Integração do Exchange Online para saída de email do SAP NetWeaver

  • Artigo

O envio de e-mails do seu back-end SAP é um recurso padrão amplamente distribuído para casos de uso, como alertas para trabalhos em lote, alterações de estado do fluxo de trabalho SAP ou distribuição de faturas. Muitos clientes estabeleceram a instalação usando o Exchange Server local. Com a mudança para o Microsoft 365 e o Exchange Online, surge um conjunto de abordagens nativas da nuvem que afetam essa configuração.

Este artigo descreve a configuração para comunicação de email de saída de sistemas SAP baseados em NetWeaver para o Exchange Online. Isso se aplica ao SAP ECC, S/4HANA, SAP RISE gerenciado e qualquer outro sistema baseado em NetWeaver.

Descrição geral

As implementações existentes dependiam de autenticação SMTP e relação de confiança elevada porque o Exchange Server local herdado podia viver perto do próprio sistema SAP e era governado pelos próprios clientes. Com o Exchange Online, há uma mudança nas responsabilidades e no paradigma de conectividade. A Microsoft fornece o Exchange Online como uma oferta de Software como Serviço criada para ser consumida de forma segura e tão eficaz quanto possível a partir de qualquer lugar do mundo através da Internet pública.

Siga nosso guia padrão para entender a configuração geral de um "dispositivo" que deseja enviar e-mails via Microsoft 365.

Importante

A autenticação SMTP foi isenta do processo de anulação do recurso de autenticação básica para suporte contínuo. No entanto, este é um risco de segurança para o seu património. Veja a última postagem de nossa equipe do Exchange Online sobre o assunto.

Considerações sobre a configuração

Dada a exceção sunset-exception da autenticação SMTP, há quatro opções diferentes suportadas pelo SAP NetWeaver que queremos descrever. Os três primeiros se correlacionam com os cenários descritos na documentação do Exchange Online.

  1. Envio de cliente de autenticação SMTP
  2. Envio Direto SMTP
  3. Usando o conector de retransmissão SMTP do Exchange Online
  4. Usando o servidor de retransmissão SMTP como intermediário para o Exchange Online

Para maior brevidade, consultaremos a ferramenta de administração SAP Connect usada para a configuração do servidor de e-mail apenas pelo código de transação SCOT.

Opção 1: Envio do cliente de autenticação SMTP

Escolha esta opção quando pretender enviar correio para pessoas dentro e fora da sua organização.

Conecte aplicativos SAP diretamente ao Microsoft 365 usando o smtp.office365.com de ponto de extremidade SMTP Auth no SCOT.

Será necessário um endereço de e-mail válido para autenticar com o Microsoft 365. O endereço de e-mail da conta usada para autenticar com o Microsoft 365 aparecerá como o remetente das mensagens do aplicativo SAP.

Requisitos para SMTP AUTH

  • SMTP AUTH: Precisa ser habilitado para a caixa de correio que está sendo usada. O SMTP AUTH está desabilitado para organizações criadas após janeiro de 2020, mas pode ser habilitado por caixa de correio. Para obter mais informações, consulte Habilitar ou desabilitar o envio SMTP de cliente autenticado (SMTP AUTH) no Exchange Online.
  • Autenticação: Use a Autenticação Básica (que é simplesmente um nome de usuário e senha) para enviar e-mails do aplicativo SAP. Se SMTP AUTH for intencionalmente desativado para a organização, você deve usar a Opção 2, 3 ou 4 abaixo.
  • Caixa de correio: Você deve ter uma caixa de correio licenciada do Microsoft 365 para enviar email.
  • Transport Layer Security (TLS): Seu aplicativo SAP deve ser capaz de usar TLS versão 1.2 e superior.
  • Porta: A porta 587 (recomendada) ou a porta 25 é necessária e deve ser desbloqueada na rede. Alguns firewalls de rede ou provedores de serviços de Internet bloqueiam portas, especialmente a porta 25, porque essa é a porta que os servidores de email usam para enviar email.
  • DNS: Use o nome DNS smtp.office365.com. Não use um endereço IP para o servidor Microsoft 365, pois os endereços IP não são suportados.

Como habilitar a autenticação SMTP para caixas de correio no Exchange Online

Há duas maneiras de habilitar a AUTH SMTP no Exchange online:

  1. Para uma única conta (por caixa de correio) que substitui a configuração de todo o locatário ou
  2. ao nível da organização.

Nota

se a sua política de autenticação desativar a autenticação básica para SMTP, os clientes não poderão usar o protocolo SMTP AUTH, mesmo que você habilite as configurações descritas neste artigo.

A configuração por caixa de correio para habilitar o SMTP AUTH está disponível no Centro de Administração do Microsoft 365 ou por meio do PowerShell do Exchange Online.

  1. Abra o Centro de administração do Microsoft 365 e vá para Usuários -Usuários ativos>.

    Admin Center - Active Users

  2. Selecione o usuário, siga o assistente, clique em Mail.

  3. Na seção Aplicativos de email, clique em Gerenciar aplicativos de email.

    Admin Center - Manage email

  4. Verifique a configuração SMTP autenticado (desmarcado = desativado, verificado = habilitado)

    Admin Center - SMTP setting

  5. Guardar alterações.

Isso habilitará a AUTH SMTP para esse usuário individual no Exchange Online que você precisa para SCOT.

Configurar autenticação SMTP com SCOT

  1. Ping ou telnet smtp.office365.com na porta 587 do seu servidor de aplicativos SAP para garantir que as portas estejam abertas e acessíveis.

    Screenshot of ping

  2. Verifique se o parâmetro do SAP Internet Communication Manager (ICM) está definido no perfil da instância. Veja abaixo um exemplo:

    parâmetro valor
    icm/servidor-porta-1 PROT=SMTP,PORTA=25000,TIMEOUT=180,TLS=1

  3. Reinicie o serviço ICM a partir da transação SMICM e verifique se o serviço SMTP está ativo.

    Screenshot of ICM setting.

  4. Ative o serviço SAPConnect na transação SICF.

    SAP Connect setting in SICF

  5. Vá para SCOT e selecione o nó SMTP (clique duas vezes) como mostrado abaixo para prosseguir com a configuração:

    SMTP config

    Adicione smtp.office365.com de host de e-mail com a porta 587. Verifique os documentos do Exchange Online para referência.

    SMTP config continued

    Clique no botão "Configurações" (ao lado do campo Segurança) para adicionar configurações TLS e detalhes básicos de autenticação, conforme mencionado no ponto 2, se necessário. Certifique-se de que o parâmetro ICM está definido de acordo.

    Certifique-se de usar um ID de email e senha válidos do Microsoft 365. Além disso, ele precisa ser o mesmo usuário que você habilitou para autenticação SMTP no início. Este ID de e-mail aparecerá como o remetente.

    SMTP security config

    Voltando à tela anterior: Clique no botão "Definir" e marque "Internet" em "Tipos de endereços suportados". Usar a opção curinga "*" permitirá que você envie e-mails para todos os domínios sem restrições.

    SMTP address type

    SMTP address area

    Próximo passo: definir o domínio padrão no SCOT.

    SMTP default domain

    SMTP default address

  6. Agendar trabalho para enviar e-mail para a fila de envio. No SCOT, selecione "Enviar trabalho":

    SMTP schedule job to send

    Forneça um nome e uma variante do trabalho, se apropriado.

    SMTP schedule job variant

    Teste o envio de e-mails usando o código de transação SBWP e verifique o status usando a transação SOST.

Limitações do envio do cliente SMTP AUTH

  • O SCOT armazena credenciais de login para apenas um usuário, portanto, apenas uma caixa de correio do Microsoft 365 pode ser configurada dessa maneira. O envio de e-mails por meio de usuários individuais do SAP requer a implementação da "permissão Enviar como" oferecida pelo Microsoft 365.
  • O Microsoft 365 impõe alguns limites de envio. Consulte Limites do Exchange Online - Limites de recebimento e envio para obter mais informações.

Opção 2: Envio direto SMTP

O Microsoft 365 oferece a capacidade de configurar o envio direto do servidor de aplicativos SAP. Esta opção é limitada na medida em que apenas permite que o correio seja encaminhado para endereços na sua própria organização do Microsoft 365 com um endereço de correio eletrónico válido, pelo que não pode ser utilizado para destinatários externos (por exemplo, fornecedores ou clientes).

Opção 3: Usando o conector de retransmissão SMTP do Microsoft 365

Só escolha esta opção quando:

  • Seu ambiente Microsoft 365 tem SMTP AUTH desativado.
  • O envio do cliente SMTP (Opção 1) não é compatível com as necessidades do seu negócio ou com o seu aplicativo SAP.
  • Não é possível usar o envio direto (Opção 2) porque você deve enviar e-mails para destinatários externos.

A retransmissão SMTP permite que o Microsoft 365 retransmita emails em seu nome usando um conector configurado com seu endereço IP público ou um certificado TLS. Em comparação com as outras opções, a configuração do conector aumenta a complexidade.

Requisitos para retransmissão SMTP

  • Parâmetro SAP: O parâmetro da instância SAP configurado e o serviço SMTP são ativados conforme explicado na opção 1, siga as etapas 2 a 4 da seção "Configurar autenticação SMTP com SCOT".
  • Endereço de e-mail: qualquer endereço de e-mail num dos seus domínios verificados do Microsoft 365. Este endereço de e-mail não precisa de uma caixa de correio. Por exemplo, noreply@*yourdomain*.com.
  • Transport Layer Security (TLS): o aplicativo SAP deve ser capaz de usar TLS versão 1.2 e superior.
  • Porta: a porta 25 é necessária e deve ser desbloqueada na sua rede. Alguns firewalls de rede ou ISPs bloqueiam portas, especialmente a porta 25 devido ao risco de uso indevido para spam.
  • Registro MX: seu ponto de extremidade MX (Mail Exchanger), por exemplo, yourdomain.mail.protection.outlook.com. Encontre mais informações na próxima seção.
  • Acesso de retransmissão: um endereço IP público ou certificado SSL é necessário para autenticar no conector de retransmissão. Para evitar a configuração do acesso direto, é recomendável usar a tradução de rede de origem (SNAT) conforme descrito neste artigo. Use a conversão de endereços de rede de origem (SNAT) para conexões de saída.

Instruções de configuração passo a passo para retransmissão SMTP no Microsoft 365

  1. Obtenha o endereço IP público (estático) do ponto de extremidade que enviará o e-mail usando um dos métodos listados no artigo acima. Um endereço IP dinâmico não é suportado ou permitido. Pode partilhar o seu endereço IP estático com outros dispositivos e utilizadores, mas não partilhe o endereço IP com ninguém fora da sua empresa. Anote este endereço IP para mais tarde.

    Where to retrieve the public ip on the Azure Portal

Nota

Encontre informações acima no portal do Azure usando a visão geral da Máquina Virtual do servidor de aplicativos SAP.

  1. Entre no Centro de Administração do Microsoft 365.

    Microsoft 365 AC sign in

  2. Vá para Configurações ->Domínios, selecione seu domínio (por exemplo, contoso.com) e localize o registro MX (Mail Exchanger).

    Where to retrieve the domain mx record

    O registro MX (Mail Exchanger) terá dados para Pontos de endereçamento ou valor semelhante ao yourdomain.mail.protection.outlook.com.

  3. Anote os dados de Pontos de endereçamento ou valor para o registro MX (Mail Exchanger), que chamamos de ponto de extremidade MX.

  4. No Microsoft 365, selecione Administrador e, em seguida , Exchange para ir para o novo Centro de Administração do Exchange.

    Microsoft 365 Admin Center

  5. O novo portal do Centro de Administração do Exchange (EAC) será aberto.

    Microsoft 365 Admin Center mailbox

  6. No Centro de Administração do Exchange (EAC), vá para Fluxo de mensagens ->Conectores. A tela Conectores é mostrada abaixo. Se você estiver trabalhando com o EAC clássico, siga a etapa 8 conforme descrito em nossos documentos.

    Microsoft 365 Admin Center connector

  7. Clique em Adicionar um conector

    Microsoft 365 Admin Center connector add

    Escolha "Servidor de e-mail da sua organização".

    Microsoft 365 Admin Center mail server

  8. Clique em Next. A tela Nome do conector é exibida.

    Microsoft 365 Admin Center connector name

  9. Forneça um nome para o conector e clique em Avançar. A tela Autenticando e-mails enviados é exibida.

    Escolha Verificando se o endereço IP do servidor de envio corresponde a um desses endereços IP que pertencem exclusivamente à sua organização e adicione o endereço IP da Etapa 1 das instruções de configuração passo a passo para retransmissão SMTP na seção Microsoft 365 .

    Microsoft 365 Admin Center verify IP

    Reveja e clique em Criar conector.

    Microsoft 365 Admin Center review

    Microsoft 365 Admin Center review security settings

  10. Agora que você terminou de configurar suas configurações do Microsoft 365, vá para o site do registrador de domínios para atualizar seus registros DNS. Edite seu registro SPF (Sender Policy Framework ). Inclua o endereço IP que você anotou na etapa 1. A cadeia de caracteres concluída deve ser semelhante a esta v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, onde 10.5.3.2 é o seu endereço IP público. Pular esta etapa pode fazer com que os e-mails sejam sinalizados como spam e acabem na pasta Lixo Eletrônico do destinatário.

Etapas no servidor de aplicativos SAP

  1. Verifique se o parâmetro ICM do SAP e o serviço SMTP estão ativados, conforme explicado na opção 1 (etapas 2 a 4)
  2. Vá para a transação SCOT no nó SMTP, conforme mostrado nas etapas anteriores da Opção 1.
  3. Adicione o host de email como o valor de registro MX (Mail Exchanger) observado na Etapa 4 (ou seja, yourdomain.mail.protection.outlook.com).

SMTP config in SCOT

Anfitrião do correio: yourdomain.mail.protection.outlook.com

Porto: 25

  1. Clique em "Configurações" ao lado do campo Segurança e verifique se o TLS está ativado, se possível. Certifique-se também de que não há dados de logon anteriores em relação ao SMTP AUTH. Caso contrário, exclua os registros existentes com o botão correspondente abaixo.

    SMTP security config in SCOT

  2. Teste a configuração usando um e-mail de teste do seu aplicativo SAP com a transação SBWP e verifique o status na transação SOST.

Opção 4: Usando o servidor de retransmissão SMTP como intermediário para o Exchange Online

Um servidor de retransmissão intermediário pode ser uma alternativa a uma conexão direta do servidor de aplicativos SAP com o Microsoft 365. Este servidor pode ser baseado em qualquer servidor de correio que permita autenticação direta e serviços de retransmissão.

A vantagem dessa solução é que ela pode ser implantada no hub de uma rede virtual hub-spoke em seu ambiente do Azure ou em uma DMZ para proteger seus hosts de aplicativos SAP contra acesso direto. Ele também permite o roteamento de saída centralizado para descarregar imediatamente todo o tráfego de e-mail para um relé central ao enviar de vários servidores de aplicativos.

As etapas de configuração são as mesmas do Microsoft 365 SMTP Relay Connector (Opção 3), com as únicas diferenças sendo que a configuração SCOT deve fazer referência ao host de email que executará a retransmissão em vez de direcionar para o Microsoft 365. Dependendo do sistema de email que está sendo usado para a retransmissão, ele também será configurado diretamente para se conectar ao Microsoft 365 usando um dos métodos suportados e um usuário válido com senha. Recomenda-se enviar um e-mail de teste diretamente do relé para garantir que ele possa se comunicar com êxito com o Microsoft 365 antes de concluir a configuração e o teste do SAP SCOT normalmente.

Relay Server Architecture

A arquitetura de exemplo mostrada ilustra vários servidores de aplicativos SAP com um único host de retransmissão de e-mail no hub. Dependendo do volume de e-mails a serem enviados, recomenda-se seguir um guia de dimensionamento detalhado para o fornecedor de e-mails a ser usado como retransmissor. Isso pode exigir vários hosts de retransmissão de email que operam com um Balanceador de Carga do Azure.

Passos Seguintes

Compreender o envio de e-mails em massa com o Azure Twilio - SendGrid

Compreender as limitações do Serviço Exchange Online (por exemplo, tamanho do anexo, limites de mensagens, limitação, etc.)