Configurar la autenticación para soluciones SAP Procurement
El conector de SAP ERP está diseñado para que lo muchas personas peudan acceder y usar la aplicación de inmediato; por lo tanto, las conexiones no están compartidas. Las credenciales de usuario se proporcionan en la conexión, mientras que otros detalles necesarios para conectarse al sistema SAP (como los detalles del servidor y la configuración de seguridad) se proporcionan como parte de la acción.
Habilitar el inicio de sesión único (SSO) facilita la actualización de datos de SAP mientras se adhiere a los permisos de nivel de usuario configurados en SAP. Hay varias formas de configurar SSO para optimizar la administración de identidades y accesos.
El conector SAP ERP admite los siguientes tipos de autenticación:
Authentication type | Cómo se conecta un usuario | Pasos de configuración |
---|---|---|
Autenticación SAP | Utilice el nombre de usuario y la contraseña de SAP para obtener acceso al servidor de SAP. | Paso 4 |
Autenticación de Windows | Utilice el nombre de usuario y la contraseña de Windows para obtener acceso al servidor de SAP. | Pasos 1, 2, 3, 4 |
Autenticación de Microsoft Entra ID | Utilice Microsoft Entra ID para acceder al servidor SAP. | Pasos 1, 2, 3, 4 |
Nota
Se requieren privilegios administrativos específicos para configurar SSO en Microsoft Entra ID y SAP. Asegúrese de obtener los privilegios de administrador necesarios para cada sistema antes de configurar SSO.
Más información:
- Documentación de Microsoft Entra
- Portal de ayuda de Administración de identidad y acceso (IAM) de SAP
La delegación restringida de Kerberos (KCD) proporciona acceso seguro a los usuarios o servicios a los recursos que permiten los administradores sin múltiples solicitudes de credenciales. Configurar la delegación restringida de Kerberos para la autenticación de Windows y Microsoft Entra ID.
Ejecute el servicio de puerta de enlace de Windows como una cuenta de dominio con nombres de entidad de seguridad de servicio (SPN) (SetSPN).
Tareas de configuración:
Configuración de un SPN para la cuenta de servicio de la puerta de enlace. Como dominio Administrador, utilice la herramienta Setspn que viene con Windows para habilitar la delegación.
Ajustar la configuración de comunicación de la puerta de enlace. Habilite las conexiones salientes de Microsoft Entra ID y revise la configuración de su firewall y puertos para garantizar la comunicación.
Configurar para la delegación restringida de Kerberos estándar. Como dominio Administrador, configure una cuenta de dominio para un servicio de modo que restrinja la ejecución de la cuenta en un solo dominio.
Cambiar la cuenta de servicio de la puerta de enlace de una cuenta de dominio. En una instalación estándar, la puerta de enlace se ejecuta como la cuenta de servicio de la máquina local predeterminada (NT Service\PBIEgwService). Debe ejecutarse como una cuenta de dominio para facilitar los vales de Kerberos para SSO.
Más información:
- Información general de la delegación restringida de Kerberos
- Configurar SSO basado en Kerberos para orígenes de datos local (SAP)
Para usar SSO para acceder a su servidor SAP, asegúrese de:
- Configura su servidor SAP para Kerberos SSO utilizando CommonCryptoLib como su biblioteca de comunicación de red segura (SNC).
- Su nombre SNC comienza con CN.
Importante
Asegúrese de que Secure Login Client (SLC) de SAP no se esté ejecutando en el equipo en el que está instalada la puerta de enlace. SLC almacena en caché los vales de Kerberos de forma que puede interferir con la posibilidad de que la puerta de enlace use Kerberos para SSO. Para obtener más información, consulte la nota 2780475 de SAP (se requiere s-user).
Descargue la versión 8.5.25 o posterior de CommonCryptoLib (
sapcrypto.dll
) de 64 bits desde SAP Launchpad y cópiela en una carpeta de la máquina de la puerta de enlace.En el mismo directorio donde copió
sapcrypto.dll
, cree un archivo denominadosapcrypto.ini
con el siguiente contenido:ccl/snc/enable_kerberos_in_client_role = 1
El archivo
.ini
contiene información de configuración requerida por CommonCryptoLib para habilitar el inicio de sesión único en el escenario de puerta de enlace. Asegúrese de que la ruta (comoc:\sapcryptolib\
) contenga tantosapcrypto.ini
comosapcrypto.dll
. Los archivos.dll
y.ini
deben existir en la misma ubicación.Conceda permisos a los archivos
.ini
y.dll
al grupo Usuarios autenticados. Tanto el usuario de servicio de la puerta de enlace como el usuario de Active Directory que el primero va a suplantar necesitan permisos de lectura y ejecución para ambos archivos.Cree una variable de entorno del sistema
CCL_PROFILE
y establezca su valor en la rutasapcrypto.ini
.Reinicie el servicio de puerta de enlace.
Más información: Uso del inicio de sesión único de Kerberos para el SSO en SAP BW con CommonCryptoLib
El conector SAP ERP admite Entra ID, anteriormente Microsoft Entra ID, y la autenticación de Windows Server AD al habilitar Secure Network Communication (SNC) de SAP. SNC es una capa de software en la arquitectura del sistema SAP que proporciona una interfaz para productos de seguridad externos para que se pueda establecer un inicio de sesión único seguro en entornos SAP. La siguiente guía de propiedad ayuda con la configuración.
Property | Descripción |
---|---|
Usar SNC | Establezca la opción en Sí si desea habilitar SNC. |
Biblioteca de SNC | El nombre de la biblioteca SNC o la ruta relativa a la ubicación de instalación de NCo o la ruta absoluta. Ejemplos: sapcrypto.dll o c:\sapcryptolib\sapcryptolib.dll . |
SSO de SNC | Especifica si el conector utiliza la identidad del servicio o las credenciales del usuario final. Se ha establecido en Activado para usar la identidad del usuario final. |
Nombre del partner de SNC | El nombre del servidor SNC back-end. Ejemplo: p:CN=SAPserver . |
Calidad de protección de SNC | La calidad de servicio usada para la comunicación de SNC de este servidor o destino concreto. El valor predeterminado lo define el sistema de back-end. El valor máximo lo define el producto de seguridad utilizado para SNC. |
El nombre de SAP SNC para el usuario debe ser igual al nombre de dominio completo de Active Directory del usuario. Por ejemplo, p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM
debe ser igual a JANEDOE@REDMOND.CORP.CONTOSO.COM
.
Nota
Autenticación solo de Entra Microsoft Entra ID: la cuenta Principal del servicio Active DirectorySAP debe tener AES 128 o AES 256 definido en el atributo Tipo de cifrado compatible con msDS.
Revise la Nota SAP 460089 - Perfiles mínimos de autorización para programas RFC externos para obtener más información sobre los tipos de cuentas de usuario admitidos y la autorización mínima requerida para cada tipo de acción, como llamada de función remota (RFC), interfaz de programación de aplicaciones comerciales (BAPI) y documento intermedio (IDOC),
Las cuentas de usuario de SAP necesitan acceder al grupo de funciones RFC_Metadata
y a los módulos de funciones respectivos para las siguientes operaciones:
Operaciones | Acceso a los módulos de función |
---|---|
Acciones RFC | RFC_GROUP_SEARCH y DD_LANGU_TO_ISOLA |
Acción Leer tabla | RFC BBP_RFC_READ_TABLE o RFC_READ_TABLE |
Conceda acceso mínimo estricto al servidor SAP para su conexión SAP | RFC_METADATA_GET y RFC_METADATA_GET_TIMESTAMP |