Konfiguracja uwierzytelniania dla rozwiązań SAP Procurement
Łącznik SAP ERP jest przeznaczony do pracy tak, by wiele osób miało dostęp i używało równocześnie aplikacji, zatem połączenia nie są współdzielone. Poświadczenia użytkownika są dostarczane w połączeniu, podczas gdy inne szczegóły wymagane do połączenia z systemem SAP (takie jak szczegóły serwera i konfiguracja zabezpieczeń) są dostarczane jako część akcji.
Włączenie logowania jednokrotnego ułatwia odświeżanie danych z systemu SAP przy równoczesnym stosowaniu się do uprawnień na poziomie użytkownika skonfigurowanych w systemie SAP. Istnieje kilka sposobów skonfigurowania logowania jednokrotnego w celu usprawnienia zarządzania tożsamościami i dostępem.
Łącznik SAP ERP obsługuje następujące typy uwierzytelniania:
| Typ uwierzytelnienia | Jak użytkownik nawiązuje połączenie | Kroki konfiguracji |
|---|---|---|
| Uwierzytelnianie SAP | Użyj nazwy użytkownika i hasła SAP, aby uzyskać dostęp do serwera SAP. | Krok 4 |
| Uwierzytelnianie systemu Windows | Użyj nazwy użytkownika i hasła Windows, aby uzyskać dostęp do serwera SAP. | Kroki: 1, 2, 3, 4 |
| Microsoft Entra Uwierzytelnianie tożsamości | Użyj Tożsamości Microsoft Entra, by uzyskać dostęp do serwera SAP. | Kroki: 1, 2, 3, 4 |
Uwaga
Do skonfigurowania rejestracji jednokrotnej na platformie Tożsamość Microsoft Entra i w systemie SAP są wymagane określone uprawnienia administracyjne. Przed skonfigurowaniem rejestracji jednokrotnej należy uzyskać wymagane uprawnienia administracyjne dla każdego systemu.
Więcej informacji:
Krok 1. Konfigurowanie ograniczonego delegowania Kerberos
Ograniczone delegowanie protokołu Kerberos (KCD) zapewnia bezpieczny dostęp użytkowników lub usług do zasobów dozwolonych przez administratorów bez konieczności wielokrotnego żądania poświadczeń. Trzeba skonfigurować delegowanie Kerberos dla uwierzytelniania Tożsamości Microsoft Entra.
Uruchom usługę systemu Windows jako konto domeny z jednostkami usług (SPN) (SetSPN).
Zadania konfiguracji:
Skonfiguruj nazwę SPN dla konta usługi bramy. Jako administrator domeny użyj narzędzia Setspn, które jest dołączone do systemu Windows, by włączyć delegowanie.
Dostosuj ustawienia komunikacji dla bramy. Włącz połączenia poczty wychodzącej Tożsamości Microsoft Entra oraz przejrzyj ustawienia zapory i portu, aby zapewnić komunikację.
Skonfiguruj standardowe ograniczone delegowanie protokołu Kerberos. Jako administrator domeny musisz skonfigurować konto domeny dla usługi, tak aby ograniczyć możliwość uruchamiania konta w jednej domenie.
Udziel kontu usługi bramy praw zasad lokalnych na komputerze bramy.
Dodaj konto usługi bramy do grupy autoryzacji i dostępu systemu Windows.
Ustaw parametry konfiguracji mapowania użytkowników na maszynie bramy.
Zmień konto usługi bramy na konto domeny. W standardowej instalacji brama działa jako domyślne konto usługi maszyny lokalnej NT Service\PBIEgwService. Musi być ono uruchomione jako konto domeny, aby obsługiwać bilety Kerberos na potrzeby logowania jednokrotnego.
Więcej informacji:
- Omówienie ograniczonego delegowania protokołu Kerberos
- Konfigurowanie logowania jednokrotnego opartego na protokole Kerberos do lokalnych źródeł danych
Krok 2. Konfigurowanie SAP ERP do włączania użycia Common CryptoLib (sapcrypto.dll)
Aby korzystać z funkcji SSO w celu uzyskania dostępu do serwera SAP, należy upewnić się, że
- Serwer SAP jest konfigurowany na potrzeby Kerberos SSO przy użyciu CommonCryptoLib jako biblioteki Secure Network Communication (SNC).
- Nazwa SNC rozpoczyna się od nazwy CN.
Ważne
Sprawdź, czy na komputerze, na którym zainstalowano bramę, nie jest uruchomiony program Secure Login Client (SLC) dla oprogramowania SAP. Program SLC przechowuje w pamięci podręcznej bilety protokołu Kerberos w sposób, który może zakłócać możliwość korzystania przez bramę z protokołu Kerberos na potrzeby logowania jednokrotnego. Aby uzyskać więcej informacji, zapoznaj się z uwagę 2780475 dotyczącą oprogramowania SAP (wymagany jest superużytkownik).
Pobierz 64-bitową bibliotekę CommonCryptoLib (
sapcrypto.dll) w wersji 8.5.25 lub nowszej z programu SAP Launchpad i skopiuj ją do folderu na komputerze bramy.W tym samym katalogu, do którego skopiowano bibliotekę
sapcrypto.dll, utwórz plik o nazwiesapcrypto.iniz następującą zawartością:ccl/snc/enable_kerberos_in_client_role = 1Plik
.inizawiera informacje konfiguracyjne wymagane przez bibliotekę CommonCryptoLib do włączenia logowania jednokrotnego w scenariuszu bramy. Upewnij się, że ścieżka (czylic:\sapcryptolib\) zawiera oba elementysapcrypto.iniisapcrypto.dll. Pliki.dlli.inimuszą znajdować się w tej samej lokalizacji.Nadaj uprawnienia do plików
.inii.dllgrupie Użytkownicy uwierzytelnieni. Zarówno użytkownik usługi bramy, jak i użytkownik usługi Active Directory, którego użytkownik usługi personifikuje, muszą mieć uprawnienia do odczytu i wykonywania obu plików.Utwórz systemową zmienną środowiskową
CCL_PROFILEi ustaw jej wartości na ścieżkęsapcrypto.ini.Uruchom ponownie usługę bramy.
Więcej informacji: Używanie logowania jednokrotnego protokołu Kerberos na potrzeby logowania jednokrotnego do oprogramowania SAP BW przy użyciu biblioteki CommonCryptoLib (sapcrypto.dll)
Krok 3. Włączanie usługi SAP SNC na potrzeby uwierzytelniania usługi Azure AD i systemu Windows
Łącznik SAP ERP obsługuje Tożsamość Microsoft Entra oraz uwierzytelnianie Windows Server AD, włączając SAP Secure Network Communication (SNC). SNC to warstwa oprogramowania w architekturze systemu SAP, która zapewnia interfejs do zewnętrznych produktów zabezpieczeń, dzięki czemu można ustanowić bezpieczne logowanie jednokrotne do środowisk systemu SAP. Poniższe wskazówki dotyczące właściwości pomagają w konfiguracji.
| Właściwości | opis |
|---|---|
| Użyj warstwy SNC | Aby włączyć usługę SNC, ustaw wartość Tak. |
| Biblioteka SNC | Nazwa biblioteki SNC lub ścieżka względna do lokalizacji instalacji NCo lub ścieżka bezwzględna. Przykłady to sapcrypto.dll lub c:\sapcryptolib\sapcryptolib.dll. |
| Logowanie jednokrotne SNC | Określa, czy łącznik używa tożsamości usługi czy poświadczeń użytkownika końcowego. Ustaw wartość Wł., aby użyć tożsamości użytkownika końcowego. |
| Nazwa partnera SNC | Nazwa serwera SNC zaplecza. Example: p:CN=SAPserver. |
| Jakość ochrony SNC | Jakość usługi do użycia w przypadku komunikacji SNC konkretnej lokalizacji docelowej lub serwera. Wartość domyślna jest definiowana przez system zaplecza. Maksymalna wartość jest definiowana przez produkt zabezpieczeń używany dla usługi SNC. |
Nazwa SAP SNC dla użytkownika musi być równa w pełni kwalifikowanej nazwie domeny Active Directory użytkownika. Na przykład p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM musi być równa JANEDOE@REDMOND.CORP.CONTOSO.COM.
Uwaga
Tożsamość Microsoft Entra — konto Nazwa główna usługi Active Directory SAP musi mieć zdefiniowane AES 128 lub AES 256 w atrybucie msDS-SupportedEncryptionType.
Krok 4. Konfigurowanie serwera i kont użytkowników SAP w celu zezwalania na akcje
Sprawdź Nota SAP 460089 — minimalne profile autoryzacji dla zewnętrznych programów RFC, aby dowiedzieć się więcej o obsługiwanych typach kont użytkowników i minimalnych wymaganych uprawnieniach dla każdego typu akcji, takich jak zdalne wywołanie funkcji (RFC), interfejs programowania aplikacji biznesowych (BAPI) i dokument pośredni (IDOC).
Konta użytkowników SAP muszą mieć dostęp do grupy funkcji RFC_Metadata i odpowiednich modułów funkcji dla następujących operacji:
| Operacje | Dostęp do modułów funkcji |
|---|---|
| Akcje RFC | RFC_GROUP_SEARCH i DD_LANGU_TO_ISOLA |
| Akcja odczytywania tabeli | RFC BBP_RFC_READ_TABLE lub RFC_READ_TABLE |
| Przyznawanie minimalnego dostępu do serwera SAP dla połączenia SAP | RFC_METADATA_GET i RFC_METADATA_GET_TIMESTAMP |
Powiązana zawartość
- [Logowanie jednokrotne SAP](https://help.sap.com/docs/SAP_SINGLE_SIGN-ON
- Przewodnik implementacji bezpiecznego logowania do systemu SAP Single Sign-On
- Portal pomocy SAP Identity and Access Management (IAM)
- Konektor SAP ERP
- Łącznik SAP Azure Logic Apps
- Zasady ochrony przed utratą danych (DLP)
- Projektowanie architektury hybrydowej
Następny krok
Instalowanie szablonu SAP Procurement