Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Showing results for 
Search instead for 
Did you mean: 
celofiorito
Product and Topic Expert
Product and Topic Expert
1,420
Objetivo desse blog é dar uma visão prática das configurações necessárias para utilização do produto SAP Secure Login Service for SAP GUI, do BTP, sem mistério e de forma que todos possam seguir e implementar rapidamente.

Infelizmente, na data em que escrevo essa publicação, ainda não há uma versão trial do SLS disponível! 😞

DOCUMENTAÇÃO: https://help.sap.com/sls


Pré Requisitos:




  • Serviço SLS no BTP na Subaccount XKPO

  • IAS provisionado na mesma Subaccount XKPO (para fins de automação do TRUST entre os dois ambientes)

  • Backend ABAP (pode ser o mais simples, como usamos aqui através da imagem Docker (https://hub.docker.com/r/sapse/abap-platform-trial)

  • Sap Secure Login Client - Secure Login Client 3.0 SP02 PL16 or higher (para usar os certificados de usuários e mapear o perfil de autenticação a ser usado)

  • SAP GUI (usamos as mais recentes: SAP GUI for Java 7.80 rev 2.6 - (Version ID 078000040206) - 2023-04-03 02:04:31 +0000 - ccwdfgl2555, 780_REL, 2194084 Java VM: SAP SE Version 17.0.6+10-LTS-sapmachine - OS: Mac OS X(x86_64) Version 13.4.1

  • Microsoft Azure AD (opcional - caso queira aproveitar o MFA com IAS via proxy)

  • Autorização no IAS para as roles do SLS - Set Up Groups for Secure Login Service Web UI (SecureLoginServiceAdministrator, SecureLoginServiceViewer)


 

ABAP BACKEND FLOW



No caso de usar as imagens da CAL da SAP, de S/4HANA, ou a versão DEVELOPER TRIAL com imagem no Docker, é preciso rodar esse procedimento para habilitar a transação SNCWIZARD (isso não está documentado no HELP - IMPORTANTE)



Passo 1: Download do SAP Cloud Root CA


Link pra Download: https://help.sap.com/docs/link-disclaimer?site=http%3A%2F%2Faia.pki.co.sap.com%2Faia%2FSAP%2520Cloud...


 


Passo 2: Download do SAP SECURE LOGIN CLIENT SP16 - IMPORTANTE


Ver nota: https://me.sap.com/softwarecenter/object/0020000000937312023



Passo 3: Validar no IAS o atributo CN


Escolher o atributo que estará sendo usado pra autenticar e que deverá ser mapeado no backend igualmente




Nos nossos testes, usamos o Employee Number, mas você poderá escolher outros atributos.


Formato da URL SLS pro SNC User Name Suffix: CN=, L=[iastenant], OU=[região]-secure-login-service, OU=SAP BTP Clients, O=SAP SE, C=DE


PASSO 4: Subir Certificado ROOT DA SAP (STRUST)



PASSO 5: Mapear Atributo do IAS (sub) com atributo p:CN={userId} da aba CNC da transação SU01



Para fazer isso em massa, validar no HELP https://help.sap.com/docs/SAP%20SECURE%20LOGIN%20SERVICE/c35917ca71e941c5a97a11d2c55dcacd/52759c696a...


Exemplo:



PASSO 6: ATIVAR MFA no IAS com TOTP



 


PASSO 7:  Criar uma nova entrada no SAP GUI SAPGUI Expert Mod String: conn=/H/host/S/porta&sncqop=9&sncname=p:CN=yyy



PASSO 8:  Baixar Policy Groups no SLS client


O serviço vai mostrar uma URL da policy: https://[ambiente].[regiao].sls.cloud.sap




EXECUCÃO


Habilitar o SLS LC no PERFIL para SAPGUI



Clicar em “Conectar” no SAPGUI (processo de MFA é executado uma única vez dentro do período definido de até 24 horas de duração do certificado usado)



 

Depois da primeira etapa de usuário e senha, que é executado na primeira vez apenas, o IAS pede por um token (one time pass) que precisa estar linkado com o app de autenticação da SAP (para esse modelo, poderia ser o AD com o app da microsoft)

 


O resultado final pode ser visto lá embaixo, com o SSO realizado com sucesso.




Espero ter ajudado vocês nessa etapa de testes ou prova de conceito.