Configurar a autenticação para as soluções de Aprovisionamento SAP
O conector ERP SAP foi concebido para que várias pessoas possam aceder e utilizar uma aplicação de uma vez; assim, as ligações não são partilhadas. As credenciais de utilizador são fornecidas na ligação, enquanto outros detalhes necessários para ligar ao sistema SAP (como detalhes do servidor e configuração de segurança) são fornecidos como parte da ação.
A ativação do início de sessão único (SSO) facilita a atualização de dados do SAP ao mesmo tempo que permite a manutenção das permissões a nível do utilizador configuradas no SAP. Há várias formas de configurar o SSO para uma gestão simplificada de identidades e acessos.
O conector ERP SAP suporta os seguintes tipos de autenticação:
Authentication type | Como um utilizador se liga | Passos de configuração |
---|---|---|
Autenticação SAP | Utilize o nome de utilizador e a palavra-passe do SAP para aceder ao servidor. | Passo 4 |
Autenticação do Windows | Utilize o nome de utilizador e a palavra-passe do Windows para aceder ao servidor SAP. | Passos 1, 2, 3, 4 |
Microsoft Entra Autenticação de ID | Utilize o Microsoft Entra ID para aceder ao servidor do SAP. | Passos 1, 2, 3, 4 |
Nota
São necessários privilégios administrativos específicos para configurar o SSO no Microsoft Entra ID e no SAP. Certifique-se de que obtém os privilégios de administração necessários para cada sistema antes de configurar o SSO.
Mais informações:
Passo 1: Configurar a delegação restrita de Kerberos
A delegação restrita de Kerberos (KCD) fornece acesso seguro de utente ou serviço a recursos permitidos por administradores sem várias solicitações de credenciais. Configure a delegação restrita de Kerberos para a autenticação do Windows e do Microsoft Entra ID.
Execute o serviço Windows do gateway como conta de domínio com Nomes do Principal do Serviço (SPN) (SetSPN).
Tarefas de configuração:
Configure um SPN para a conta de serviço do gateway. Como administrador de domínio, use a ferramenta Setspn que vem com o Windows para ativar a delegação.
Ajuste as configurações de comunicação para o gateway. Ative as ligações de saída do Microsoft Entra ID e reveja as suas definições de firewall e porta para assegurar a comunicação.
Configure para delegação restrita de Kerberos padrão. Como administrador de domínio, configure uma conta de domínio para um serviço de modo a restringir a conta para executar num único domínio.
Conceda à conta de serviço de gateway direitos de política local na máquina do gateway.
Adicione a conta de serviço de gateway ao Grupo de Autorização e Acesso do Windows.
Defina parâmetros de configuração de mapeamento de utente na máquina do gateway.
Altere a conta de serviço de gateway para uma conta de domínio. Numa instalação padrão, o gateway é executado como a conta de serviço do computador local, NT Service\PBIEgwService. Tem de ser executado como conta de domínio para facilitar pedidos Kerberos para o SSO.
Mais informações:
- Visão geral da delegação restrita de Kerberos
- Configurar o SSO baseado em Kerberos para no local fontes de dados
Passo 2: Configurar o ERP SAP para ativar a utilização de CommonCryptoLib (sapcrypto.dll)
Para utilizar o SSO para aceder ao servidor SAP, certifique-se de que:
- Configura o servidor SAP para SSO Kerberos utilizando o CommonCryptoLib como biblioteca de Secure Network Communication (SNC).
- O seu nome SNC começa por CN.
Importante
Certifique-se de que o Secure Login Client (SLC) do SAP não está em execução no computador onde o gateway está instalado. O SLC coloca os pedidos do Kerberos em cache de uma forma que pode interferir com a capacidade do gateway utilizar o Kerberos para SSO. Para obter mais informações, reveja Nota do SAP 2780475 (s-utilizador necessário).
Faça o download do CommonCryptoLib () de 64 bits versão
sapcrypto.dll
8.5.25 ou posterior do SAP Launchpad e copie-o para uma pasta na sua máquina gateway.No mesmo diretório para onde copiou o
sapcrypto.dll
, crie um ficheiro com o nomesapcrypto.ini
com os seguintes conteúdos:ccl/snc/enable_kerberos_in_client_role = 1
O ficheiro
.ini
contém informações de configuração obrigatórias pelo CommonCryptoLib para ativar o SSO no cenário de gateway. Certifique-se de que o caminho (comoc:\sapcryptolib\
) contémsapcrypto.ini
esapcrypto.dll
. Os ficheiros.dll
e.ini
devem existir na mesma localização.Conceda permissões a ambos os ficheiros
.ini
e.dll
ao grupo Utilizadores Autenticados. Tanto o utilizador do serviço de gateway como o utilizador do Active Directory que o utilizador de serviço representam precisam de permissões de leitura e execução para ambos os ficheiros.Crie uma variável
CCL_PROFILE
de ambiente de sistema e defina o seu valor para o caminhosapcrypto.ini
.Reinicie o serviço de gateway.
Mais informações: Usar o início de sessão único de Kerberos para SSO no SAP BW com o CommonCryptoLib
Passo 3: Ativar a SNC do SAP para autenticação do Azure AD e do Windows
O conector SAP ERP suporta o Microsoft Entra ID e a autenticação do Windows Server AD ativando a Secure Network Communication (SNC) do SAP. A SNC é uma camada de software na arquitetura do sistema SAP que fornece uma interface para produtos de segurança externos, pelo que é possível estabelecer inícios de sessão únicos seguros aos ambientes SAP. A orientação sobre propriedades que se segue ajuda na configuração.
Propriedade | Descrição |
---|---|
Utilizar SNC | Defina como Sim , se pretende ativar a SNC. |
Biblioteca SNC | O nome ou caminho da biblioteca SNC relativo à localização de instalação NCo ou caminho absoluto. Exemplos disso são sapcrypto.dll ou c:\sapcryptolib\sapcryptolib.dll . |
SSO SNC | Especifica se o conector utiliza a identidade do serviço ou as credenciais de utilizador final. Defina como Ligado para utilizar a identidade do utilizador final. |
Nome do Parceiro SNC | O nome do servidor SNC de back-end. Por exemplo, p:CN=SAPserver . |
Qualidade de Proteção SNC | A qualidade do serviço usado para comunicação SNC deste destino ou servidor específico. O valor predefinido é definido pelo sistema de back-end. O valor máximo é definido pelo produto de segurança utilizado para a SNC. |
O nome SNC SAP do utilizador tem de ser igual ao nome de domínio completamente qualificado do Active Directory do utilizador. Por exemplo, p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM
tem ser igual a JANEDOE@REDMOND.CORP.CONTOSO.COM
.
Nota
Apenas autenticação do Microsoft Entra ID — a conta do Principal de Serviço SAP do Active Directory tem de ter o AES 128 ou AES 256 no atributo msDS-SupportedEncryptionType.
Passo 4: Configurar contas de servidor e utilizador SAP para permitir ações
Reveja a Nota SAP 460089 - Perfis de autorização mínimos para programas RFC externos para obter mais informações sobre os tipos de conta de utilizador suportados e a autorização mínima necessária para cada tipo de ação, como a chamada de função remota (RFC), a interface de programação de aplicações empresariais (BAPI) e o documento intermediário (IDOC).
As contas de utilizador SAP têm de aceder ao grupo de funções RFC_Metadata
e aos respetivos módulos de função para as seguintes operações:
Operações | Aceder a módulos de função |
---|---|
Ações da RFC | RFC_GROUP_SEARCH e ainda DD_LANGU_TO_ISOLA |
Ler Ação da tabela | Tanto RFC BBP_RFC_READ_TABLE como RFC_READ_TABLE |
Conceder acesso mínimo restrito ao servidor SAP para a sua ligação SAP | RFC_METADATA_GET e ainda RFC_METADATA_GET_TIMESTAMP |
Conteúdos relacionados
- [Início de Sessão Único SAP](https://help.sap.com/docs/SAP_SINGLE_SIGN-ON
- Guia de implementação do Secure Login for SAP Single Sign-On
- Portal de Ajuda do SAP Identity and Access Management (IAM)
- Conector SAP ERP
- Azure Logic Apps conector SAP
- Políticas de prevenção contra perda de dados (DLP)
- Projeto de arquitetura híbrida
Próximo passo
Instalar o modelo SAP Procurement