Technical Articles
SAP SECURE LOGIN SERVICE for SAPGUI – Uma Visão Prática
Objetivo desse blog é dar uma visão prática das configurações necessárias para utilização do produto SAP Secure Login Service for SAP GUI, do BTP, sem mistério e de forma que todos possam seguir e implementar rapidamente.
Infelizmente, na data em que escrevo essa publicação, ainda não há uma versão trial do SLS disponível! 🙁
DOCUMENTAÇÃO: https://help.sap.com/sls
Pré Requisitos:
- Serviço SLS no BTP na Subaccount XKPO
- IAS provisionado na mesma Subaccount XKPO (para fins de automação do TRUST entre os dois ambientes)
- Backend ABAP (pode ser o mais simples, como usamos aqui através da imagem Docker (https://hub.docker.com/r/sapse/abap-platform-trial)
- Sap Secure Login Client – Secure Login Client 3.0 SP02 PL16 or higher (para usar os certificados de usuários e mapear o perfil de autenticação a ser usado)
- SAP GUI (usamos as mais recentes: SAP GUI for Java 7.80 rev 2.6 – (Version ID 078000040206) – 2023-04-03 02:04:31 +0000 – ccwdfgl2555, 780_REL, 2194084 Java VM: SAP SE Version 17.0.6+10-LTS-sapmachine – OS: Mac OS X(x86_64) Version 13.4.1
- Microsoft Azure AD (opcional – caso queira aproveitar o MFA com IAS via proxy)
- Autorização no IAS para as roles do SLS – Set Up Groups for Secure Login Service Web UI (SecureLoginServiceAdministrator, SecureLoginServiceViewer)
ABAP BACKEND FLOW
No caso de usar as imagens da CAL da SAP, de S/4HANA, ou a versão DEVELOPER TRIAL com imagem no Docker, é preciso rodar esse procedimento para habilitar a transação SNCWIZARD (isso não está documentado no HELP – IMPORTANTE)
Passo 1: Download do SAP Cloud Root CA
Link pra Download: https://help.sap.com/docs/link-disclaimer?site=http%3A%2F%2Faia.pki.co.sap.com%2Faia%2FSAP%2520Cloud%2520Root%2520CA.crt
Passo 2: Download do SAP SECURE LOGIN CLIENT SP16 – IMPORTANTE
Ver nota: https://me.sap.com/softwarecenter/object/0020000000937312023
Passo 3: Validar no IAS o atributo CN
Escolher o atributo que estará sendo usado pra autenticar e que deverá ser mapeado no backend igualmente
Nos nossos testes, usamos o Employee Number, mas você poderá escolher outros atributos.
Formato da URL SLS pro SNC User Name Suffix: CN=, L=[iastenant], OU=[região]-secure-login-service, OU=SAP BTP Clients, O=SAP SE, C=DE
PASSO 4: Subir Certificado ROOT DA SAP (STRUST)
PASSO 5: Mapear Atributo do IAS (sub) com atributo p:CN={userId} da aba CNC da transação SU01
Para fazer isso em massa, validar no HELP https://help.sap.com/docs/SAP%20SECURE%20LOGIN%20SERVICE/c35917ca71e941c5a97a11d2c55dcacd/52759c696aad4585a8fabfc39f48c7d9.html
Exemplo:
PASSO 6: ATIVAR MFA no IAS com TOTP
PASSO 7: Criar uma nova entrada no SAP GUI SAPGUI Expert Mod String: conn=/H/host/S/porta&sncqop=9&sncname=p:CN=yyy
PASSO 8: Baixar Policy Groups no SLS client
O serviço vai mostrar uma URL da policy: https://[ambiente].[regiao].sls.cloud.sap
EXECUCÃO
Habilitar o SLS LC no PERFIL para SAPGUI
Clicar em “Conectar” no SAPGUI (processo de MFA é executado uma única vez dentro do período definido de até 24 horas de duração do certificado usado)
Depois da primeira etapa de usuário e senha, que é executado na primeira vez apenas, o IAS pede por um token (one time pass) que precisa estar linkado com o app de autenticação da SAP (para esse modelo, poderia ser o AD com o app da microsoft)
O resultado final pode ser visto lá embaixo, com o SSO realizado com sucesso.
