Integrace Exchange Online pro odchozí e-maily ze SAP NetWeaveru
Odesílání e-mailů z back-endu SAP je standardní funkce široce distribuovaná pro případy použití, jako jsou upozornění na dávkové úlohy, změny stavu pracovního postupu SAP nebo distribuce faktur. Mnoho zákazníků vytvořilo nastavení pomocí místního Exchange Serveru. S přechodem na Microsoft 365 a Exchange Online je sada přístupů nativních pro cloud, které ovlivňují toto nastavení.
Tento článek popisuje nastavení odchozí e-mailové komunikace ze systémů SAP založených na NetWeaveru na Exchange Online. To platí pro SAP ECC, S/4HANA, SAP RISE spravovaný a jakýkoli jiný systém založený na NetWeaveru.
Přehled
Stávající implementace spoléhaly na vztah důvěryhodnosti ověřování SMTP a zvýšené úrovně důvěryhodnosti, protože starší verze místního Exchange Serveru by mohla být v blízkosti samotného systému SAP a byla řízena samotnými zákazníky. S Exchangem Online je posun v zodpovědnostech a paradigmatu připojení. Microsoft dodává Exchange Online jako nabídku software jako službu vytvořenou tak, aby byla bezpečně a co nejúčitivněji využita z libovolného místa na světě přes veřejný internet.
Postupujte podle našeho standardního průvodce a seznamte se s obecnou konfigurací "zařízení", která chce odesílat e-maily přes Microsoft 365.
Důležité
Ověřování SMTP bylo vyloučeno z procesu ukončení základního ověřování pro pokračování podpory. Jedná se ale o bezpečnostní riziko pro vaše aktiva. Podívejte se na nejnovější příspěvek od našeho týmu Exchange Online.
Důležité informace o nastavení
Vzhledem k výjimce západu slunce ověřování SMTP existují čtyři různé možnosti podporované SAP NetWeaver, které chceme popsat. První tři odpovídají scénářům popsaným v dokumentaci k Exchangi Online.
- Odeslání klienta pro ověřování SMTP
- Přímé odesílání SMTP
- Použití konektoru pro přenos přes protokol SMTP Exchange Online
- Použití předávacího serveru SMTP jako zprostředkujícího serveru Exchange Online
Pro stručnost se podíváme na nástroj pro správu SAP Connect používaný pro nastavení poštovního serveru pouze kódem transakce SCOT.
Možnost 1: Odeslání klienta ověřování SMTP
Tuto možnost vyberte, když chcete posílat e-maily lidem uvnitř vaší organizace i mimo ni.
Připojte aplikace SAP přímo k Microsoftu 365 pomocí koncového bodu ověřování SMTP smtp.office365.com ve SKOTSKU.
K ověření v Microsoftu 365 se bude vyžadovat platná e-mailová adresa. E-mailová adresa účtu, který se používá k ověření v Microsoftu 365, se zobrazí jako odesílatel zpráv z aplikace SAP.
Požadavky na ověřování SMTP
- OVĚŘOVÁNÍ SMTP: Pro používanou poštovní schránku je potřeba povolit. Ověřování SMTP je pro organizace vytvořené po lednu 2020 zakázané, ale je možné ho povolit pro každou poštovní schránku. Další informace najdete v tématu Povolení nebo zakázání odeslání protokolu SMTP ověřeného klienta (SMTP AUTH) v Exchangi Online.
- Ověřování: K odesílání e-mailů z aplikace SAP použijte základní ověřování (což je jednoduše uživatelské jméno a heslo). Pokud je ověřování SMTP pro organizaci záměrně zakázané, musíte použít možnost 2, 3 nebo 4 níže.
- Poštovní schránka: Abyste mohli odesílat e-maily, musíte mít licencovanou poštovní schránku Microsoftu 365.
- Tls (Transport Layer Security): Vaše aplikace SAP musí být schopná používat protokol TLS verze 1.2 a vyšší.
- Port: Vyžaduje se port 587 nebo port 25 a musí se odblokovat ve vaší síti. Některé síťové brány firewall nebo poskytovatelé internetových služeb blokují porty, zejména port 25, protože to je port, který e-mailové servery používají k odesílání pošty.
- DNS: Použijte název DNS smtp.office365.com. Nepoužívejte IP adresu pro server Microsoftu 365, protože IP adresy nejsou podporované.
Povolení ověřování SMTP pro poštovní schránky v Exchangi Online
Ověřování SMTP v Exchangi Online můžete povolit dvěma způsoby:
- Pro jeden účet (na poštovní schránku), který přepíše nastavení celého tenanta nebo
- na úrovni organizace.
Poznámka:
Pokud vaše zásady ověřování zakazují základní ověřování smtp, klienti nemohou používat protokol SMTP AUTH, i když povolíte nastavení uvedená v tomto článku.
Nastavení pro jednotlivé poštovní schránky pro povolení ověřování SMTP je dostupné v centru Správa Microsoftu 365 nebo přes Exchange Online PowerShell.
Otevřete Centrum pro správu Microsoftu 365 a přejděte na Uživatelé ->Aktivní uživatelé.
Vyberte uživatele, postupujte podle průvodce a klikněte na Položku Pošta.
V části E-mailové aplikace klikněte na Spravovat e-mailové aplikace.
Ověřte nastavení ověřeného protokolu SMTP (nezaškrtnuté = zakázáno, zaškrtnuté = povoleno).
Uložení změn
Tím povolíte ověřování SMTP pro tohoto jednotlivého uživatele v Exchangi Online, který požadujete pro SKOTSKO.
Konfigurace ověřování SMTP pomocí SCOT
Příkaz ping nebo telnet smtp.office365.com na portu 587 z aplikačního serveru SAP, abyste měli jistotu, že jsou porty otevřené a přístupné.
Ujistěte se, že je ve vašem profilu instance nastavený parametr SAP Internet Communication Manager (ICM). Podívejte se níže na příklad:
parametr hodnota icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1 Restartujte službu ICM z transakce SMICM a ujistěte se, že je aktivní služba SMTP.
Aktivujte službu SAPConnect v transakci SICF.
Přejděte do SCOT a vyberte uzel SMTP (poklikáním), jak je znázorněno níže, abyste mohli pokračovat v konfiguraci:
Přidejte smtp.office365.com hostitele pošty s portem 587. Referenční informace najdete v dokumentaci k Exchangi Online.
Kliknutím na tlačítko Nastavení (vedle pole Zabezpečení) přidejte nastavení protokolu TLS a základní podrobnosti ověřování, jak je uvedeno v bodě 2 v případě potřeby. Ujistěte se, že je parametr ICM nastavený odpovídajícím způsobem.
Ujistěte se, že používáte platné ID a heslo e-mailu Microsoftu 365. Kromě toho, že musí být stejný uživatel, který jste na začátku povolili pro ověřování SMTP. Toto ID e-mailu se zobrazí jako odesílatel.
Vraťte se na předchozí obrazovku: Klikněte na tlačítko Nastavit a v části Podporované typy adres zaškrtněte možnost Internet. Použití možnosti *se zástupným znakem vám umožní odesílat e-maily do všech domén bez omezení.
Další krok: Nastavte výchozí doménu ve SKOTSKU.
Naplánovat úlohu odeslání e-mailu do fronty odeslání V SCOT vyberte Možnost Odeslat úlohu:
V případě potřeby zadejte název úlohy a variantu.
Otestujte odeslání pošty pomocí kódu transakce SBWP a zkontrolujte stav pomocí transakce SOST.
Omezení odesílání klientů SMTP AUTH
- Scot ukládá přihlašovací údaje jenom pro jednoho uživatele, takže tímto způsobem je možné nakonfigurovat jenom jednu poštovní schránku Microsoftu 365. Odesílání pošty prostřednictvím jednotlivých uživatelů SAP vyžaduje implementaci oprávnění Odeslat jako nabízené Microsoftem 365.
- Microsoft 365 ukládá určité limity odesílání. Další informace najdete v tématu Omezení Exchange Online – Příjem a odesílání limitů .
Možnost 2: Přímé odesílání SMTP
Microsoft 365 nabízí možnost konfigurovat přímé odesílání z aplikačního serveru SAP. Tato možnost je omezená tím, že umožňuje směrovat poštu jenom na adresy ve vaší vlastní organizaci Microsoft 365 s platnou e-mailovou adresou, a proto se nedá použít pro externí příjemce (např. dodavatele nebo zákazníky).
Možnost 3: Použití konektoru Microsoft 365 SMTP Relay Connector
Tuto možnost zvolte pouze v těchto případech:
- Vaše prostředí Microsoft 365 má zakázané ověřování SMTP AUTH.
- Odeslání klienta SMTP (možnost 1) není kompatibilní s vašimi obchodními potřebami ani s vaší aplikací SAP.
- Přímé odesílání (možnost 2) nemůžete použít, protože musíte poslat e-mail externím příjemcům.
Přenos přes protokol SMTP umožňuje Microsoftu 365 předávat e-maily vaším jménem pomocí konektoru, který je nakonfigurovaný s vaší veřejnou IP adresou nebo certifikátem TLS. V porovnání s ostatními možnostmi se nastavení konektoru zvyšuje složitost.
Požadavky na přenos SMTP
- Parametr SAP: Nakonfigurovaný parametr instance SAP a služba SMTP se aktivují, jak je vysvětleno v možnosti 1, postupujte podle kroků 2 až 4 v části Konfigurace ověřování SMTP pomocí SCOT.
- E-mailová adresa: Libovolná e-mailová adresa v jedné z vašich ověřených domén Microsoftu 365. Tato e-mailová adresa nepotřebuje poštovní schránku. Například
noreply@*yourdomain*.com
. - Tls (Transport Layer Security): Aplikace SAP musí být schopná používat protokol TLS verze 1.2 a vyšší.
- Port: Vyžaduje se port 25 a musí být v síti odblokovaný. Některé síťové brány firewall nebo poskytovatelé softwaru blokují porty, zejména port 25 kvůli riziku zneužití spamu.
- Záznam MX: koncový bod Mail Exchanger (MX) pro např. yourdomain.mail.protection.outlook.com. Další informace najdete v další části.
- Přenosový přístup: K ověření konektoru pro přenos se vyžaduje veřejná IP adresa nebo certifikát SSL. Abyste se vyhnuli konfiguraci přímého přístupu, doporučujeme použít překlad zdrojového síťového překladu (SNAT), jak je popsáno v tomto článku. Pro odchozí připojení použijte překlad zdrojových síťových adres (SNAT).
Podrobné pokyny ke konfiguraci pro přenos přes protokol SMTP v Microsoftu 365
Získejte veřejnou (statickou) IP adresu koncového bodu, která bude odesílat poštu pomocí jedné z metod uvedených v článku výše. Dynamická IP adresa není podporovaná nebo povolená. Statickou IP adresu můžete sdílet s jinými zařízeními a uživateli, ale ip adresu nesdílejte s nikým mimo vaši společnost. Poznamenejte si tuto IP adresu pro pozdější použití.
Poznámka:
Na webu Azure Portal najdete výše uvedené informace s využitím přehledu virtuálního počítače aplikačního serveru SAP.
Přihlaste se do centra Správa Microsoftu 365.
Přejděte do Nastavení ->Domains, vyberte svoji doménu (například contoso.com) a vyhledejte záznam Mail Exchanger (MX).
Záznam MX (Mail Exchanger) bude obsahovat data pro body na adresu nebo hodnotu , která vypadá podobně jako
yourdomain.mail.protection.outlook.com
.Poznamenejte si data bodů na adresu nebo hodnotu záznamu MX (Mail Exchanger), který označujeme jako koncový bod MX.
V Microsoftu 365 vyberte Správce a potom Exchange přejděte do nového Centra pro správu Exchange.
Otevře se nový portál Exchange Admin Center (EAC).
V Centru pro správu Exchange (EAC) přejděte do toku pošty ->Connectors. Obrazovka Konektory je znázorněná níže. Pokud pracujete s klasickým EAC, postupujte podle kroků 8, jak je popsáno v naší dokumentaci.
Klikněte na Přidat konektor.
Zvolte E-mailový server vaší organizace.
Klikněte na tlačítko Další. Zobrazí se obrazovka s názvem konektoru.
Zadejte název konektoru a klikněte na Další. Zobrazí se obrazovka Ověřování odeslaných e-mailů .
Zvolte Ověřením, že IP adresa odesílajícího serveru odpovídá jedné z těchto IP adres, které patří výhradně vaší organizaci , a přidejte IP adresu z kroku 1 podrobných pokynů ke konfiguraci přenosu SMTP v části Microsoft 365 .
Zkontrolujte konektor a klikněte na Vytvořit konektor.
Teď, když jste dokončili konfiguraci nastavení Microsoftu 365, přejděte na web svého doménového registrátora a aktualizujte záznamy DNS. Upravte záznam SPF (Sender Policy Framework). Uveďte IP adresu, kterou jste si poznamenali v kroku 1. Hotový řetězec by měl vypadat podobně jako tento
v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all
, kde 10.5.3.2 je vaše veřejná IP adresa. Přeskočení tohoto kroku může způsobit, že se e-maily označí příznakem spamu a skončí ve složce Nevyžádaná pošta příjemce.
Kroky na aplikačním serveru SAP
- Ujistěte se, že je aktivovaný parametr SAP ICM a služba SMTP, jak je vysvětleno v možnosti 1 (kroky 2–4).
- Přejděte na skotskou transakci v uzlu SMTP, jak je znázorněno v předchozích krocích možnosti 1.
- Přidejte hostitele pošty jako hodnotu záznamu MX (Mail Exchanger), kterou jste si poznamenali v kroku 4 (tj. yourdomain.mail.protection.outlook.com).
Hostitel pošty: yourdomain.mail.protection.outlook.com
Port: 25
Klikněte na Nastavení vedle pole Zabezpečení a zkontrolujte, jestli je protokol TLS povolený, pokud je to možné. Ujistěte se také, že nejsou k dispozici žádná předchozí přihlašovací data týkající se ověřování SMTP. V opačném případě odstraňte existující záznamy s odpovídajícím tlačítkem pod ním.
Otestujte konfiguraci pomocí testovacího e-mailu z aplikace SAP s transakcí SBWP a zkontrolujte stav v transakci SOST.
Možnost 4: Použití předávacího serveru SMTP jako zprostředkujícího serveru Exchange Online
Zprostředkující předávací server může být alternativou k přímému připojení z aplikačního serveru SAP k Microsoftu 365. Tento server může být založený na libovolném poštovním serveru, který umožní přímé ověřování a předávací služby.
Výhodou tohoto řešení je, že ho můžete nasadit v centru hvězdicové virtuální sítě v rámci vašeho prostředí Azure nebo v rámci DMZ za účelem ochrany hostitelů aplikací SAP před přímým přístupem. Umožňuje také centralizované odchozí směrování okamžitě přesměrovat veškerý poštovní provoz do centrálního přenosu při odesílání z více aplikačních serverů.
Kroky konfigurace jsou stejné jako u konektoru Microsoft 365 SMTP Relay Connector (možnost 3) s jedinými rozdíly v tom, že konfigurace SCOT by měla odkazovat na hostitele pošty, který bude provádět přenos, a ne přímo do Microsoftu 365. V závislosti na poštovním systému, který se používá pro přenos, bude také nakonfigurován přímo pro připojení k Microsoftu 365 pomocí jedné z podporovaných metod a platného uživatele s heslem. Před dokončením konfigurace a testování SAP SCOT se doporučuje odeslat testovací poštu přímo z přenosu, aby se zajistilo, že může úspěšně komunikovat s Microsoftem 365.
Ukázková architektura znázorňuje několik aplikačních serverů SAP s jedním hostitelem přenosu pošty v centru. V závislosti na objemu pošty, který se má odeslat, se doporučuje postupovat podle podrobného průvodce určením velikosti pro dodavatele pošty, který se má použít jako přenos. To může vyžadovat více hostitelů přenosu pošty, kteří pracují s Azure Load Balancerem.
Další kroky
Vysvětlení hromadné korespondence pomocí Azure Twilio – SendGrid
Vysvětlení omezení služby Exchange Online (např. velikost přílohy, limity zpráv, omezování atd.)