Gestion des identités et des accès pour SAP
Cet article s’appuie sur des considérations et des recommandations définies dans l’article relatif Zone de conception des zones d’atterrissage Azure pour la gestion des identités et des accès. Cet article décrit les recommandations de gestion des identités et des accès pour le déploiement d’une plateforme SAP sur Microsoft Azure. SAP étant une plateforme stratégique, vous devez inclure une aide relative aux zones de conception des zones d’atterrissage Azure dans votre conception.
Remarques relatives à la conception
Passez en revue les activités d’administration et de gestion Azure requises pour votre équipe. Pensez à votre environnement SAP sur Azure. Déterminez la meilleure distribution possible des responsabilités au sein de votre organisation.
Déterminez les limites de l’administration des ressources Azure par rapport aux limites de l’administration SAP de base entre les équipes d’infrastructure et SAP Basis. Envisagez de fournir à l’équipe SAP Basis un accès élevé à l’administration des ressources Azure dans un environnement de non production SAP. Par exemple, donnez-lui un rôle de contributeur de machine virtuelle. Vous pouvez également lui accorder un accès d’administration partiellement élevé, tel que le contributeur de machines virtuelles partielles dans un environnement de production. Les deux options permettent d’atteindre le juste équilibre entre la séparation des tâches et l’efficacité opérationnelle.
Pour les équipes informatiques centrales et SAP Basis, envisagez d’utiliser Privileged Identity Management (PIM) et l’authentification multifacteur pour accéder aux ressources de machine virtuelle SAP à partir du portail Azure et de l’infrastructure sous-jacente.
Voici les activités d’administration et de gestion courantes de SAP sur Azure :
| Ressource Azure | Fournisseur de ressources Azure | Activités |
|---|---|---|
| Machines virtuelles | Microsoft.Compute/virtualMachines | Démarrer, arrêter, redémarrer, désallouer, déployer, redéployer, modifier, redimensionner, extensions, groupes à haute disponibilité, groupes de placement de proximité |
| Machines virtuelles | Ordinateur/disques Microsoft | Lecture et écriture sur le disque |
| Stockage | Microsoft.Storage | Lecture, modification sur les comptes de stockage (par exemple, diagnostic de démarrage) |
| Stockage | Microsoft.NetApp | Lecture, modification sur les pools de capacité et volumes NetApp |
| Stockage | Microsoft.NetApp | Captures instantanées ANF |
| Stockage | Microsoft.NetApp | Réplication entre régions ANF |
| Mise en réseau | Microsoft.Network/networkInterfaces | Lire, créer et modifier les interfaces réseau |
| Mise en réseau | Microsoft.Network/loadBalancers | Lire, créer et modifier les équilibreurs de charge |
| Mise en réseau | Microsoft.Network/networkSecurityGroups | Lire le groupe de sécurité réseau |
| Mise en réseau | Microsoft.Network/azureFirewalls | Lire le pare-feu |
Si vous utilisez les services SAP Business Technology Platform (BTP), envisagez d’utiliser la propagation principale pour transférer une identité de l’application SAP BTP vers votre paysage SAP à l’aide de SAP Cloud Connector.
Envisagez le service d’approvisionnement Microsoft Entra pour approvisionner et annuler automatiquement l’approvisionnement des utilisateurs et des groupes dans SAP Analytics Cloud et SAP Identity Authentication.
Envisagez une migration vers Azure comme l’opportunité de réviser et de réaligner les processus de gestion des identités et des accès. Passez en revue les processus de votre paysage SAP et les processus au niveau de l’entreprise :
- Passez en revue les stratégies de verrouillage des utilisateurs SAP dormants.
- Examinez la stratégie de mot de passe utilisateur SAP et alignez-la sur Microsoft Entra ID.
- Examinez les procédures relatives aux entrants, changements de poste et sortant (LMS) et alignez-les sur Microsoft Entra ID. Si vous utilisez SAP Human Capital Management (HCM), il est probable que ce produit pilote le processus LMS.
Envisagez d’approvisionner des utilisateurs de SuccessFactors Employee Central dans Microsoft Entra ID, avec écriture différée facultative de l’adresse e-mail dans SuccessFactors.
Communication NFS (Secure Network File System) entre Azure NetApp Files et les machines virtuelles Azure avec chiffrement client NFS à l’aide de Kerberos. Azure NetApp Files prend en charge à la fois Active Directory Domain Services (AD DS) et Microsoft Entra Domain Services pour les connexions Microsoft Entra. Considérez l’effet de Kerberos sur les performances de NFS v4.1.
SAP Identity Management (IDM) s’intègre à Microsoft Entra ID en utilisant l’approvisionnement d’identités cloud SAP comme service proxy. Considérez Microsoft Entra ID comme source de données centrale pour les utilisateurs utilisant SAP IDM. Communication NFS (Secure Network File System) entre Azure NetApp Files et les machines virtuelles Azure avec chiffrement client NFS à l’aide de Kerberos. Azure NetApp Files nécessite une connexion AD DS ou Microsoft Entra Domain Services pour la création de tickets Kerberos. Considérez l’effet de Kerberos sur les performances de NFS v4.1.
Connexions d’appels de fonction à distance (RFC) sécurisées entre les systèmes SAP avec des communications réseau sécurisées (SNC) à l’aide de niveaux de protection appropriés comme la qualité de protection (QoP). La protection SNC engendre la baisse des performances. Pour protéger les communications RFC entre les serveurs d’applications du même système SAP, SAP recommande d’utiliser la sécurité réseau au lieu de SNC. Les services Azure suivants prennent en charge les connexions RFC protégées par SNC à un système cible SAP : fournisseurs d’Azure Monitor pour SAP Solutions, runtime d’intégration auto-hébergé dans Azure Data Factory et passerelle de données locale dans le cas de Power BI, Power Apps, Power Automate, Azure Analysis Services et Azure Logic Apps. SNC est tenu de configurer l’authentification unique (SSO) dans ces cas.
Recommandations de conception
Implémentez l’authentification unique en utilisant Windows AD, Microsoft Entra ID ou AD FS, en fonction du type d’accès, afin que les utilisateurs finaux puissent se connecter aux applications SAP sans identifiant utilisateur et mot de passe une fois que le fournisseur d’identité central les a correctement authentifiés.
- Implémentez l’authentification unique sur des applications SAP Saas telles que SAP Analytics Cloud, SAP Cloud Platform, Business by design, SAP Qualtrics et SAP C4C avec Microsoft Entra ID en tirant parti de SAML.
- Implémentez l’authentification unique pour les applications web basées sur SAP NetWeaver, telles que SAP Fiori et l’interface graphique utilisateur web SAP à l’aide de SAML.
- Vous pouvez implémenter l’authentification unique avec l’interface utilisateur graphique SAP à l’aide de l’authentification unique SAP NetWeaver ou d’une solution partenaire.
- Pour l’authentification unique pour l’accès à l’interface utilisateur graphique SAP et au navigateur web, implémentez SNC – Kerberos/SPNEGO (mécanisme de négociation GSSAPI simple et protégé) en raison de sa facilité de configuration et de maintenance. Pour l’authentification unique avec des certificats clients X.509, considérez le serveur de connexion sécurisée SAP, qui est un composant de la solution SAP SSO.
- Implémentez l’authentification unique à l’aide d’OAuth pour SAP NetWeaver afin de permettre à des applications tierces ou personnalisées d’accéder aux services OData SAP NetWeaver.
- Implémenter l’authentification unique dans SAP HANA
Considérez Microsoft Entra ID comme fournisseur d’identité pour les systèmes SAP hébergés sur RISE. Si vous souhaitez obtenir plus d’informations, consultez Intégration du service avec Microsoft Entra ID.
Pour les applications qui accèdent à SAP, vous pouvez utiliser la propagation du principal pour établir l’authentification unique.
Si vous utilisez des services SAP BTP ou des solutions SaaS qui nécessitent SAP Identity Authentication Service (IAS), envisagez d’implémenter l’authentification unique entre SAP Cloud Identity Authentication Services et Microsoft Entra ID pour accéder à ces services SAP. Cette intégration permet à SAP IAS d’agir comme fournisseur d’identité proxy et de transférer les demandes d’authentification à Microsoft Entra ID en tant que magasin d’utilisateurs central et fournisseur d’identité.
Si vous utilisez SAP SuccessFactors, envisagez d’utiliser l’approvisionnement automatique des utilisateurs Microsoft Entra ID. Grâce à cette intégration, au fur et à mesure que vous ajoutez de nouveaux employés à SAP SuccessFactors, vous pouvez créer automatiquement leur compte d’utilisateur dans Microsoft Entra ID. Si vous le souhaitez, vous pouvez créer des comptes d’utilisateur dans Microsoft 365 ou d’autres applications SaaS prises en charge par Microsoft Entra ID. Utilisez l’écriture différée de l’adresse e-mail dans SAP SuccessFactors.