Compartir a través de

Exchange Online integration for Email-Outbound de SAP NetWeaver

  • Artículo

El envío de correos electrónicos desde el back-end de SAP es una característica estándar ampliamente distribuida para casos de uso como alertas para trabajos por lotes, cambios de estado de flujo de trabajo de SAP o distribución de facturas. Muchos clientes establecieron la configuración mediante Exchange Server local. Con un cambio a Microsoft 365 y Exchange Online viene un conjunto de enfoques nativos de la nube que afectan a esa configuración.

En este artículo se describe la configuración de la comunicación de correo electrónico saliente desde sistemas SAP basados en NetWeaver a Exchange Online. Esto se aplica a SAP ECC, S/4HANA, SAP RISE administrado y a cualquier otro sistema basado en NetWeaver.

Información general

Las implementaciones existentes se basaban en la autenticación SMTP y la relación de confianza elevada porque el Exchange Server heredado local podía estar cerca del propio sistema SAP y estaba regido por los propios clientes. Con Exchange Online hay un cambio en las responsabilidades y el paradigma de conectividad. Microsoft proporciona Exchange Online como oferta de software de servicio creada para consumirse de forma segura y lo más eficaz posible desde cualquier lugar del mundo a través de la red pública de Internet.

Siga nuestra guía estándar para comprender la configuración general de un «dispositivo» que quiere enviar correo electrónico a través de Microsoft 365.

Importante

La autenticación SMTP se eximió del proceso de vencimiento de la característica de autenticación básica para dar una compatibilidad continuada. Sin embargo, este es un riesgo de seguridad para el conjunto de sus recursos. Consulte la publicación más reciente de nuestro equipo de Exchange Online sobre el tema.

Consideraciones sobre la configuración

Dada la excepción de extinción de la autenticación SMTP, SAP NetWeaver admite cuatro opciones diferentes que queremos describir. Las tres primeras se correlacionan con los escenarios descritos en la documentación Exchange Online.

  1. Envío de cliente de autenticación SMTP
  2. Envío directo SMTP
  3. Uso del conector de retransmisión SMTP de Exchange Online
  4. Uso del servidor de retransmisión SMTP como intermediario para Exchange Online

Para más brevedad, nos referiremos a la herramienta de administración de conexión SAP que se usa para la configuración del servidor de correo solo mediante su código de transacción, SCOT.

Opción 1: Envío de cliente de autenticación SMTP

Elija esta opción cuando quiera enviar correo a personas dentro y fuera de su organización.

Conectar aplicaciones de SAP directamente a Microsoft 365 mediante el punto de conexión de autenticación SMTP smtp.office365.com en SCOT.

Se requiere una dirección de correo electrónico válida para autenticarse con Microsoft 365. La dirección de correo electrónico de la cuenta que se usa para autenticarse con Microsoft 365 aparecerá como remitente de los mensajes de la aplicación SAP.

Requisitos para la autenticación SMTP

  • AUTENTICACIÓN SMTP: debe habilitarse para el buzón que se está utilizando. La autenticación SMTP está deshabilitada para las organizaciones creadas después de enero de 2020, pero se puede habilitar por buzón. Para obtener más información, vea Habilitar o deshabilitar el envío SMTP de cliente autenticado (AUTENTICACIÓN SMTP) en Exchange Online.
  • Autenticación: use la autenticación básica (que es simplemente un nombre de usuario y una contraseña) para enviar correo electrónico desde la aplicación SAP. Si la autenticación SMTP está deshabilitada intencionadamente para la organización, debe usar las opciones 2, 3 o 4 siguientes.
  • Buzón: debe tener un buzón de Microsoft 365 desde el que enviar correo electrónico.
  • Seguridad de la capa de transporte (TLS): la aplicación SAP debe poder usar la versión 1.2 y posteriores de TLS.
  • Puerto: se requiere el puerto 587 (recomendado) o el puerto 25 y se debe desbloquear en su red. Algunos firewalls de red o proveedores de servicios de Internet bloquean los puertos, especialmente el puerto 25, porque es el puerto que usan los servidores de correo electrónico para enviar correo.
  • DNS: use el nombre DNS smtp.office365.com. No use una dirección IP para el servidor Microsoft 365, ya que no se admiten direcciones IP.

Habilitación de la autenticación SMTP para buzones en Exchange Online

Hay dos maneras de habilitar la autenticación SMTP en Exchange en línea:

  1. Para una sola cuenta (por buzón) que invalida la configuración de todo el inquilino o
  2. a nivel de la organización.

Nota

Si su directiva de autenticación deshabilita la autenticación básica para SMTP, los clientes no pueden usar el protocolo SMTP AUTH aunque habilite la configuración descrita en este artículo.

La configuración por buzón para habilitar la autenticación SMTP está disponible en el Centro de Administración de Microsoft 365 o a través Exchange Online PowerShell.

  1. Abra el Centro de administración de Microsoft 365 y vaya a Usuarios ->Usuarios activos.

    Admin Center - Active Users

  2. Seleccione el usuario, siga el asistente y haga clic en Correo.

  3. En la sección Aplicaciones de correo electrónico, haga clic en Administrar aplicaciones de correo electrónico.

    Admin Center - Manage email

  4. Compruebe la configuración SMTP autenticada (desactivada = deshabilitada, activada = habilitada)

    Admin Center - SMTP setting

  5. Guarde los cambios.

Esto habilitará la autenticación SMTP para ese usuario individual en la Exchange Online que necesite para SMTP.

Configuración de la autenticación SMTP con SCOT

  1. Haga Ping o telnet smtp.office365.com en el puerto 587 desde su servidor de aplicaciones SAP para asegurarse de que los puertos están abiertos y accesibles.

    Screenshot of ping

  2. Asegúrese de que el parámetro SAP Internet Communication Manager (ICM) está establecido en el perfil de instancia. Consulte el ejemplo que tiene a continuación:

    parámetro value
    icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

  3. Reinicie ICM servicio desde la transacción de SMICM y asegúrese de que el servicio SMTP está activo.

    Screenshot of ICM setting.

  4. Active el servicio SAPConnect en la transacción SICF.

    SAP Connect setting in SICF

  5. Vaya a SMTP y seleccione el nodo SMTP (doble clic) como se muestra a continuación para continuar con la configuración:

    SMTP config

    Agregue el host smtp.office365.com correo electrónico con el puerto 587. Consulte la documentación Exchange Online como referencia.

    SMTP config continued

    Haga clic en el botón «Configuración» (junto al campo Seguridad) para agregar la configuración de TLS y los detalles de autenticación básica, como se mencionó en el punto 2 si es necesario. Asegúrese de que su ICM parámetro esté establecido en consecuencia.

    Asegúrese de usar una contraseña y un identificador Microsoft 365 correo electrónico válidos. Además, debe ser el mismo usuario que ha habilitado para la autenticación SMTP al principio. Este identificador de correo electrónico se mostrará como remitente.

    SMTP security config

    Volviendo a la pantalla anterior: haga clic en el botón «Establecer» y active «Internet» en «Tipos de direcciones admitidos». El uso de la opción comodín "*" le permitirá enviar correos electrónicos a todos los dominios sin restricciones.

    SMTP address type

    SMTP address area

    Paso siguiente: establezca el dominio predeterminado en SCOT.

    SMTP default domain

    SMTP default address

  6. Programar trabajo para enviar correo electrónico a la cola de envío. Desde SCOT, seleccione «Enviar trabajo»:

    SMTP schedule job to send

    Proporcione un nombre de trabajo y una variante si procede.

    SMTP schedule job variant

    Pruebe el envío de correo mediante el código de transacción SBWP y compruebe el estado mediante la transacción SOST.

Limitaciones del envío de cliente de autenticación SMTP

  • SCOT almacena las credenciales de inicio de sesión para un solo usuario, por lo que solo se puede configurar Microsoft 365 buzón de correo de esta manera. El envío de correo electrónico a través de usuarios individuales de SAP requiere implementar el «permiso Enviar como» que ofrece Microsoft 365.
  • Microsoft 365 impone algunos límites de envío. Consulte Límites de Exchange Online: límites de recepción y envío para obtener más información.

Opción 2: Envío directo SMTP

Microsoft 365 ofrece la capacidad de configurar el envío directo desde el servidor de aplicaciones de SAP. Esta opción está limitada porque solo permite enrutar el correo a direcciones de su propia organización de Microsoft 365 con una dirección de correo electrónico válida, por lo que no se puede usar para destinatarios externos (por ejemplo, proveedores o clientes).

Opción 3: Uso del conector de retransmisión SMTP de Microsoft 365

Elija esta opción solo cuando:

  • Su Microsoft 365 tiene deshabilitada la autenticación SMTP.
  • El envío de cliente SMTP (opción 1) no es compatible con sus necesidades empresariales ni con la aplicación SAP.
  • No puede usar el envío directo (opción 2) porque debe enviar correo electrónico a destinatarios externos.

La retransmisión SMTP permite a Microsoft 365 retransmitir correos electrónicos en su nombre mediante un conector configurado con su dirección IP pública o un certificado TLS. En comparación con las otras opciones, la configuración del conector aumenta la complejidad.

Requisitos para la autenticación SMTP

  • Parámetro de SAP: el parámetro de instancia de SAP configurado y el servicio SMTP se activan como se explica en la opción 1, siga los pasos 2 a 4 de la sección «Configuración de la autenticación SMTP con SCOT».
  • Dirección de correo electrónico: cualquier dirección de correo electrónico de uno de los Microsoft 365 comprobados. Esta dirección de correo electrónico no necesita un buzón. Por ejemplo, noreply@*yourdomain*.com.
  • Seguridad de la capa de transporte (TLS): la aplicación SAP debe poder usar la versión 1.2 y posteriores de TLS.
  • Puerto: se requiere el puerto 25 (recomendado) o el puerto 25 y se debe desbloquear en su red. Algunos firewalls de red o ISP bloquean los puertos, especialmente el puerto 25 debido al riesgo de un uso incorrecto del correo no deseado.
  • Registro MX: punto de conexión de Mail Exchanger (MX), por ejemplo, yourdomain.mail.protection.outlook.com. Obtenga más información en la siguiente sección.
  • Acceso de retransmisión: se requiere una dirección IP pública o un certificado SSL para autenticarse en el conector de retransmisión. Para evitar configurar el acceso directo, se recomienda usar la traducción de red de origen (SNAT), como se describe en este artículo. Uso de traducción de direcciones de red de origen (SNAT) con las conexiones salientes.

Instrucciones de configuración paso a paso para la retransmisión SMTP en Microsoft 365

  1. Obtenga la dirección IP pública (estática) del punto de conexión que enviará el correo mediante uno de los métodos enumerados en el artículo anterior. No se admite ni se permite una dirección IP dinámica. Puede compartir la dirección IP estática con otros dispositivos y usuarios, pero no compartir la dirección IP con nadie fuera de su empresa. Tome nota de esta dirección IP para más adelante.

    Where to retrieve the public ip on the Azure Portal

Nota:

Encuentre la información anterior en el portal de Azure mediante el resumen de la máquina virtual del servidor de aplicaciones SAP.

  1. Inicie sesión en el Centro de administración de Microsoft 365.

    Microsoft 365 AC sign in

  2. Vaya a Configuración ->Domains (Dominios), seleccione el dominio (por ejemplo, contoso.com) y busque el registro de Mail Exchanger (MX).

    Where to retrieve the domain mx record

    El registro de Mail Exchanger (MX) tendrá datos de Puntos para dirección o valor similar a yourdomain.mail.protection.outlook.com.

  3. Tome nota de los datos de Puntos para dirección o valor para el registro de Mail Exchanger (MX), al que se hace referencia como punto de conexión MX.

  4. En Microsoft 365, seleccione Administrador y, a continuación, Exchange diríjase al nuevo centro de administración Exchange administración.

    Microsoft 365 Admin Center

  5. Se abrirá Exchange portal del Centro de administración (EAC).

    Microsoft 365 Admin Center mailbox

  6. En el Exchange Admin Center (EAC), vaya a Flujo de correo ->Conectores. A continuación se muestra la pantalla Conectores. Si está trabajando con el EAC clásico, siga el paso 8 como se describe en nuestros documentos.

    Microsoft 365 Admin Center connector

  7. Haga clic en Añadir un conector

    Microsoft 365 Admin Center connector add

    Elija «Servidor de correo electrónico de su organización».

    Microsoft 365 Admin Center mail server

  8. Haga clic en Next. Aparece la pantalla Nombre del conector.

    Microsoft 365 Admin Center connector name

  9. Proporcione un nombre para el conector y haga clic en Siguiente. Aparece la pantalla Authenticating sent email (Autenticación del correo electrónico enviado).

    Elija Mediante la comprobación de que la dirección IP del servidor de envío coincide con una de estas direcciones IP que pertenecen exclusivamente a su organización y agregue la dirección IP del paso 1 de la sección Instrucciones de configuración paso a paso para la retransmisión SMTP en Microsoft 365.

    Microsoft 365 Admin Center verify IP

    Revise y haga clic en Crear conector.

    Microsoft 365 Admin Center review

    Microsoft 365 Admin Center review security settings

  10. Ahora que ha terminado la configuración de Microsoft 365, vaya al sitio web del registrador de dominios para actualizar sus registros DNS. Edite su registro de Marco de directivas de remitente (SPF). Incluya la dirección IP que anotó en el paso 1. La cadena finalizada debe ser similar a esta v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, donde 10.5.3.2 es la dirección IP pública. Omitir este paso puede hacer que los correos electrónicos se marquen como correo no deseado y terminen en la carpeta Correo basura del destinatario.

Servidor principal de la aplicación SAP

  1. Asegúrese de que el parámetro ICM SAP y el servicio SMTP están activados como se explica en la opción 1 (pasos 2 a 4)
  2. Vaya a transacción SCOT en el nodo SMTP como se muestra en los pasos anteriores de la opción 1.
  3. Agregue el valor de registro Host de correo como Mail Exchanger (MX) que se anotó en el paso 4 (es decir, yourdomain.mail.protection.outlook.com).

SMTP config in SCOT

Host de correo: yourdomain.mail.protection.outlook.com

Puerto: 25

  1. Haga clic en «Configuración» junto al campo Seguridad y asegúrese de que TLS está habilitado si es posible. Asegúrese también de que no haya datos de inicio de sesión anteriores con respecto a la autenticación SMTP. De lo contrario, elimine los registros existentes con el botón correspondiente debajo.

    SMTP security config in SCOT

  2. Pruebe la configuración mediante un correo electrónico de prueba de la aplicación SAP con la transacción SBWP y compruebe el estado en la transacción SOST.

Opción 4: Uso del servidor de retransmisión SMTP como intermediario para Exchange Online

Un servidor de retransmisión intermedio puede ser una alternativa a una conexión directa desde el servidor de aplicaciones SAP a Microsoft 365. Este servidor puede basarse en cualquier servidor de correo que permita la autenticación directa y los servicios de retransmisión.

La ventaja de esta solución es que se puede implementar en el centro de una red virtual de tipo hub-spoke dentro del entorno de Azure o dentro de una red perimetral para proteger los hosts de aplicaciones de SAP del acceso directo. También permite el enrutamiento de salida centralizado para descargar inmediatamente todo el tráfico de correo a una retransmisión central al enviar desde varios servidores de aplicaciones.

Los pasos de configuración son los mismos que para el conector de retransmisión SMTP de Microsoft 365 (opción 3) y las únicas diferencias son que la configuración de SCOT debe hacer referencia al host de correo que realizará la retransmisión en lugar de dirigirse a Microsoft 365. En función del sistema de correo que se use para la retransmisión, también se configurará directamente para conectarse a Microsoft 365 mediante uno de los métodos admitidos y un usuario válido con contraseña. Se recomienda enviar un correo electrónico de prueba desde la retransmisión directamente para asegurarse de que se puede comunicar correctamente con Microsoft 365 antes de completar la configuración y las pruebas de SAP SCOT con normalidad.

Relay Server Architecture

La arquitectura de ejemplo muestra varios servidores de aplicaciones de SAP con un único host de retransmisión de correo en el centro. En función del volumen de correo que se va a enviar, se recomienda seguir una guía de ajuste de tamaño detallada para que el proveedor de correo se utilice como retransmisión. Esto puede requerir varios hosts de retransmisión de correo que funcionen con un Azure Load Balancer.

Pasos siguientes

Comprender el envío masivo de correo con Azure Twilio: SendGrid

Comprender Exchange Online de servicio (por ejemplo, el tamaño de los datos adjuntos, los límites de mensajes, la limitación, etc.)