SAP RISE ile Azure kimlik ve güvenlik hizmetleri
Bu makalede Azure kimlik ve güvenlik hizmetlerinin SAP RISE iş yüküyle tümleştirilmesi ayrıntılı olarak açıklanmaktadır. Ayrıca, SAP RISE ortamı için bazı Azure izleme hizmetlerinin kullanımı açıklanmıştır.
SAP RISE için çoklu oturum açma
Çoklu oturum açma (SSO), birçok SAP ortamı için yapılandırılır. ECS/RISE'da çalışan SAP iş yükleriyle, uygulama adımları yerel olarak çalıştırılan bir SAP sisteminden farklı değildir. Microsoft Entra ID tabanlı SSO ile tümleştirme adımları tipik ECS/RISE yönetilen iş yükleri için kullanılabilir:
- Öğretici: SAP NetWeaver ile Microsoft Entra Çoklu oturum açma (SSO) tümleştirmesi
- Öğretici: SAP Fiori ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi
- Öğretici: SAP HANA ile Microsoft Entra tümleştirmesi
| SSO yöntemi | Kimlik Sağlayıcısı | Tipik kullanım örneği | Uygulama |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra Kimlik | SAP Fiori, Web GUI, Portal, HANA | Müşteriye göre yapılandırma |
| SNC | Microsoft Entra Kimlik | SAP GUI | Müşteriye göre yapılandırma |
| SPNEGO | Active Directory (AD) | Web GUI, SAP Enterprise Portal | Müşteriye ve SAP'ye göre yapılandırma |
SAP SSO Güvenli Oturum Açma İstemcisi ile ECS/RISE yönetilen SAP ortamı için Windows etki alanınızın Active Directory'sine (AD) karşı SSO, son kullanıcı cihazları için AD tümleştirmesi gerektirir. SAP RISE ile tüm Windows sistemleri müşterinin Active Directory etki alanıyla tümleştirilmemiştir. Etki alanı güvenlik belirteci istemci cihazında okunduğu ve SAP sistemiyle güvenli bir şekilde değiştirildiğinden, AD/Kerberos ile SSO için etki alanı tümleştirmesi gerekli değildir. RISE yönetilen sistemlerinde bir yapılandırma gerekebileceğinden, AD tabanlı SSO'nun tümleştirilmesi veya SAP SSO Güvenli Oturum Açma İstemcisi dışındaki üçüncü taraf ürünlerinin kullanılması için herhangi bir değişiklik yapılması gerekiyorsa SAP ile iletişime geçin.
SNC hakkında daha fazla bilgi için bkz . RFC tümleştirmeleri için SAP SNC ile çalışmaya başlama - SAP blogu.
SAP RISE için Kimlik ve Erişim Yönetimi
Not
SAP, SAP Identity Management'ın (SAP IDM) 2027'ye kadar kullanımdan kaldır olduğunu duyurdu. SAP, müşterilere Microsoft Entra'ya geçiş yapmanızı önerir.
SAP Cloud Identity Service ile Microsoft Entra Kimlik Yönetimi ve yerleşik tümleştirmeler, SAP kullanıcı yaşam döngüsünü ve bunların her iki eko sistemdeki yetkilendirmelerini işlemek için ideal bir seçenektir.
Bu Microsoft Learn makalesinden ve SAP senaryoları hub'ımızdan daha fazla bilgi edinin.
SAP RISE ile Microsoft Security Copilot
Güvenlik Copilot , güvenliği güçlendiren ve BT uzmanlarının siber tehditlere yanıt vermesini, sinyalleri işlemesini ve yapay zekanın hızı ve ölçeğinde risk riskini değerlendirmesini sağlayan, üretken bir yapay zeka güvenlik ürünüdür. Microsoft Defender XDR, Microsoft Sentinel ve Intune'da kendi portalı ve ekli deneyimleri vardır.
Sap RISE/ECS dahil olmak üzere Defender XDR ve Sentinel tarafından desteklenen herhangi bir veri kaynağıyla kullanılabilir. Aşağıda tek başına deneyimi gösterilmektedir.
Buna ek olarak, Güvenlik Copilot deneyimi Defender XDR portalına eklenir. Yapay zeka tarafından oluşturulan bir özetin yanında, SAP için parola sıfırlama gibi öneriler ve düzeltmeler hazır olarak sağlanır. Otomatik SAP saldırısı kesintisi hakkında buradan daha fazla bilgi edinin.
SAP RISE ile Microsoft Sentinel
SAP uygulamaları için SAP RISE sertifikalı Microsoft Sentinel çözümü, şüpheli etkinlikleri izlemenize, algılamanıza ve yanıtlamanıza olanak tanır. Microsoft Sentinel, kritik verilerinizi Azure'da, diğer bulutlarda veya şirket içi altyapıda barındırılan SAP sistemleri için karmaşık siber saldırılara karşı korur. SAP BTP için Microsoft Sentinel Çözümü bu kapsamı SAP İş Teknolojisi Platformu'na (BTP) genişletir.
Çözüm, SAP RISE/ECS ve SAP iş mantığı katmanlarındaki kullanıcı etkinliklerine görünürlük kazanmanızı ve Sentinel'in yerleşik içeriğini uygulamanızı sağlar.
- Azure'da SAP RISE/ECS'deki SAP örnekleri ve diğer bulutlar, SAP Azure yerel ve şirket içi varlıklar dahil olmak üzere tüm kurumsal varlıklarınızı izlemek için tek bir konsol kullanın
- Tehditleri algılama ve otomatik olarak yanıtlama: kullanıma açık algılama özellikleriyle ayrıcalık yükseltme, yetkisiz değişiklikler, hassas işlemler, veri sızdırma ve daha fazlası dahil olmak üzere şüpheli etkinlikleri algılama
- SAP etkinliğini diğer sinyallerle ilişkilendirme: Uç noktalar, Microsoft Entra verileri ve daha fazlası arasında çapraz bağıntı kurarak SAP tehditlerini daha doğru bir şekilde algılama
- Gereksinimlerinize göre özelleştirme - hassas işlemleri ve diğer iş risklerini izlemek için kendi algılamalarınızı oluşturun
- Yerleşik çalışma kitaplarıyla verileri görselleştirme
SAP RISE/ECS için Microsoft Sentinel çözümünün müşterinin Azure aboneliğinde dağıtılması gerekir. Sentinel çözümünün tüm bölümleri SAP tarafından değil müşteri tarafından yönetilir. SAP RISE/ECS tarafından yönetilen SAP manzaralarına ulaşmak için müşterinin sanal ağından özel ağ bağlantısı gerekir. Genellikle, bu bağlantı kurulan sanal ağ eşlemesi üzerinden veya bu belgede açıklanan alternatifler aracılığıyla yapılır.
Çözümü etkinleştirmek için yalnızca yetkili bir RFC kullanıcısı gerekir ve SAP sistemlerine hiçbir şey yüklenmez. Çözüme dahil edilen kapsayıcı tabanlı SAP veri toplama aracısı VM veya AKS/herhangi bir Kubernetes ortamına yüklenebilir. Toplayıcı aracısı, standart RFC çağrılarını kullanarak RFC arabirimi aracılığıyla SAP ortamınızdaki uygulama günlüğü verilerini kullanmak için bir SAP hizmet kullanıcısı kullanır.
- SAP RISE'da desteklenen kimlik doğrulama yöntemleri: SAP kullanıcı adı ve parolası veya X509/SNC sertifikaları
- ŞU anda SAP RISE/ECS ortamlarında yalnızca RFC tabanlı bağlantılar mümkündür
Önemli
- Microsoft Sentinel'in bir SAP RISE/ECS ortamında çalıştırılması gerekir: Aşağıdaki günlük alanları/kaynağı için SAP aktarım değişikliği isteğini içeri aktarma: SAP güvenlik denetim günlüğünden istemci IP adresi bilgileri, DB tablo günlükleri (önizleme), biriktirme çıktı günlüğü. Sentinel'in yerleşik içeriği (algılamalar, çalışma kitapları ve playbook'lar) bu günlük kaynakları olmadan kapsamlı kapsam ve bağıntı sağlar.
- PAYLAŞıLAN sorumluluk modeli nedeniyle SAP altyapısı ve işletim sistemi günlükleri RISE'da Sentinel tarafından kullanılamaz.
Sentinel'in SOAR özellikleriyle otomatik yanıt
Tehditlere hızlı tepki vermek için güvenlik, düzenleme, otomasyon ve yanıt özellikleri (SOAR) için önceden oluşturulmuş playbook'ları kullanın. Popüler ilk senaryolardan biri, Microsoft Teams'in müdahale seçeneğiyle sap kullanıcı engellemesidir. Tümleştirme düzeni, saldırı yüzeyinin azaltılmasıyla ilgili olarak SAP İş Teknolojisi Platformu'na (BTP) veya Microsoft Entra ID'ye yayılan herhangi bir olay türüne ve hedef hizmete uygulanabilir.
SAP için Microsoft Sentinel ve SOAR hakkında daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı blog serisine bakın.
Dağıtım kılavuzu da dahil olmak üzere Microsoft Sentinel ve SAP hakkında daha fazla bilgi için Sentinel ürün belgelerine bakın.
SAP RISE ile SAP için Azure İzleme
SAP çözümleri için Azure İzleyici, SAP sisteminizi izlemeye yönelik Azure'a özel bir çözümdür. Sap NetWeaver, veritabanı ve işletim sistemi ayrıntıları hakkında veri toplama desteğiyle Azure izleme platformu izleme özelliğini genişletir.
SAP RISE/ECS, SAP ortamınız için tam olarak yönetilen bir hizmettir ve bu nedenle SAP için Azure İzleme'nin bu tür yönetilen ortamlar için kullanılması amaçlanmamıştır. SAP RISE/ECS, SAP çözümleri için Azure İzleyici ile herhangi bir tümleştirmeyi desteklemez. SAP'nin kendi izleme ve raporlaması kullanılır ve SAP ile hizmet açıklamanız tarafından tanımlanan şekilde müşteriye sağlanır.
SAP Çözümleri için Azure Center
SAP RISE/ECS, SAP çözümleri için Azure İzleme'de olduğu gibi SAP Çözümleri için Azure Merkezi ile herhangi bir tümleştirmeyi hiçbir özellikte desteklemez. Tüm SAP RISE iş yükleri SAP tarafından dağıtılır ve müşterinin Azure kaynaklarına erişimi olmadan SAP'nin Azure kiracısında ve aboneliğinde çalışır.
Sonraki adımlar
Belgelere göz atın: