存取 Azure 資源。
下一步
參閱文件: