Layanan identitas dan keamanan Azure dengan SAP RISE
Artikel ini merinci integrasi layanan identitas dan keamanan Azure dengan beban kerja SAP RISE. Selain itu, penggunaan beberapa layanan pemantauan Azure dijelaskan untuk lanskap SAP RISE.
Akses menyeluruh untuk SAP RISE
Akses menyeluruh (SSO) dikonfigurasi untuk banyak lingkungan SAP. Dengan beban kerja SAP yang berjalan di ECS/RISE, langkah-langkah untuk menerapkan tidak berbeda dari sistem SAP yang dijalankan secara asli. Langkah-langkah integrasi dengan SSO berbasis MICROSOFT Entra ID tersedia untuk beban kerja terkelola ECS/RISE yang khas:
- Tutorial: Integrasi Akses Menyeluruh (SSO) Microsoft Entra dengan SAP NetWeaver
- Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Fiori
- Tutorial: Integrasi Microsoft Entra dengan SAP Hana
| Metode SSO | Penyedia Identitas | Kasus penggunaan umum | implementasi |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, Web GUI, Portal, HANA | Konfigurasi menurut pelanggan |
| SNC | Microsoft Entra ID | SAP GUI | Konfigurasi menurut pelanggan |
| SPNEGO | Direktori Aktif (AD) | Web GUI, Portal Perusahaan SAP | Konfigurasi menurut pelanggan dan SAP |
SSO terhadap Active Directory (AD) domain Windows Anda untuk lingkungan SAP terkelola ECS/RISE, dengan SAP SSO Secure Login Client memerlukan integrasi AD untuk perangkat pengguna akhir. Dengan SAP RISE, sistem Windows apa pun tidak terintegrasi dengan domain direktori aktif pelanggan. Integrasi domain tidak diperlukan untuk SSO dengan AD/Kerberos karena token keamanan domain dibaca di perangkat klien dan ditukar dengan aman dengan sistem SAP. Hubungi SAP jika Anda memerlukan perubahan untuk mengintegrasikan SSO berbasis AD atau menggunakan produk pihak ketiga selain SAP SSO Secure Login Client, karena beberapa konfigurasi pada sistem terkelola RISE mungkin diperlukan.
Untuk informasi selengkapnya tentang SNC, lihat Mulai menggunakan SAP SNC untuk integrasi RFC - blog SAP.
Manajemen Identitas dan Akses untuk SAP RISE
Catatan
SAP mengumumkan penghentian SAP Identity Management (SAP IDM) pada tahun 2027. SAP merekomendasikan kepada pelanggan untuk bermigrasi ke Microsoft Entra.
Tata Kelola ID Microsoft Entra dan integrasi bawaan dengan SAP Cloud Identity Service sangat cocok untuk menangani siklus hidup pengguna SAP dan otorisasi mereka di kedua sistem lingkungan.
Pelajari selengkapnya dari artikel Microsoft Learn ini dan hub skenario SAP kami.
Microsoft Security Copilot dengan SAP RISE
Security Copilot adalah produk keamanan AI generatif yang memberdayakan keamanan dan profesional TI menanggapi ancaman cyber, sinyal proses, dan menilai paparan risiko pada kecepatan dan skala AI. Ini memiliki portal sendiri dan pengalaman yang disematkan di Microsoft Defender XDR, Microsoft Sentinel, dan Intune.
Ini dapat digunakan dengan sumber data apa pun yang didukung Defender XDR dan Sentinel, termasuk SAP RISE/ECS. Di bawah ini menunjukkan pengalaman mandiri.
Selain itu, pengalaman Copilot Keamanan disematkan di portal Defender XDR. Di samping ringkasan yang dihasilkan AI, rekomendasi dan remediasi seperti reset kata sandi untuk SAP disediakan di luar kotak. Pelajari selengkapnya tentang gangguan serangan SAP otomatis di sini.
Microsoft Sentinel dengan SAP RISE
Solusi Microsoft Sentinel bersertifikat SAP RISE untuk aplikasi SAP memungkinkan Anda memantau, mendeteksi, dan menanggapi aktivitas yang mencurigakan. Microsoft Azure Sentinel melindungi data penting Anda dari serangan cyber canggih untuk sistem SAP yang dihosting di Azure, cloud lain, atau infrastruktur lokal. Solusi Microsoft Sentinel untuk SAP BTP memperluas cakupan tersebut ke SAP Business Technology Platform (BTP).
Solusi ini memungkinkan Anda untuk mendapatkan visibilitas terhadap aktivitas pengguna pada SAP RISE/ECS dan lapisan logika bisnis SAP dan menerapkan konten bawaan Sentinel.
- Gunakan satu konsol untuk memantau semua properti perusahaan Anda termasuk instans SAP di SAP RISE/ECS di Azure dan cloud lainnya, SAP Azure asli dan lokal
- Mendeteksi dan merespons ancaman secara otomatis: mendeteksi aktivitas mencurigakan termasuk eskalasi hak istimewa, perubahan yang tidak sah, transaksi sensitif, penyelundupan data, dan banyak lagi dengan kemampuan deteksi di luar kotak
- Menghubungkan aktivitas SAP dengan sinyal lain: mendeteksi ancaman SAP dengan lebih akurat dengan berkorelasi silang di seluruh titik akhir, data Microsoft Entra, dan banyak lagi
- Sesuaikan berdasarkan kebutuhan Anda - bangun deteksi Anda sendiri untuk memantau transaksi sensitif dan risiko bisnis lainnya
- Memvisualisasikan data dengan buku kerja bawaan
Untuk SAP RISE/ECS, solusi Microsoft Azure Sentinel harus disebarkan dalam langganan Azure pelanggan. Semua bagian solusi Sentinel dikelola oleh pelanggan dan bukan oleh SAP. Konektivitas jaringan privat dari vnet pelanggan diperlukan untuk mencapai lanskap SAP yang dikelola oleh SAP RISE/ECS. Biasanya, koneksi ini melalui peering vnet yang dibuat atau melalui alternatif yang dijelaskan dalam dokumen ini.
Untuk mengaktifkan solusi, hanya pengguna RFC resmi yang diperlukan dan tidak ada yang perlu diinstal pada sistem SAP. Agen pengumpulan data SAP berbasis kontainer yang disertakan dengan solusi dapat diinstal baik pada VM atau AKS/lingkungan Kubernetes apa pun. Agen kolektor menggunakan pengguna layanan SAP untuk menggunakan data log aplikasi dari lanskap SAP Anda melalui antarmuka RFC menggunakan panggilan RFC standar.
- Metode autentikasi yang didukung di SAP RISE: Nama pengguna dan kata sandi SAP atau sertifikat X509/SNC
- Hanya koneksi berbasis RFC yang saat ini dimungkinkan dengan lingkungan SAP RISE/ECS
Penting
- Menjalankan Microsoft Sentinel di lingkungan SAP RISE/ECS memerlukan: Mengimpor permintaan perubahan transportasi SAP untuk bidang/sumber log berikut: Informasi alamat IP klien dari log audit keamanan SAP, log tabel DB (pratinjau), log output spool. Konten bawaan Sentinel (deteksi, buku kerja, dan playbook) menyediakan cakupan dan korelasi yang luas tanpa sumber log tersebut.
- Infrastruktur SAP dan log sistem operasi tidak tersedia untuk Sentinel di RISE, karena model tanggung jawab bersama.
Respons otomatis dengan kemampuan SOAR Sentinel
Gunakan playbook bawaan untuk kemampuan keamanan, orkestrasi, otomatisasi, dan respons (SOAR) untuk bereaksi terhadap ancaman dengan cepat. Skenario pertama yang populer adalah pemblokiran pengguna SAP dengan opsi intervensi dari Microsoft Teams. Pola integrasi dapat diterapkan ke jenis insiden dan layanan target yang mencakup SAP Business Technology Platform (BTP) atau MICROSOFT Entra ID sehubungan dengan pengurangan permukaan serangan.
Untuk informasi selengkapnya tentang Microsoft Sentinel dan SOAR untuk SAP, lihat seri blog Dari cakupan keamanan nol hingga hero dengan Microsoft Sentinel untuk sinyal keamanan SAP penting Anda.
Untuk informasi selengkapnya tentang Microsoft Azure Sentinel dan SAP, termasuk panduan penyebaran, lihat Dokumentasi produk Sentinel.
Azure Monitor untuk SAP dengan SAP RISE
Azure Monitor untuk solusi SAP adalah solusi asli Azure untuk memantau sistem SAP Anda. Ini memperluas kemampuan monitoring platform monitor Azure dengan dukungan untuk mengumpulkan data tentang SAP NetWeaver, database, dan detail sistem operasi.
SAP RISE/ECS adalah layanan yang terkelola sepenuhnya untuk lanskap SAP Anda dan karenanya Azure Monitoring untuk SAP tidak dimaksudkan untuk digunakan untuk lingkungan terkelola tersebut. SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Monitor untuk solusi SAP. Pemantauan dan pelaporan SAP sendiri digunakan dan disediakan untuk pelanggan seperti yang didefinisikan oleh deskripsi layanan Anda dengan SAP.
Azure Center for SAP Solutions
Seperti halnya solusi Azure Monitoring for SAP, SAP RISE/ECS tidak mendukung integrasi apa pun dengan Azure Center for SAP Solutions dalam kemampuan apa pun. Semua beban kerja SAP RISE disebarkan oleh SAP dan berjalan di penyewa dan langganan Azure SAP, tanpa akses apa pun oleh pelanggan ke sumber daya Azure.
Langkah berikutnya
Lihat dokumentasinya: