Serviços de segurança e identidade do Azure com o SAP RISE
Este artigo detalha a integração dos serviços de segurança e identidade do Azure com uma carga de trabalho do SAP RISE. Além disso, o uso de alguns serviços de monitoramento do Azure é explicado para um cenário do SAP RISE.
Logon único para SAP RISE
O SSO (logon único) está configurado para vários ambientes SAP. Com cargas de trabalho SAP em execução no ECS/RISE, as etapas a serem implementadas não diferem de um sistema SAP executado nativamente. As etapas de integração com o SSO baseado no Microsoft Entra ID estão disponíveis para cargas de trabalho gerenciadas típicas do ECS/RISE:
- Tutorial: Integração do logon único (SSO) do Microsoft Entra ao SAP NetWeaver
- Tutorial: Integração do SSO (logon único) do Microsoft Entra ao SAP Fiori
- Tutorial: Integração do Microsoft Entra com o SAP HANA
| Método de SSO | Provedor de identidade | Caso de uso típico | Implementação |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, Web GUI, Portal, HANA | Configuração por cliente |
| SNC | Microsoft Entra ID | SAP GUI | Configuração por cliente |
| SPNEGO | AD (Active Directory) | GUI da Web, SAP Enterprise Portal | Configuração por cliente e SAP |
O SSO no AD (Active Directory) do seu domínio do Windows para ambiente SAP gerenciado por ECS/RISE, com o Cliente de Logon Seguro do SAP SSO, requer integração do AD para dispositivos de usuário final. Com o SAP RISE, os sistemas Windows não são integrados ao domínio do Active Directory do cliente. A integração de domínio não é necessária para SSO com AD/Kerberos, pois o token de segurança de domínio é lido no dispositivo cliente e trocado com segurança pelo sistema SAP. Entre em contato com o SAP se você precisar de alterações para integrar o SSO baseado no AD ou usar produtos de terceiros que não sejam o Cliente de Logon Seguro do SAP SSO, pois pode ser necessária alguma configuração nos sistemas gerenciados pelo RISE.
Para obter mais informações sobre o SNC, veja Introdução ao SAP SNC para integrações RFC - blog SAP.
Gerenciamento de Identidade e Acesso para SAP RISE
Observação
O SAP anunciou a desativação do Gerenciamento de Identidade do SAP (SAP IDM) até 2027. O SAP recomenda que os clientes migrem para o Microsoft Entra.
O Microsoft Entra ID Governance e as integrações internas com o SAP Cloud Identity Service são a opção ideal para lidar com o ciclo de vida do usuário do SAP e as respectivas autorizações nos dois ecossistemas.
Saiba mais neste artigo do Microsoft Learn e nosso hub de cenários SAP.
Microsoft Security Copilot com SAP RISE
O Security Copilot é um produto de segurança com IA generativa que capacita os profissionais de segurança e TI a responderem a ameaças cibernéticas, processarem sinais e avaliarem a exposição a riscos na velocidade e na escala da IA. Ele tem seu próprio portal e experiências inseridas no Microsoft Defender XDR, Microsoft Sentinel e Intune.
Ele pode ser usado com qualquer fonte de dados com suporte pelo Defender XDR e Sentinel, incluindo o SAP RISE/ECS. A imagem abaixo mostra a experiência autônoma.
Além disso, a experiência do Security Copilot está inserida no portal do Defender XDR. Ao lado de um resumo gerado por IA, recomendações e correções, como redefinição de senha para SAP, são fornecidas prontas para uso. Saiba mais sobre a interrupção automática de ataques ao SAP aqui.
Microsoft Sentinel com SAP RISE
Os aplicativos da solução do Microsoft Sentinel para SAP, certificados pelo SAP RISE, permitem monitorar, detectar e responder a atividades suspeitas. O Microsoft Sentinel protege seus dados críticos contra ataques cibernéticos sofisticados para sistemas SAP hospedados no Azure, em outras nuvens ou na infraestrutura local. A Solução do Microsoft Sentinel para SAP BTP expande essa cobertura para o SAP Business Technology Platform (BTP).
A solução permite que você obtenha visibilidade das atividades do usuário no SAP RISE/ECS e nas camadas de lógica de negócios do SAP e aplique o conteúdo interno do Sentinel.
- Use um único console para monitorar todas as suas propriedades corporativas, incluindo instâncias SAP no SAP RISE/ECS no Azure e em outras nuvens, propriedade nativa e local do SAP Azure
- Detectar e responder automaticamente às ameaças: detecte atividades suspeitas, incluindo elevação de privilégios, alterações não autorizadas, transações confidenciais, exfiltração de dados e muito mais com recursos de detecção prontos para uso
- Correlacionar a atividade do SAP com outros sinais: detecte com mais precisão as ameaças do SAP através de correlação cruzada entre pontos de extremidade, dados do Microsoft Entra e muito mais
- Personalizar com base em suas necessidades: crie suas próprias detecções para monitorar transações confidenciais e outros riscos de negócios
- Visualizar os dados com pastas de trabalho internas
Para o SAP RISE/ECS, a solução do Microsoft Sentinel deve ser implantada na assinatura do Azure do cliente. Todas as partes da solução Sentinel são gerenciadas pelo cliente e não pelo SAP. A conectividade de rede privada da vnet do cliente é necessária para alcançar os cenários SAP gerenciados pelo SAP RISE/ECS. Normalmente, essa conexão é feita por meio do emparelhamento de vnet estabelecido ou por meio de alternativas descritas neste documento.
Para habilitar a solução, é necessário apenas um usuário RFC autorizado e nada precisa ser instalado nos sistemas SAP. O agente de coleta de dados SAP baseado em contêiner incluído na solução pode ser instalado em VM ou AKS/qualquer ambiente do Kubernetes. O agente coletor usa um usuário de serviço SAP para consumir dados de log do aplicativo do ambiente SAP por meio da interface RFC, usando chamadas RFC padrão.
- Métodos de autenticação com suporte no SAP RISE: nome de usuário e senha do SAP ou certificados X509/SNC
- Atualmente, somente conexões baseadas em RFC são possíveis com ambientes SAP RISE/ECS
Importante
- A execução do Microsoft Sentinel em um ambiente SAP RISE/ECS requer: Importar uma solicitação de alteração de transporte SAP para os seguintes campos/fonte de log: Informações de endereço IP do cliente do log de auditoria de segurança do SAP, logs de tabela de BD (versão prévia), log de saída do spool. O conteúdo interno do Sentinel (detecções, pastas de trabalho e guias estratégicos) fornece ampla cobertura e correlação sem essas fontes de log.
- Os logs da infraestrutura SAP e do sistema operacional não estão disponíveis para o Sentinel no RISE, devido ao modelo de responsabilidade compartilhada.
Resposta automática com os recursos SOAR do Sentinel
Use guias estratégicos predefinidos para recursos de segurança, orquestração, automação e resposta (SOAR) para reagir rapidamente às ameaças. Um primeiro cenário popular é o bloqueio de usuários SAP com a opção de intervenção do Microsoft Teams. O padrão de integração pode ser aplicado a qualquer tipo de incidente e serviço de destino que abranja o SAP Business Technology Platform (BTP) ou o Microsoft Entra ID com relação à redução da superfície de ataque.
Para obter mais informações sobre o Microsoft Sentinel e o SOAR para SAP, confira a série de blogs Do zero à cobertura de segurança de herói com o Microsoft Sentinel para seus sinais críticos de segurança do SAP.
Para obter mais informações sobre o Microsoft Sentinel e o SAP, incluindo um guia de implantação, confira a documentação do produto Sentinel.
Monitoramento do Azure para SAP com SAP RISE
O Azure Monitor para soluções SAP é uma solução nativa do Azure para monitorar seu sistema SAP. Ele estende a funcionalidade de monitoramento da plataforma do Azure Monitor com suporte para coletar dados sobre o SAP NetWeaver, o banco de dados e os detalhes do sistema operacional.
O SAP RISE/ECS é um serviço totalmente gerenciado para seu cenário SAP e, portanto, o Monitoramento do Azure para SAP não se destina ao uso nesse ambiente gerenciado. O SAP RISE/ECS não dá suporte a nenhuma integração com o Azure Monitor para soluções SAP. O monitoramento e os relatórios próprios do SAP são usados e fornecidos ao cliente, conforme definido na descrição do serviço com o SAP.
Centro do Azure para soluções SAP
Assim como acontece com o Azure Monitor para soluções SAP, o SAP RISE/ECS não dá suporte a nenhuma integração com o Centro do Azure para soluções SAP em qualquer capacidade. Todas as cargas de trabalho do SAP RISE são implantadas pelo SAP e executadas no locatário e na assinatura do Azure do SAP, sem nenhum acesso do cliente aos recursos do Azure.
Próximas etapas
Confira a documentação de referência: