Configurar a autenticação para as soluções de Aprovisionamento SAP
O conector ERP SAP foi concebido para que várias pessoas possam aceder e utilizar uma aplicação de uma vez; assim, as ligações não são partilhadas. As credenciais de utilizador são fornecidas na ligação, enquanto outros detalhes necessários para ligar ao sistema SAP (como detalhes do servidor e configuração de segurança) são fornecidos como parte da ação.
A ativação do início de sessão único (SSO) facilita a atualização de dados do SAP ao mesmo tempo que permite a manutenção das permissões a nível do utilizador configuradas no SAP. Há várias formas de configurar o SSO para uma gestão simplificada de identidades e acessos.
O conector ERP SAP suporta os seguintes tipos de autenticação:
| Authentication type | Como um utilizador se liga | Passos de configuração |
|---|---|---|
| Autenticação SAP | Utilize o nome de utilizador e a palavra-passe do SAP para aceder ao servidor. | Passo 4 |
| Autenticação do Windows | Utilize o nome de utilizador e a palavra-passe do Windows para aceder ao servidor SAP. | Passos 1, 2, 3, 4 |
| Microsoft Entra Autenticação de ID | Utilize o Microsoft Entra ID para aceder ao servidor do SAP. | Passos 1, 2, 3, 4 |
Nota
São necessários privilégios administrativos específicos para configurar o SSO no Microsoft Entra ID e no SAP. Certifique-se de que obtém os privilégios de administração necessários para cada sistema antes de configurar o SSO.
Mais informações:
Passo 1: Configurar a delegação restrita de Kerberos
A delegação restrita de Kerberos (KCD) fornece acesso seguro de utente ou serviço a recursos permitidos por administradores sem várias solicitações de credenciais. Configure a delegação restrita de Kerberos para a autenticação do Windows e do Microsoft Entra ID.
Execute o serviço Windows do gateway como conta de domínio com Nomes do Principal do Serviço (SPN) (SetSPN).
Tarefas de configuração:
Configure um SPN para a conta de serviço do gateway. Como administrador de domínio, use a ferramenta Setspn que vem com o Windows para ativar a delegação.
Ajuste as configurações de comunicação para o gateway. Ative as ligações de saída do Microsoft Entra ID e reveja as suas definições de firewall e porta para assegurar a comunicação.
Configure para delegação restrita de Kerberos padrão. Como administrador de domínio, configure uma conta de domínio para um serviço de modo a restringir a conta para executar num único domínio.
Conceda à conta de serviço de gateway direitos de política local na máquina do gateway.
Adicione a conta de serviço de gateway ao Grupo de Autorização e Acesso do Windows.
Defina parâmetros de configuração de mapeamento de utente na máquina do gateway.
Altere a conta de serviço de gateway para uma conta de domínio. Numa instalação padrão, o gateway é executado como a conta de serviço do computador local, NT Service\PBIEgwService. Tem de ser executado como conta de domínio para facilitar pedidos Kerberos para o SSO.
Mais informações:
- Visão geral da delegação restrita de Kerberos
- Configurar o SSO baseado em Kerberos para no local fontes de dados
Passo 2: Configurar o ERP SAP para ativar a utilização de CommonCryptoLib (sapcrypto.dll)
Para utilizar o SSO para aceder ao servidor SAP, certifique-se de que:
- Configura o servidor SAP para SSO Kerberos utilizando o CommonCryptoLib como biblioteca de Secure Network Communication (SNC).
- O seu nome SNC começa por CN.
Importante
Certifique-se de que o Secure Login Client (SLC) do SAP não está em execução no computador onde o gateway está instalado. O SLC coloca os pedidos do Kerberos em cache de uma forma que pode interferir com a capacidade do gateway utilizar o Kerberos para SSO. Para obter mais informações, reveja Nota do SAP 2780475 (s-utilizador necessário).
Faça o download do CommonCryptoLib () de 64 bits versão
sapcrypto.dll8.5.25 ou posterior do SAP Launchpad e copie-o para uma pasta na sua máquina gateway.No mesmo diretório para onde copiou o
sapcrypto.dll, crie um ficheiro com o nomesapcrypto.inicom os seguintes conteúdos:ccl/snc/enable_kerberos_in_client_role = 1O ficheiro
.inicontém informações de configuração obrigatórias pelo CommonCryptoLib para ativar o SSO no cenário de gateway. Certifique-se de que o caminho (comoc:\sapcryptolib\) contémsapcrypto.iniesapcrypto.dll. Os ficheiros.dlle.inidevem existir na mesma localização.Conceda permissões a ambos os ficheiros
.inie.dllao grupo Utilizadores Autenticados. Tanto o utilizador do serviço de gateway como o utilizador do Active Directory que o utilizador de serviço representam precisam de permissões de leitura e execução para ambos os ficheiros.Crie uma variável
CCL_PROFILEde ambiente de sistema e defina o seu valor para o caminhosapcrypto.ini.Reinicie o serviço de gateway.
Mais informações: Usar o início de sessão único de Kerberos para SSO no SAP BW com o CommonCryptoLib
Passo 3: Ativar a SNC do SAP para autenticação do Azure AD e do Windows
O conector SAP ERP suporta o Microsoft Entra ID e a autenticação do Windows Server AD ativando a Secure Network Communication (SNC) do SAP. A SNC é uma camada de software na arquitetura do sistema SAP que fornece uma interface para produtos de segurança externos, pelo que é possível estabelecer inícios de sessão únicos seguros aos ambientes SAP. A orientação sobre propriedades que se segue ajuda na configuração.
| Propriedade | Descrição |
|---|---|
| Utilizar SNC | Defina como Sim , se pretende ativar a SNC. |
| Biblioteca SNC | O nome ou caminho da biblioteca SNC relativo à localização de instalação NCo ou caminho absoluto. Exemplos disso são sapcrypto.dll ou c:\sapcryptolib\sapcryptolib.dll. |
| SSO SNC | Especifica se o conector utiliza a identidade do serviço ou as credenciais de utilizador final. Defina como Ligado para utilizar a identidade do utilizador final. |
| Nome do Parceiro SNC | O nome do servidor SNC de back-end. Por exemplo, p:CN=SAPserver. |
| Qualidade de Proteção SNC | A qualidade do serviço usado para comunicação SNC deste destino ou servidor específico. O valor predefinido é definido pelo sistema de back-end. O valor máximo é definido pelo produto de segurança utilizado para a SNC. |
O nome SNC SAP do utilizador tem de ser igual ao nome de domínio completamente qualificado do Active Directory do utilizador. Por exemplo, p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM tem ser igual a JANEDOE@REDMOND.CORP.CONTOSO.COM.
Nota
Apenas autenticação do Microsoft Entra ID — a conta do Principal de Serviço SAP do Active Directory tem de ter o AES 128 ou AES 256 no atributo msDS-SupportedEncryptionType.
Passo 4: Configurar contas de servidor e utilizador SAP para permitir ações
Reveja a Nota SAP 460089 - Perfis de autorização mínimos para programas RFC externos para obter mais informações sobre os tipos de conta de utilizador suportados e a autorização mínima necessária para cada tipo de ação, como a chamada de função remota (RFC), a interface de programação de aplicações empresariais (BAPI) e o documento intermediário (IDOC).
As contas de utilizador SAP têm de aceder ao grupo de funções RFC_Metadata e aos respetivos módulos de função para as seguintes operações:
| Operações | Aceder a módulos de função |
|---|---|
| Ações da RFC | RFC_GROUP_SEARCH e ainda DD_LANGU_TO_ISOLA |
| Ler Ação da tabela | Tanto RFC BBP_RFC_READ_TABLE como RFC_READ_TABLE |
| Conceder acesso mínimo restrito ao servidor SAP para a sua ligação SAP | RFC_METADATA_GET e ainda RFC_METADATA_GET_TIMESTAMP |
Conteúdos relacionados
- [Início de Sessão Único SAP](https://help.sap.com/docs/SAP_SINGLE_SIGN-ON
- Guia de implementação do Secure Login for SAP Single Sign-On
- Portal de Ajuda do SAP Identity and Access Management (IAM)
- Conector SAP ERP
- Azure Logic Apps conector SAP
- Políticas de prevenção contra perda de dados (DLP)
- Projeto de arquitetura híbrida
Próximo passo
Instalar o modelo SAP Procurement