Integración mTLS con SAP Successfactors y SAP BTP

mTLS significa seguridad de la capa de transporte mutua. Es un protocolo de seguridad que proporciona comunicación encriptada entre el cliente y el servidor, asegurando que los datos transmitidos a través de la red no puedan ser interceptados, leídos o modificados por ninguna entidad no autorizada.

A diferencia de SSL/TLS tradicional, que solo autentica el servidor ante el cliente, mTLS autentica tanto al servidor como al cliente entre sí, proporcionando así una autenticación mutua. Esto se logra mediante el uso de certificados digitales para verificar las identidades tanto del cliente como del servidor.

En mTLS, el cliente presenta su propio certificado digital al servidor durante el proceso de protocolo de enlace SSL/TLS y el servidor verifica el certificado para autenticar al cliente. De manera similar, el servidor presenta su propio certificado al cliente, que luego es verificado por el cliente.

Mediante el uso de mTLS, las organizaciones pueden agregar una capa adicional de seguridad a la comunicación de su red, lo que ayuda a prevenir ataques como los ataques de intermediarios (MITM) y el acceso no autorizado a los recursos.

Al configurar la conectividad de las aplicaciones de extensión con SAP SuccessFactors, use estos procedimientos para habilitar mTLS.

1. Generación de Certificado X509 en SAP BTP.
2. Creación de un destino HTTP mediante la autenticación de certificado de cliente.
3. En SAP SuccessFactors, cree una asignación de certificado X509.
4. Llamada API POSTMAN para probar mTLS

“La imagen/datos en este blog son de sistemas internos de SAP, datos de muestra o sistemas de demostración. Cualquier parecido con datos reales es pura coincidencia”.

Generando Certificado X509 en SAP BTP

Primero debe generar un certificado X509 para su subcuenta antes de poder crear el destino HTTP. para que pueda elegirlo como ubicación de almacenamiento de claves al crear el destino HTTP.

Procedimiento

1. Inicie sesión en su SAP BTP cuenta, desde la cabina navegue a su subcuenta de extensión en el entorno de Cloud Foundry.
2. Seleccionar .
3. Seleccionar Certificados entonces Generar Certificado para generar el certificado para su subcuenta.

1. En el Generar nuevo certificado caja de diálogo:

Para determinar qué permisos necesita asignar al usuario técnico, vaya a SAP API Business Hub, busque el Centro de negocios API de SAP al que desea acceder, y desde la pestaña Descripción general, vaya a la sección Documentación y abra el enlace help.sap.com. Allí encontrará la información adecuada para cada API. Estos permisos están determinados por el caso de uso y la API a la que desea acceder.

NOTA: El usuario técnico puede ser cualquier usuario con los permisos respectivos.

Creación de un destino HTTP mediante la autenticación de certificado de cliente

Para utilizar la autenticación de certificado de cliente al llamar a las API OData de SAP SuccessFactors HXM Suite, se requiere un destino HTTP.

Procedimiento

1. En el SAP BTP cockpit, vaya a su subcuenta de extensión en el entorno de Cloud Foundry.
2. Seleccionar .
3. Seleccionar Nuevo destino y complete las siguientes propiedades:

Nombre: Introduzca un nombre para el destino. Por ejemplo, sap_hcmcloud_core_odata.

Tipo: HTTP

URL: Ingrese la URL de la API de SAP SuccessFactors OData que desea consumir con certificado. antes de SuccessFactors.com. Para obtener una lista de la URL del extremo de la API para los entornos de SAP SuccessFactors. Referirse Lista de servidores API de SAP SuccessFactors | Portal de ayuda de SAP

Tipo de proxy: Internet

Autenticación: ClientCertificateAuthentication

Ubicación de la tienda clave: Seleccione el certificado que ha generado para los destinos en su subcuenta en SAP BTP. Referirse Uso de la seguridad de la capa de transporte mutuo (mTLS) | Portal de ayuda de SAP

Guarde los cambios.

Seleccione Exportar para descargar el certificado que creó y asignó a este destino.

Extraiga el archivo PEM del archivo ZIP y guárdelo en su sistema local.

NOTANota: cuando abre el archivo PEM, es posible que esté codificado en Base64 y requiera descodificación. Luego se puede decodificar y cargar sin la clave privada. (recomendamos usar Notepad++ para esto)

Abra el archivo PEM en su editor preferido y elimine todo lo que esté entre las líneas ——-BEGIN PRIVATE KEY——- y ——-END PRIVATE KEY——-, incluidas estas líneas. Guarde el documento.

Después de eso, vuelva a insertar la sección recortada en el archivo PEM, de modo que tenga dos archivos PEM: uno que esté completo y otro que no incluya la clave privada (asegúrese de eliminar los espacios de caracteres adicionales que se hayan perdido durante Este paso.)

Ejemplo: mTLS_editado.PEM y mTLS_original.PEM

En SAP SuccessFactors, cree una asignación de certificado X509.

Debes haber habilitado el Acceso al mapeo de certificados X509 permiso en el Centro de seguridad antes de crear las asignaciones de certificados X509.

Para hacer esto, navegue hasta Centro de administración y busca “Gestionar roles de permisos”. Seleccione el deseado Rol de permisos de los roles mostrados. Una vez en el deseado Detalle de la función de permisohaga clic Configuración de permisos y luego buscar Administrar centro de seguridad y habilitar el “Acceso al mapeo de certificados X.509” y haga clic Hecho.

Procedimiento

1. Navegar a Centro de administración y busque Security Center en el sistema SAP SuccessFactors.
2. Elegir el Asignación de certificados públicos X.509 teja.
3. Seleccionar Agregar.
4. Rellene los siguientes campos:

• Ingrese un nombre significativo para su asignación de certificado X509 en el campo Nombre de configuración.
• Seleccione Plataforma tecnológica empresarial en el menú desplegable Nombre de integración.
• Cargue el certificado que descargó y editó al crear el destino HTTP en la cabina de SAP BTP en el campo Archivo de certificado. (En nuestro caso: mTLS_edited.PEM)
• Ingrese el mismo usuario técnico que usó para crear el destino HTTP en la cabina de SAP BTP en el campo Nombre de inicio de sesión para consumir la API OData de SAP SuccessFactors HXM Suite. Referirse Uso de la seguridad de la capa de transporte mutuo (mTLS) | Portal de ayuda de SAP

Llamada API POSTMAN para pruebas mTLS

Procedimiento

1. Abra POSTMAN y haga clic en el ícono de la hamburguesa en la esquina superior izquierda
2. Seleccionar Archivo > Ajustes
3. Seleccionar Certificados > Agregar certificado (Opcionalmente, presione Ctrl+Coma para navegar a este cuadro de diálogo)
4. Rellene los campos obligatorios:Anfitrión: .cert.successfactors.com>
   archivo CRT:
   Archivo de clave:
   Archivo PFX:
   Frase de contraseña:

Finalmente, use una llamada a la API para ver si se ha incorporado mTLS.

NOTA: en el Encabezados sección de su llamada API en POSTMAN, asigne KEY = «factores de éxito-id de la empresa» VALOR = “su ID de empresa de SuccessFactors”

La llamada a la API:

En mi caso, haré una simple llamada a la API para consultar la entidad del usuario y luego verificaré si mTLS está incluido en los resultados.

Resumen:

Podemos ver en los resultados de la llamada a la API que tenemos una sección con el «Certificado de cliente» para deducir que la incorporación de mTLS se ha integrado correctamente en la llamada a la API. Esta configuración se puede lograr siguiendo los pasos detallados anteriores para la implementación.

Comparta amablemente sus pensamientos y comentarios en la sección de comentarios.
No olvide seguir la página del tema del entorno SAP SuccessFactors HXM Suite https://community.sap.com/topics/successfactorspublicar y responder preguntas https://answers.sap.com/tags/67838200100800004730y leer otras publicaciones sobre el tema https://blogs.sap.com/tags/67838200100800004730/