Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo detalha a integração dos serviços de segurança e identidade do Azure com uma carga de trabalho do SAP RISE. Além disso, o uso de alguns serviços de monitoramento do Azure é explicado para um cenário do SAP RISE.
Logon único do SAP RISE
O SSO (logon único) está configurado para vários ambientes SAP. Com cargas de trabalho SAP em execução no ECS/RISE, as etapas a serem implementadas não diferem de um sistema SAP executado nativamente. As etapas de integração ao SSO baseado no Microsoft Entra ID estão disponíveis para cargas de trabalho gerenciadas típicas do ECS/RISE:
- Tutorial: Integração do SSO (logon único) do Microsoft Entra ao SAP NetWeaver
- Tutorial: Integração do SSO (logon único) do Microsoft Entra ao SAP Fiori
- Tutorial: Integração do Microsoft Entra ao SAP HANA
| Método de SSO | Provedor de identidade | Caso de uso típico | Implementação |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, GUI da Web, Portal, HANA | Configuração por cliente |
| SNC | Microsoft Entra ID | GUI do SAP | Configuração por cliente |
| SPNEGO | AD (Active Directory) | GUI da Web, SAP Enterprise Portal | Configuração por cliente e SAP |
O SSO no AD (Active Directory) do seu domínio do Windows para ambiente SAP gerenciado por ECS/RISE, com o Cliente de Logon Seguro do SAP SSO, requer integração do AD para dispositivos de usuário final. Com o SAP RISE, os sistemas Windows não são integrados ao domínio do Active Directory do cliente. A integração de domínio não é necessária para SSO com AD/Kerberos, pois o token de segurança de domínio é lido no dispositivo cliente e trocado com segurança pelo sistema SAP. Entre em contato com a SAP se você precisar de alterações para integrar o SSO baseado no AD ou usar produtos de terceiros que não sejam o Cliente de Logon Seguro do SAP SSO, pois pode ser necessária alguma configuração nos sistemas gerenciados pelo RISE.
Para obter mais informações sobre o SNC, veja Introdução ao SAP SNC para integrações RFC – blog SAP.
Gerenciamento de identidades e acesso para SAP RISE
Observação
A SAP anunciou a desativação do SAP IDM (SAP Identity Management) até 2027. A SAP recomenda que os clientes migrem para o Microsoft Entra.
O Microsoft Entra ID Governance e as integrações internas ao SAP Cloud Identity Service são a opção ideal para lidar com o ciclo de vida do usuário do SAP e as respectivas autorizações nos dois ecossistemas.
Saiba mais neste artigo do Microsoft Learn e nosso hub de cenários do SAP.
Microsoft Security Copilot com o SAP RISE
O Security Copilot é um produto de segurança com IA generativa que capacita os profissionais de segurança e TI a responderem a ameaças cibernéticas, processarem sinais e avaliarem a exposição a riscos na velocidade e na escala da IA. Ele tem um portal próprio e experiências inseridas no Microsoft Defender XDR, no Microsoft Sentinel e no Intune.
Ele pode ser usado com qualquer fonte de dados com suporte pelo Defender XDR e Sentinel, incluindo o SAP RISE/ECS. A imagem abaixo mostra a experiência autônoma.
Além disso, a experiência do Security Copilot é inserida no portal do Defender XDR, com um resumo gerado por IA e recomendações prontas para uso para o SAP.
Microsoft Sentinel com o SAP RISE
A Solução Sap RISE certificada pelo Microsoft Sentinel para aplicativos SAP permite que você monitore, detecte, responda e correlacione atividades suspeitas no SAP com seus outros sinais de toda a empresa. O Microsoft Sentinel protege seus dados críticos contra ataques cibernéticos sofisticados para sistemas SAP hospedados no Azure, em outras nuvens ou na infraestrutura local. A Solução do Microsoft Sentinel para SAP BTP expande essa cobertura para o SAP BTP (Business Technology Platform).
A solução permite que você obtenha visibilidade das atividades do usuário no SAP RISE/ECS e nas camadas de lógica de negócios do SAP e aplique o conteúdo interno do Sentinel.
- Use um único console para monitorar todas as suas propriedades corporativas, incluindo instâncias SAP no SAP RISE/ECS no Azure e em outras nuvens, propriedade nativa e local do SAP Azure
- Detectar e responder automaticamente às ameaças: detecte atividades suspeitas, incluindo elevação de privilégios, alterações não autorizadas, transações confidenciais, exfiltração de dados e muito mais com recursos de detecção prontos para uso
- Correlacionar a atividade do SAP com outros sinais: detecte com mais precisão as ameaças do SAP através de correlação cruzada entre pontos de extremidade, dados do Microsoft Entra e muito mais
- Personalização de acordo com suas necessidades: crie suas detecções para monitorar transações confidenciais e outros riscos de negócios
- Visualizar os dados com pastas de trabalho internas
Para SAP RISE/ECS, a Solução Microsoft Sentinel para SAP deve ser implantada na assinatura do Azure do cliente. Todas as partes da solução Sentinel são gerenciadas pelo cliente e não pelo SAP. O Conector de Nuvem SAP pode ser hospedado pelo SAP na assinatura RISE ou pelo cliente em sua rede, caso a conectividade de rede virtual esteja estabelecida.
Observação
Como alternativa, você pode implantar a solução do Microsoft Sentinel para aplicativos SAP sem usar o SAP Integration Suite e o SAP Cloud Connector. Essa abordagem usa um conector de dados baseado em agente que exige que você hospede um contêiner em seu próprio ambiente, seja na sua assinatura do Azure ou na infraestrutura local. Saiba mais aqui.
Importante
De acordo com o modelo de responsabilidade compartilhada RISE, os clientes que usam a solução Sentinel para SAP só podem integrar a camada de aplicativo SAP. A infraestrutura do SAP RISE e os logs do sistema operacional só estão disponíveis por meio da solução opcional sap LogServ. Ele dá suporte nativo à integração do Sentinel. Saiba mais aqui.
Resposta automática com as funcionalidades SOAR do Sentinel
Use guias estratégicos predefinidos para funcionalidades de SOAR (segurança, orquestração, automação e resposta) para responder rapidamente às ameaças. Um primeiro cenário popular é o bloqueio de usuários SAP com a opção de intervenção do Microsoft Teams. O padrão de integração pode ser aplicado a qualquer tipo de incidente e serviço de destino que abranja o SAP Business Technology Platform (BTP) ou o Microsoft Entra ID com relação à redução da superfície de ataque.
Para obter mais informações sobre o Microsoft Sentinel e o SOAR para SAP, veja a série de blogs Do zero à cobertura de segurança completa com o Microsoft Sentinel para seus sinais críticos de segurança do SAP.
Para obter mais informações sobre o Microsoft Sentinel e o SAP, incluindo um guia de implantação, veja a documentação do produto Sentinel.
Monitoramento do Azure para SAP com o SAP RISE
O Azure Monitor para Soluções SAP é uma solução nativa do Azure para monitorar seu sistema SAP. Ele estende a funcionalidade de monitoramento da plataforma do Azure Monitor com suporte para coletar dados sobre o SAP NetWeaver, o banco de dados e os detalhes do sistema operacional.
O SAP RISE/ECS é um serviço totalmente gerenciado para seu cenário SAP e, portanto, o Monitoramento do Azure para SAP não se destina ao uso nesse ambiente gerenciado. O SAP RISE/ECS não dá suporte a nenhuma integração ao Azure Monitor para soluções SAP. O monitoramento e os relatórios próprios do SAP são usados e fornecidos ao cliente, conforme definido na descrição do serviço com o SAP.
Centro do Azure para soluções SAP
Assim como acontece com o Azure Monitor para soluções SAP, o SAP RISE/ECS não dá suporte a nenhuma integração ao Centro do Azure para soluções SAP em qualquer capacidade. Todas as cargas de trabalho do SAP RISE são implantadas pelo SAP e executadas no locatário e na assinatura do Azure do SAP, sem nenhum acesso do cliente aos recursos do Azure.
Próximas etapas
Confira a documentação: