Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird die Integration von Azure Identitäts- und Sicherheitsdiensten mit einer SAP RISE-Workload beschrieben. Darüber hinaus werden einige Azure Monitoring Dienste für eine SAP RISE-Landschaft erläutert.
Einmaliges Anmelden für SAP RISE
Einmaliges Anmelden (SSO) ist für viele SAP-Umgebungen konfiguriert. Bei SAP-Workloads, die in ECS/RISE ausgeführt werden, unterscheiden sich die Schritte zur Implementierung nicht von einem systemeigenen SAP-System. Die Integrationsschritte mit Microsoft Entra ID-basiertem SSO sind für typische ECS/RISE-verwaltete Workloads verfügbar.
- Tutorial: Microsoft Entra Single Sign-On (SSO)-Integration in SAP NetWeaver
- Anleitung: Microsoft Entra-Integration für Single Sign-On (SSO) mit SAP Fiori
- Tutorial: Microsoft Entra Integration in SAP HANA
| SSO-Methode | Identitätsanbieter | Typischer Anwendungsfall | Implementierung |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, Web-GUI, Portal, HANA | Konfiguration nach Kunde |
| SNC | Microsoft Entra ID | SAP-GUI | Konfiguration nach Kunde |
| SPNEGO | Active Directory (AD) | Web-GUI, SAP Enterprise Portal | Konfiguration nach Kunde und SAP |
Für einmaliges Anmelden für Active Directory (AD) Ihrer Windows-Domäne für eine von ECS/RISE verwaltete SAP-Umgebung mit SAP SSO Secure Login Client ist AD-Integration für Endbenutzergeräte erforderlich. Mit SAP RISE sind alle Windows-Systeme nicht in die Active Directory-Domäne des Kunden integriert. Die Domänenintegration ist für SSO mit AD/Kerberos nicht erforderlich, da das Domänensicherheitstoken auf dem Clientgerät gelesen und sicher mit dem SAP-System ausgetauscht wird. Wenden Sie sich an SAP, wenn Sie Änderungen vornehmen müssen, um AD-basiertes SSO zu integrieren. Wenn Sie andere Produkte von Drittanbietern als den SAP SSO Secure Login Client verwenden, kann auch Konfigurationsänderungen auf RISE-verwalteten Systemen erforderlich sein, sodass die SAP-Beteiligung erforderlich ist.
Weitere Informationen zu SNC finden Sie unter Erste Schritte mit SAP SNC für RFC-Integrationen – SAP-Blog.
Identitäts- und Zugriffsverwaltung für SAP RISE
Hinweis
SAP kündigte die Einstellung von SAP Identity Management (SAP IDM) bis 2027 an. SAP empfiehlt kunden, zu Microsoft Entra zu migrieren.
Microsoft Entra ID Governance und integrierte Integrationen mit SAP Cloud Identity Service eignen sich ideal für die Handhabung des SAP-Benutzerlebenszyklus und deren Autorisierungen in beiden Ökosystemen.
Erfahren Sie mehr in diesem Microsoft Learn-Artikel und unserem SAP-Szenario-Hub.
Microsoft Security Copilot mit SAP RISE
Security Copilot ist ein generatives KI-Sicherheitsprodukt, mit dem Sicherheits- und IT-Experten auf Cyberbedrohungen, Prozesssignale und Risikogefährdungen mit geschwindigkeit und Skalierung von KI reagieren können. Es verfügt über ein eigenes portal und eingebettete Erfahrungen in Microsoft Defender XDR, Microsoft Sentinel und Intune.
Sie kann mit jeder Datenquelle verwendet werden, die Defender XDR und Microsoft Sentinel unterstützen, einschließlich SAP RISE/ECS. Die folgende Abbildung zeigt das eigenständige Erlebnis.
Darüber hinaus ist der Security Copilot in das Defender XDR-Portal eingebettet und bietet eine sofort einsatzbereite, von der KI generierte Zusammenfassung und Empfehlungen für SAP.
Microsoft Sentinel Lösung für SAP mit SAP RISE
Mit der Microsoft Sentinel-Lösung für SAP-Anwendungen können Sie verdächtige Aktivitäten in SAP mit anderen unternehmensweiten Signalen überwachen, erkennen, reagieren und korrelieren. Microsoft Sentinel schützt Ihre kritischen Daten vor komplexen Cyberangriffen für SAP-Systeme, die auf Azure, anderen Clouds oder lokaler Infrastruktur gehostet werden. Microsoft Sentinel Solution for SAP BTP erweitert diese Abdeckung auf SAP Business Technology Platform (BTP).
