successfactors  ·  Technical Articles

Integración mTLS con SAP Successfactors y SAP BTP

By s4pcademy 


mTLS significa seguridad de la capa de transporte mutua. Es un protocolo de seguridad que proporciona comunicación encriptada entre el cliente y el servidor, asegurando que los datos transmitidos a través de la red no puedan ser interceptados, leídos o modificados por ninguna entidad no autorizada.

A diferencia de SSL/TLS tradicional, que solo autentica el servidor ante el cliente, mTLS autentica tanto al servidor como al cliente entre sí, proporcionando así una autenticación mutua. Esto se logra mediante el uso de certificados digitales para verificar las identidades tanto del cliente como del servidor.

En mTLS, el cliente presenta su propio certificado digital al servidor durante el proceso de protocolo de enlace SSL/TLS y el servidor verifica el certificado para autenticar al cliente. De manera similar, el servidor presenta su propio certificado al cliente, que luego es verificado por el cliente.

Mediante el uso de mTLS, las organizaciones pueden agregar una capa adicional de seguridad a la comunicación de su red, lo que ayuda a prevenir ataques como los ataques de intermediarios (MITM) y el acceso no autorizado a los recursos.

Al configurar la conectividad de las aplicaciones de extensión con SAP SuccessFactors, use estos procedimientos para habilitar mTLS.

  1. Generación de Certificado X509 en SAP BTP.
  2. Creación de un destino HTTP mediante la autenticación de certificado de cliente.
  3. En SAP SuccessFactors, cree una asignación de certificado X509.
  4. Llamada API POSTMAN para probar mTLS

“La imagen/datos en este blog son de sistemas internos de SAP, datos de muestra o sistemas de demostración. Cualquier parecido con datos reales es pura coincidencia”.

Generando Certificado X509 en SAP BTP

Primero debe generar un certificado X509 para su subcuenta antes de poder crear el destino HTTP. para que pueda elegirlo como ubicación de almacenamiento de claves al crear el destino HTTP.

Procedimiento

  1. Inicie sesión en su SAP BTP cuenta, desde la cabina navegue a su subcuenta de extensión en el entorno de Cloud Foundry.
  2. Seleccionar .
  3. Seleccionar Certificados entonces Generar Certificado para generar el certificado para su subcuenta.

  1. En el Generar nuevo certificado caja de diálogo:

Para determinar qué permisos necesita asignar al usuario técnico, vaya a SAP API Business Hub, busque el Centro de negocios API de SAP al que desea acceder, y desde la pestaña Descripción general, vaya a la sección Documentación y abra el enlace help.sap.com. Allí encontrará la información adecuada para cada API. Estos permisos están determinados por el caso de uso y la API a la que desea acceder.

NOTA: El usuario técnico puede ser cualquier usuario con los permisos respectivos.

Creación de un destino HTTP mediante la autenticación de certificado de cliente

Para utilizar la autenticación de certificado de cliente al llamar a las API OData de SAP SuccessFactors HXM Suite, se requiere un destino HTTP.

Procedimiento

  1. En el SAP BTP cockpit, vaya a su subcuenta de extensión en el entorno de Cloud Foundry.
  2. Seleccionar .
  3. Seleccionar Nuevo destino y complete las siguientes propiedades:

Nombre: Introduzca un nombre para el destino. Por ejemplo, sap_hcmcloud_core_odata.

Tipo: HTTP

URL: Ingrese la URL de la API de SAP SuccessFactors OData que desea consumir con certificado. antes de SuccessFactors.com. Para obtener una lista de la URL del extremo de la API para los entornos de SAP SuccessFactors. Referirse Lista de servidores API de SAP SuccessFactors | Portal de ayuda de SAP

Tipo de proxy: Internet

Autenticación: ClientCertificateAuthentication

Ubicación de la tienda clave: Seleccione el certificado que ha generado para los destinos en su subcuenta en SAP BTP. Referirse Uso de la seguridad de la capa de transporte mutuo (mTLS) | Portal de ayuda de SAP

Guarde los cambios.

Seleccione Exportar para descargar el certificado que creó y asignó a este destino.

Extraiga el archivo PEM del archivo ZIP y guárdelo en su sistema local.

NOTANota: cuando abre el archivo PEM, es posible que esté codificado en Base64 y requiera descodificación. Luego se puede decodificar y cargar sin la clave privada. (recomendamos usar Notepad++ para esto)

Abra el archivo PEM en su editor preferido y elimine todo lo que esté entre las líneas ——-BEGIN PRIVATE KEY——- y ——-END PRIVATE KEY——-, incluidas estas líneas. Guarde el documento.

Después de eso, vuelva a insertar la sección recortada en el archivo PEM, de modo que tenga dos archivos PEM: uno que esté completo y otro que no incluya la clave privada (asegúrese de eliminar los espacios de caracteres adicionales que se hayan perdido durante Este paso.)

Ejemplo: mTLS_editado.PEM y mTLS_original.PEM

En SAP SuccessFactors, cree una asignación de certificado X509.

Debes haber habilitado el Acceso al mapeo de certificados X509 permiso en el Centro de seguridad antes de crear las asignaciones de certificados X509.

Para hacer esto, navegue hasta Centro de administración y busca “Gestionar roles de permisos”. Seleccione el deseado Rol de permisos de los roles mostrados. Una vez en el deseado Detalle de la función de permisohaga clic Configuración de permisos y luego buscar Administrar centro de seguridad y habilitar el “Acceso al mapeo de certificados X.509” y haga clic Hecho.

Procedimiento

  1. Navegar a Centro de administración y busque Security Center en el sistema SAP SuccessFactors.
  2. Elegir el Asignación de certificados públicos X.509 teja.
  3. Seleccionar Agregar.
  4. Rellene los siguientes campos:
  • Ingrese un nombre significativo para su asignación de certificado X509 en el campo Nombre de configuración.
  • Seleccione Plataforma tecnológica empresarial en el menú desplegable Nombre de integración.
  • Cargue el certificado que descargó y editó al crear el destino HTTP en la cabina de SAP BTP en el campo Archivo de certificado. (En nuestro caso: mTLS_edited.PEM)
  • Ingrese el mismo usuario técnico que usó para crear el destino HTTP en la cabina de SAP BTP en el campo Nombre de inicio de sesión para consumir la API OData de SAP SuccessFactors HXM Suite. Referirse Uso de la seguridad de la capa de transporte mutuo (mTLS) | Portal de ayuda de SAP

Llamada API POSTMAN para pruebas mTLS

Procedimiento

  1. Abra POSTMAN y haga clic en el ícono de la hamburguesa en la esquina superior izquierda
  2. Seleccionar Archivo > Ajustes
  3. Seleccionar Certificados > Agregar certificado (Opcionalmente, presione Ctrl+Coma para navegar a este cuadro de diálogo)
  4. Rellene los campos obligatorios:Anfitrión: .cert.successfactors.com>
    archivo CRT:
    Archivo de clave:
    Archivo PFX:
    Frase de contraseña:

Finalmente, use una llamada a la API para ver si se ha incorporado mTLS.

NOTA: en el Encabezados sección de su llamada API en POSTMAN, asigne KEY = «factores de éxito-id de la empresa» VALOR = “su ID de empresa de SuccessFactors”

La llamada a la API:

En mi caso, haré una simple llamada a la API para consultar la entidad del usuario y luego verificaré si mTLS está incluido en los resultados.

Resumen:

Podemos ver en los resultados de la llamada a la API que tenemos una sección con el «Certificado de cliente» para deducir que la incorporación de mTLS se ha integrado correctamente en la llamada a la API. Esta configuración se puede lograr siguiendo los pasos detallados anteriores para la implementación.

Comparta amablemente sus pensamientos y comentarios en la sección de comentarios.
No olvide seguir la página del tema del entorno SAP SuccessFactors HXM Suite https://community.sap.com/topics/successfactorspublicar y responder preguntas https://answers.sap.com/tags/67838200100800004730y leer otras publicaciones sobre el tema https://blogs.sap.com/tags/67838200100800004730/



Source link


BTPconintegraciónmTLSSAPSuccessFactors

Artículos relacionados


#enablement  ·  #Hack2Build  ·  #hackathon  ·  #learning  ·  #partner  ·  #PartnerEdge  ·  Personal Insights
¿Qué hay en SAP Build para nuestros socios? Perspectivas de AGILITA
Product Information
Modelado de amenazas en SAP Landscape
#bigdata  ·  #Master Data Integration  ·  Business Trends  ·  data strategy
Guía hacia la monetización de datos | Blogs de SAP

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*


Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Bloquear todas
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Recuerde sus detalles de inicio de sesión
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar