SAP RISE を使った Azure ID とセキュリティ サービス

この記事では、Azure ID およびセキュリティ サービスと SAP RISE ワークロードとの統合について詳しく説明します。 さらに、SAP RISE ランドスケープに対するいくつかの Azure 監視サービスの使用についても説明します。

SAP 用のシングル サインオン

多くの SAP 環境に対してシングル サインオン (SSO) が構成されます。 SAP ワークロードが ECS/RISE で実行されている場合、実装する手順はネイティブで実行される SAP システムと変わりません。 一般的な ECS/RISE マネージド ワークロードを Microsoft Entra ID ベースの SSO と統合する、次の手順が用意されています。

• チュートリアル: Microsoft Entra シングル サインオン (SSO) と SAP NetWeaver の統合
• チュートリアル: Microsoft Entra シングル サインオン (SSO) と SAP Fiori との統合
• チュートリアル: Microsoft Entra と SAP HANA の統合

SAP SSO Secure Login Client を使用する ECS/RISE マネージド SAP 環境の Windows ドメインの Active Directory (AD) に対する SSO の場合、エンド ユーザー デバイスに AD を統合する必要があります。 SAP RISE では、どの Windows システムにも顧客の Active Directory ドメインは統合されていません。 ドメイン セキュリティ トークンはクライアント デバイスで読み取られ、SAP システムと安全に交換されるため、AD/Kerberos を使った SSO にはドメイン統合は必要ありません。 AD ベースの SSO を統合したり、SAP SSO Secure Login Client 以外のサード パーティ製品を使用するために変更が必要な場合は、RISE マネージド システムで構成が必要になる場合があるため、SAP にお問い合わせください。

MICROSOFT Sentinel と SAP RISE

SAP RISE 認定の SAP 向け Microsoft Sentinel ソリューションを使うと、不審なアクティビティを監視、検出し、対応できます。 Microsoft Sentinel は、Azure、他のクラウド、またはオンプレミス インフラストラクチャでホストされている SAP システムに対する高度なサイバー攻撃から重要なデータを保護します。

このソリューションでは、SAP RISE/ECS と SAP ビジネス ロジック レイヤー上のユーザー アクティビティを可視化し、Sentinel の組み込みコンテンツを適用できます。

• 1 つのコンソールを使用して、Azure やその他のクラウド上の SAP RISE/ECS 内の SAP インスタンス、SAP Azure ネイティブおよびオンプレミスの資産を含むすべてのエンタープライズ資産を監視する
• 脅威を検出して自動的に対応する。すぐに使用できる検出機能を使用し、特権エスカレーション、許可されていない変更、機密性の高いトランザクション、データの流出などの疑わしいアクティビティを検出する
• SAP アクティビティを他のシグナルと関連付ける。エンドポイント、Microsoft Entra データなどを相互に相関させることで、SAP の脅威をより正確に検出する
• ニーズに応じてカスタマイズする。機密性の高いトランザクションや他のビジネス リスクを監視するために独自の検出を構築する
• 組み込みのブックを使用してデータを視覚化する

SAP RISE/ECS の場合、Microsoft Sentinel ソリューションは顧客の Azure サブスクリプションにデプロイする必要があります。 Sentinel ソリューションのすべての部分は、SAP ではなく顧客が管理します。 SAP RISE/ECS が管理する SAP ランドスケープには、顧客の vnet からのプライベート ネットワークで接続して到達する必要があります。 通常、これは確立された vnet ピアリング経由か、このドキュメントで説明されている代替手段を介して接続されます。

このソリューションを可能にするには、承認された RFC ユーザーのみが必要で、SAP システムには何もインストールする必要はありません。 このソリューションに含まれるコンテナー ベースの SAP データ収集エージェント は、VM または AKS および任意の Kubernetes 環境にインストールできます。 コレクター エージェントは、SAP サービス ユーザーを使用して、標準の RFC 呼び出しを使用する RFC インターフェイスを介して SAP ランドスケープからアプリケーションのログ データを使用します。

• SAP RISE でサポートされている認証方法: SAP ユーザー名とパスワード、または X509/SNC 証明書
• 現在、SAP RISE/ECS 環境では RFC ベースの接続のみが可能です

SAP RISE/ECS 環境で Microsoft Sentinel を実行する場合の注意事項:

• SAP セキュリティ監査ログからのクライアント IP アドレス情報、DB テーブル ログ (プレビュー)、スプール出力ログのログ フィールド/ソースに、SAP トランスポート変更要求が必要です。 これらのログ ソースなしで、Sentinel の組み込みコンテンツ (検出、ブック、プレイブック) は、広範なカバレッジと相関関係を提供します。
• SAP を実行している VM、SAPControl データ ソース、ECS 内に配置されたネットワーク リソースなど、SAP のインフラストラクチャとオペレーティング システムのログは、RISE の Sentinel では使用できません。 SAP は、Azure インフラストラクチャとオペレーション システムの要素を個別に監視します。

セキュリティ、オーケストレーション、自動化、対応機能 (SOAR) 用の事前構築済みのプレイブックを使うと、脅威に迅速に対応できます。 一般的な最初のシナリオは、Microsoft Teams の介入オプションを使用した SAP ユーザーのブロックです。 この統合パターンは、攻撃対象領域の削減に関して、SAP Business Technology Platform (BTP) または Microsoft Entra ID におよぶあらゆる種類のインシデントおよびターゲット サービスに適用できます。

Microsoft Sentinel と SAP 向け SOAR の詳細については、重要な SAP セキュリティ シグナルに関する Microsoft Sentinel を使用したゼロからヒーローまでのセキュリティ カバレッジに関するブログ シリーズを参照してください。

デプロイ ガイドを含む Microsoft Sentinel と SAP の詳細については、Sentinel の製品ドキュメントを参照してください。

Azure Monitor for SAP と SAP RISE

Azure Monitor for SAP Solutions は、SAP システムを監視するための Azure ネイティブのソリューションです。 SAP NetWeaver、データベース、オペレーティング システムの詳細に関するデータを収集するサポートにより、Azure 監視プラットフォームの監視機能を拡張します。

SAP RISE/ECS はお使いの SAP ランドスケープ用のフル マネージド サービスであるため、Azure Monitoring for SAP はそのようなマネージド環境での利用を想定していません。 SAP RISE/ECS では、Azure Monitor for SAP Solutions との統合をサポートしていません。 SAP 独自の監視とレポート機能が使われ、SAP のサービス記述で定義されたとおりに顧客に提供されます。

Azure Center for SAP ソリューション

Azure Monitor for SAP Solutions と同様、SAP RISE/ECS では、Azure Monitoring for SAP と同様に、どの機能も Azure Center for SAP Solutions との統合はサポートされていません。 すべての SAP RISE のワークロードは SAP によってデプロイされ、顧客が Azure リソースにアクセスできない状態で、SAP の Azure テナントとサブスクリプションで実行されます。

次のステップ

次のドキュメントを参照してください。

• Azure と SAP RISE の統合の概要
• SAP RISE を使った Azure のネットワーク接続オプション
• Azure サービスと SAP RISE の統合
• SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする