Leer en inglés

Compartir a través de


Configurar la autenticación para soluciones SAP Procurement

El conector de SAP ERP está diseñado para que lo muchas personas peudan acceder y usar la aplicación de inmediato; por lo tanto, las conexiones no están compartidas. Las credenciales de usuario se proporcionan en la conexión, mientras que otros detalles necesarios para conectarse al sistema SAP (como los detalles del servidor y la configuración de seguridad) se proporcionan como parte de la acción.

Habilitar el inicio de sesión único (SSO) facilita la actualización de datos de SAP mientras se adhiere a los permisos de nivel de usuario configurados en SAP. Hay varias formas de configurar SSO para optimizar la administración de identidades y accesos.

El conector SAP ERP admite los siguientes tipos de autenticación:

Authentication type Cómo se conecta un usuario Pasos de configuración
Autenticación SAP Utilice el nombre de usuario y la contraseña de SAP para obtener acceso al servidor de SAP. Paso 4
Autenticación de Windows Utilice el nombre de usuario y la contraseña de Windows para obtener acceso al servidor de SAP. Pasos 1, 2, 3, 4
Autenticación de Microsoft Entra ID Utilice Microsoft Entra ID para acceder al servidor SAP. Pasos 1, 2, 3, 4

Nota

Se requieren privilegios administrativos específicos para configurar SSO en Microsoft Entra ID y SAP. Asegúrese de obtener los privilegios de administrador necesarios para cada sistema antes de configurar SSO.

Más información:

Paso 1: Configurar la delegación restringida de Kerberos

La delegación restringida de Kerberos (KCD) proporciona acceso seguro a los usuarios o servicios a los recursos que permiten los administradores sin múltiples solicitudes de credenciales. Configurar la delegación restringida de Kerberos para la autenticación de Windows y Microsoft Entra ID.

Diagrama de flujo de tráfico de la puerta de enlace de datos local.

Ejecute el servicio de puerta de enlace de Windows como una cuenta de dominio con nombres de entidad de seguridad de servicio (SPN) (SetSPN).

Tareas de configuración:

  1. Configuración de un SPN para la cuenta de servicio de la puerta de enlace. Como dominio Administrador, utilice la herramienta Setspn que viene con Windows para habilitar la delegación.

  2. Ajustar la configuración de comunicación de la puerta de enlace. Habilite las conexiones salientes de Microsoft Entra ID y revise la configuración de su firewall y puertos para garantizar la comunicación.

  3. Configurar para la delegación restringida de Kerberos estándar. Como dominio Administrador, configure una cuenta de dominio para un servicio de modo que restrinja la ejecución de la cuenta en un solo dominio.

  4. Concesión de derechos de directiva local a la cuenta de servicio de la puerta de enlace en la máquina de la puerta de enlace.

  5. Incorporación de una cuenta de servicio de la puerta de enlace al grupo de autorización y acceso de Windows.

  6. Establecimiento de los parámetros de configuración de la asignación de usuario en la máquina de la puerta de enlace.

  7. Cambiar la cuenta de servicio de la puerta de enlace de una cuenta de dominio. En una instalación estándar, la puerta de enlace se ejecuta como la cuenta de servicio de la máquina local predeterminada (NT Service\PBIEgwService). Debe ejecutarse como una cuenta de dominio para facilitar los vales de Kerberos para SSO.

Más información:

Paso 2: Configurar SAP ERP para habilitar el uso de CommonCryptoLib (sapcrypto.dll)

Para usar SSO para acceder a su servidor SAP, asegúrese de:

  • Configura su servidor SAP para Kerberos SSO utilizando CommonCryptoLib como su biblioteca de comunicación de red segura (SNC).
  • Su nombre SNC comienza con CN.

Importante

Asegúrese de que Secure Login Client (SLC) de SAP no se esté ejecutando en el equipo en el que está instalada la puerta de enlace. SLC almacena en caché los vales de Kerberos de forma que puede interferir con la posibilidad de que la puerta de enlace use Kerberos para SSO. Para obtener más información, consulte la nota 2780475 de SAP (se requiere s-user).

  1. Descargue la versión 8.5.25 o posterior de CommonCryptoLib (sapcrypto.dll) de 64 bits desde SAP Launchpad y cópiela en una carpeta de la máquina de la puerta de enlace.

  2. En el mismo directorio donde copió sapcrypto.dll, cree un archivo denominado sapcrypto.ini con el siguiente contenido:

    ccl/snc/enable_kerberos_in_client_role = 1

    El archivo .ini contiene información de configuración requerida por CommonCryptoLib para habilitar el inicio de sesión único en el escenario de puerta de enlace. Asegúrese de que la ruta (como c:\sapcryptolib\) contenga tanto sapcrypto.ini como sapcrypto.dll. Los archivos .dll y .ini deben existir en la misma ubicación.

  3. Conceda permisos a los archivos .ini y .dll al grupo Usuarios autenticados. Tanto el usuario de servicio de la puerta de enlace como el usuario de Active Directory que el primero va a suplantar necesitan permisos de lectura y ejecución para ambos archivos.

  4. Cree una variable de entorno del sistema CCL_PROFILE y establezca su valor en la ruta sapcrypto.ini.

  5. Reinicie el servicio de puerta de enlace.

Más información: Uso del inicio de sesión único de Kerberos para el SSO en SAP BW con CommonCryptoLib

Paso 3: Hablitar SAP SNC para Azure AD y la autenticación de Windows

El conector SAP ERP admite Entra ID, anteriormente Microsoft Entra ID, y la autenticación de Windows Server AD al habilitar Secure Network Communication (SNC) de SAP. SNC es una capa de software en la arquitectura del sistema SAP que proporciona una interfaz para productos de seguridad externos para que se pueda establecer un inicio de sesión único seguro en entornos SAP. La siguiente guía de propiedad ayuda con la configuración.

Property Descripción
Usar SNC Establezca la opción en si desea habilitar SNC.
Biblioteca de SNC El nombre de la biblioteca SNC o la ruta relativa a la ubicación de instalación de NCo o la ruta absoluta. Ejemplos: sapcrypto.dll o c:\sapcryptolib\sapcryptolib.dll.
SSO de SNC Especifica si el conector utiliza la identidad del servicio o las credenciales del usuario final. Se ha establecido en Activado para usar la identidad del usuario final.
Nombre del partner de SNC El nombre del servidor SNC back-end. Ejemplo: p:CN=SAPserver.
Calidad de protección de SNC La calidad de servicio usada para la comunicación de SNC de este servidor o destino concreto. El valor predeterminado lo define el sistema de back-end. El valor máximo lo define el producto de seguridad utilizado para SNC.

El nombre de SAP SNC para el usuario debe ser igual al nombre de dominio completo de Active Directory del usuario. Por ejemplo, p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM debe ser igual a JANEDOE@REDMOND.CORP.CONTOSO.COM.

Nota

Autenticación solo de Entra Microsoft Entra ID: la cuenta Principal del servicio Active DirectorySAP debe tener AES 128 o AES 256 definido en el atributo Tipo de cifrado compatible con msDS.

Paso 4: Configurar el servidor SAP y las cuentas de usuario para permitir acciones

Revise la Nota SAP 460089 - Perfiles mínimos de autorización para programas RFC externos para obtener más información sobre los tipos de cuentas de usuario admitidos y la autorización mínima requerida para cada tipo de acción, como llamada de función remota (RFC), interfaz de programación de aplicaciones comerciales (BAPI) y documento intermedio (IDOC),

Las cuentas de usuario de SAP necesitan acceder al grupo de funciones RFC_Metadata y a los módulos de funciones respectivos para las siguientes operaciones:

Operaciones Acceso a los módulos de función
Acciones RFC RFC_GROUP_SEARCH y DD_LANGU_TO_ISOLA
Acción Leer tabla RFC BBP_RFC_READ_TABLE o RFC_READ_TABLE
Conceda acceso mínimo estricto al servidor SAP para su conexión SAP RFC_METADATA_GET y RFC_METADATA_GET_TIMESTAMP

Siguiente paso

Instalar los archivos de la plantilla de SAP Procurement

Consulte también