Die Lösung ermöglicht Es Ihnen, Die Benutzeraktivitäten auf SAP S/4HANA Cloud Private Edition (RISE/ECS) und den SAP-Geschäftslogikebenen sichtbar zu machen und die integrierten Inhalte von Microsoft Sentinel anzuwenden.
- Verwenden Sie eine einzelne Konsole, um alle Ihre Unternehmensressourcen zu überwachen, einschließlich SAP-Instanzen in SAP RISE/ECS in Azure und anderen Clouds, SAP Azure nativen und lokalen Ressourcen
- Erkennen Sie Bedrohungen und reagieren Sie automatisch darauf: Erkennen Sie verdächtige Aktivitäten wie die Ausweitung von Privilegien, nicht autorisierte Änderungen, sensible Transaktionen, Datenexfiltration und vieles mehr mit sofort einsatzbereiten Erkennungsfunktionen
- Korrelieren Sie SAP-Aktivitäten mit anderen Signalen: Erkennen Sie SAP-Bedrohungen genauer, indem Sie über Endpunkte, Microsoft Entra-Daten und mehr hinweg korrelieren.
- Anpassen basierend auf Ihren Anforderungen – Überwachen vertraulicher Transaktionen und anderer Geschäftsrisiken durch Erstellen eigener Erkennungen
- Visualisieren der Daten mit integrierten Arbeitsmappen
Für SAP RISE/ECS muss die Microsoft Sentinel-Lösung für SAP im Azure-Abonnement des Kunden bereitgestellt werden. Kunden verwalten alle Teile der Microsoft Sentinel-Lösung und nicht über SAP. In einem RISE-Abonnement hostet entweder SAP den SAP Cloud Connector oder der Kunde hostet ihn in seinem eigenen Netzwerk, wenn die virtuelle Netzwerkkonnektivität eingerichtet ist.
Wichtig
Gemäß dem RISE Shared Responsibility-Modell können Kunden, die die Microsoft Sentinel-Lösung für SAP verwenden, nur die SAP-App-Ebene integrieren. SAP RISE-Infrastruktur- und Betriebssystemprotokolle sind nur über die optionale SAP LogServ-Lösung verfügbar. Es unterstützt die Microsoft Sentinel-Integration nativ. Weitere Informationen finden Sie in den Blogbeiträgen zur Enterprise-Ressourcenplanung.
Automatische Antwort mit den SOAR-Funktionen von Microsoft Sentinel
Verwenden Sie vorgefertigte Playbooks für Sicherheits-, Orchestrierungs-, Automatisierungs- und Reaktionsfunktionen (SOAR), um schnell auf Bedrohungen zu reagieren. Ein beliebtes erstes Szenario ist das Blockieren von SAP-Benutzern mit Interventionsoptionen von Microsoft Teams. Das Integrationsmuster kann auf jeden Vorfalltyp und Zieldienst angewendet werden, der sich auf die SAP Business Technology Platform (BTP) oder die Microsoft Entra-ID erstreckt, um die Angriffsfläche zu reduzieren.
Weitere Informationen zu Microsoft Sentinel und SOAR für SAP finden Sie im Blog Von Null zu einer heroischen Sicherheitsabdeckung mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale.
Weitere Informationen zu Microsoft Sentinel und SAP, einschließlich eines Bereitstellungshandbuchs, finden Sie in der Microsoft Sentinel-Produktdokumentation.
Azure Monitoring für SAP mit SAP RISE
Azure Monitor für SAP-Lösungen ist eine Azure systemeigene Lösung zur Überwachung Ihres SAP-Systems. Es erweitert die Überwachungsfunktionen der Azure Monitor Plattform und unterstützt das Sammeln von Daten zu SAP NetWeaver, Datenbanken und Betriebssystemdetails.
SAP RISE/ECS ist ein vollständig verwalteter Dienst für Ihre SAP-Landschaft und damit ist Azure Monitoring für SAP nicht für eine solche verwaltete Umgebung vorgesehen. SAP RISE/ECS unterstützt keine Integration mit Azure Monitor für SAP-Lösungen. Die SAP-eigene Überwachung und Berichterstattung wird genutzt und dem Kunden gemäß Ihrer Dienstbeschreibung mit SAP zur Verfügung gestellt.
Azure Center für SAP-Lösungen
Wie bei Azure Monitoring für SAP-Lösungen unterstützt SAP RISE/ECS keine Integration in Azure Center for SAP Solutions in jeder Funktion. SAP stellt alle SAP RISE-Workloads bereit, die im Azure-Mandanten und -Abonnement von SAP ausgeführt werden, ohne dass der Kunde zugriff auf die Azure-Ressourcen hat.
Nächste Schritte
Weitere Informationen finden Sie in der Dokumentation: