探索 Azure 虛擬機器驗證、授權和存取控制
在跨單位案例中,可透過 Azure 部署的網域控制站 (也可能使用整合式 DNS) 擴充內部部署的 Active Directory,以作為驗證機制。 請務必區分傳統 Active Directory 伺服器和 Microsoft Entra ID,後者只提供傳統內部部署 AD 功能的子集。 此子集會包含身分識別與存取權管理,但沒有許多協力廠商應用程式所利用的完整 AD 結構描述或服務。 雖然在 Azure 中佈建資源需要 Microsoft Entra ID,而且其可以同步使用者與客戶的內部部署 AD,但這兩者明顯不同,而且客戶可能會繼續要求在 Microsoft Azure 中部署完整的 Active Directory 伺服器。
從驗證的觀點來看,裝載於 Azure 虛擬機器中的 Active Directory 網域控制站通常會構成內部部署的 Active Directory 的延伸模組。 若要提供足夠的復原,您應該將裝載網域控制站的 Azure 虛擬機器放置在相同的可用性設定組中。 藉由將網域控制站和 SAP 伺服器共置於相同的 Azure 虛擬網路中,您就能將驗證流量當地語系化以提升效能。
在 Azure 中裝載 SAP 工作負載案例也可能會產生身分識別整合和單一登入的需求。 此情況可能會在使用 Microsoft Entra ID 來連線不同的 SAP 元件和 SAP 軟體即服務 (SaaS) 或平台即服務 (PaaS) 供應項目時發生。
您可以利用 Microsoft Entra ID,啟用 S/4HANA Fiori 啟動控制板、SAP HANA 和 SAP NetWeaver 應用程式的單一登入 (SSO) (SAP HANA 還支援 Just-In-Time 使用者佈建)。 Microsoft Entra ID 也可以與 SAP Cloud Platform (SCP) 整合,提供您 SCP 服務的單一登入,讓這些服務也可以在 Azure 上執行。
藉由在所有層級使用集中式身分識別管理系統,以控制資源的存取權:
- 透過角色型存取控制 (RBAC) 提供 Azure 資源的存取權。
- 透過 LDAP、Microsoft Entra ID、Kerberos 或其他系統授與 Azure 虛擬機器的存取權。
- 支援透過 SAP 提供的服務在應用程式本身內存取,或者使用 OAuth 2.0 和 Microsoft Entra ID。