SAP 的身分識別和存取管理
本文是以 Azure 登陸區域設計區域 識別和存取管理一文中所定義的數個考慮和建議為基礎。 本文說明在 Microsoft Azure 上部署 SAP 平臺的身分識別和存取管理建議。 SAP 是任務關鍵性平臺,因此您應該在設計中包含 Azure 登陸區域設計區域指引。
重要
SAP SE 已 日落 SAP 身分識別管理 (IDM) 產品,並建議其所有客戶移轉至 Microsoft Entra ID Governance。
設計考慮
檢閱團隊所需的 Azure 管理和經營活動。 請考慮 Azure 上的 SAP 環境。 判斷組織內最可能的責任分佈。
判斷 Azure 資源管理界限與基礎結構小組和 SAP 基礎小組之間的 SAP Basis 管理界限之區別。 請考慮在 SAP 非生產環境中為 SAP Basis 小組提供 Azure 資源管理的高級存取權限。 例如,為他們提供 虛擬機貢獻者 角色。 您也可以提供部分提升的管理權限,例如在生產環境中的部分虛擬機器貢獻者權限。 這兩個選項在職責分離和營運效率之間取得了良好的平衡。
針對中央 IT 和 SAP 基礎架構團隊,請考慮使用 Privileged Identity Management(PIM)和多因素驗證,從 Azure 入口網站及其底層基礎結構存取 SAP 虛擬機資源。
以下是 Azure 上 SAP 的常見管理和管理活動:
| Azure 資源 | Azure 資源提供者 | 活動 |
|---|---|---|
| 虛擬機 | Microsoft.Compute/virtualMachines | 啟動、停止、重新啟動、解除分配、部署、重新部署、變更、重設大小、擴充功能、可用性設定組、鄰近放置群組 |
| 虛擬機 | Microsoft.Compute/disks | 讀取和寫入磁碟 |
| 存儲 | Microsoft.Storage | 讀取、變更儲存帳戶(例如開機診斷) |
| 存儲 | Microsoft.NetApp | 對 NetApp 容量集區和磁碟區進行讀取和變更 |
| 存儲 | Microsoft.NetApp | ANF 快照集 |
| 存儲 | Microsoft.NetApp | ANF 跨區域複寫 |
| 聯網 | Microsoft.Network/networkInterfaces | 讀取、建立和變更網路介面 |
| 聯網 | Microsoft.Network/loadBalancers | 讀取、建立和變更負載平衡器 |
| 聯網 | Microsoft.Network/networkSecurityGroups | 讀取 NSG |
| 聯網 | Microsoft.Network/azureFirewalls | 讀取防火牆 |
使用 Kerberos
NFS 用戶端加密,保護 Azure NetApp Files 與 Azure 虛擬機之間的網路檔案系統 (NFS) 通訊。 Azure NetApp Files 支援 Active Directory 網域服務(AD DS)和 Microsoft Entra 網域服務,以進行 Microsoft Entra 的連線。 請考慮 Kerberos 對 NFS v4.1 的效能影響。 使用適當的保護層級,例如保護品質(QoP),保護 SAP 系統與安全網路通訊 (SNC) 之間的遠端函數呼叫 (RFC) 連線。 SNC 保護會產生一些效能上的額外負擔。 為了保護相同 SAP 系統之應用程式伺服器之間的 RFC 通訊,SAP 建議使用網路安全性,而不是 SNC。 下列 Azure 服務支援 SNC 保護的 RFC 連線至 SAP 目標系統:適用於 SAP 解決方案的 Azure 監視器提供者、Azure Data Factory 中的自我裝載整合運行時間,以及 Power BI、Power Apps、Power Automate、Azure Analysis Services 和 Azure Logic Apps 的內部部署數據閘道。 SNC 必須在這些情況下設定單一登錄(SSO)。
SAP 使用者控管和佈署
請考慮移轉至 Azure 可能是檢閱和重新調整身分識別和存取管理程序的機會。 檢閱 SAP 環境中的程式,以及企業層級的程式:
- 檢閱 SAP 休眠使用者鎖定原則。
- 檢閱 SAP 使用者密碼原則,並將它與 Microsoft Entra ID 一致。
- 檢討離職者、調職者和新成員的流程,並將它們與 Microsoft Entra ID 對齊。 如果您使用 SAP 人力資源管理 (HCM),SAP HCM 可能會驅動 LMS 程式。
請考慮使用 SAP 主體權限傳遞,將 Microsoft 身分識別轉送至 SAP 環境。
請考慮 Microsoft Entra 布建服務,自動布建和取消布建使用者和群組到 SAP Analytics Cloud、SAP 身分驗證服務等 SAP 服務。
請考慮將使用者從 SuccessFactors 佈建至 Microsoft Entra ID,並可選擇性地將電子郵件地址回寫到 SuccessFactors。
設計建議
將 SAP 身分識別管理 (IDM) 解決方案 移轉至 Microsoft Entra ID Governance。
視存取類型而定,使用 Windows AD、Microsoft Entra ID 或 AD FS 實作 SSO,如此一旦中央身分識別提供者成功驗證,使用者就可以連線到沒有使用者標識符和密碼的 SAP 應用程式。
- 實作 SSO 至 SAP SaaS 應用程式,例如 SAP Analytics Cloud、SAP Business Technology Platform(BTP)、SAP Business ByDesign、SAP Qualtrics 及 SAP C4C,使用 Microsoft Entra ID 和 SAML。
- 使用 SAML 實作 SSO 以 SAP NetWeaver型 Web 應用程式,例如 SAP Fiori 和 SAP Web GUI。
- 您可以使用 SAP NetWeaver SSO 或合作夥伴解決方案來實作 SSO 至 SAP GUI。
- 針對 SAP GUI 和網頁瀏覽器存取的 SSO,請實作 SNC – Kerberos/SPNEGO (簡單且受保護的 GSSAPI 交涉機制),因為它易於設定和維護。 針對具有 X.509 用戶端憑證的 SSO,請考慮 SAP Secure Login Server,這是 SAP SSO 解決方案的元件。
- 使用適用於 SAP NetWeaver 的 OAuth 實作
SSO,以允許第三方或自定義應用程式存取 SAP NetWeaver OData 服務。 - 實施 SSO 至 SAP HANA
將 Microsoft Entra ID 作為管理於 RISE 平台上的 SAP 系統的身份識別提供者。 如需詳細資訊,請參閱 整合服務與 Microsoft Entra ID。
對於存取 SAP 的應用程式,請使用 主體傳播來建立 SSO。
如果您使用需要 SAP Cloud Identity Service、Identity Authentication (IAS) 的 SAP BTP 服務或 SaaS 解決方案,在 SAP Cloud Identity Authentication Services 與 Microsoft Entra ID 之間實作 SSO,以存取這些 SAP 服務。 此整合可讓 SAP IAS 作為 Proxy 識別提供者,並將驗證要求轉送至Microsoft Entra ID 作為中央使用者存放區和身分識別提供者。
如果您使用 SAP SuccessFactors,請使用 Microsoft Entra ID 自動化使用者配置。 透過這項整合,當您將新員工新增至 SAP SuccessFactors 時,可以自動於 Microsoft Entra ID 建立其用戶帳戶。 您可以選擇性地在 Microsoft 365 或其他 Microsoft Entra 識別碼支援的 SaaS 應用程式中建立使用者帳戶。 使用電子郵件位址回寫功能至 SAP SuccessFactors。