mTLS significa seguridad de la capa de transporte mutua. Es un protocolo de seguridad que proporciona comunicación encriptada entre el cliente y el servidor, asegurando que los datos transmitidos a través de la red no puedan ser interceptados, leídos o modificados por ninguna entidad no autorizada.
A diferencia de SSL/TLS tradicional, que solo autentica el servidor ante el cliente, mTLS autentica tanto al servidor como al cliente entre sí, proporcionando así una autenticación mutua. Esto se logra mediante el uso de certificados digitales para verificar las identidades tanto del cliente como del servidor.
En mTLS, el cliente presenta su propio certificado digital al servidor durante el proceso de protocolo de enlace SSL/TLS y el servidor verifica el certificado para autenticar al cliente. De manera similar, el servidor presenta su propio certificado al cliente, que luego es verificado por el cliente.
Mediante el uso de mTLS, las organizaciones pueden agregar una capa adicional de seguridad a la comunicación de su red, lo que ayuda a prevenir ataques como los ataques de intermediarios (MITM) y el acceso no autorizado a los recursos.
Al configurar la conectividad de las aplicaciones de extensión con SAP SuccessFactors, use estos procedimientos para habilitar mTLS.
“La imagen/datos en este blog son de sistemas internos de SAP, datos de muestra o sistemas de demostración. Cualquier parecido con datos reales es pura coincidencia”.
Primero debe generar un certificado X509 para su subcuenta antes de poder crear el destino HTTP. para que pueda elegirlo como ubicación de almacenamiento de claves al crear el destino HTTP.
Para determinar qué permisos necesita asignar al usuario técnico, vaya a SAP API Business Hub, busque el Centro de negocios API de SAP al que desea acceder, y desde la pestaña Descripción general, vaya a la sección Documentación y abra el enlace help.sap.com. Allí encontrará la información adecuada para cada API. Estos permisos están determinados por el caso de uso y la API a la que desea acceder.
NOTA: El usuario técnico puede ser cualquier usuario con los permisos respectivos.
Para utilizar la autenticación de certificado de cliente al llamar a las API OData de SAP SuccessFactors HXM Suite, se requiere un destino HTTP.
Nombre: Introduzca un nombre para el destino. Por ejemplo, sap_hcmcloud_core_odata.
Tipo: HTTP
URL: Ingrese la URL de la API de SAP SuccessFactors OData que desea consumir con certificado. antes de SuccessFactors.com. Para obtener una lista de la URL del extremo de la API para los entornos de SAP SuccessFactors. Referirse Lista de servidores API de SAP SuccessFactors | Portal de ayuda de SAP
Tipo de proxy: Internet
Autenticación: ClientCertificateAuthentication
Ubicación de la tienda clave: Seleccione el certificado que ha generado para los destinos en su subcuenta en SAP BTP. Referirse Uso de la seguridad de la capa de transporte mutuo (mTLS) | Portal de ayuda de SAP
Guarde los cambios.
Seleccione Exportar para descargar el certificado que creó y asignó a este destino.
Extraiga el archivo PEM del archivo ZIP y guárdelo en su sistema local.
NOTANota: cuando abre el archivo PEM, es posible que esté codificado en Base64 y requiera descodificación. Luego se puede decodificar y cargar sin la clave privada. (recomendamos usar Notepad++ para esto)
Abra el archivo PEM en su editor preferido y elimine todo lo que esté entre las líneas ——-BEGIN PRIVATE KEY——- y ——-END PRIVATE KEY——-, incluidas estas líneas. Guarde el documento.
Después de eso, vuelva a insertar la sección recortada en el archivo PEM, de modo que tenga dos archivos PEM: uno que esté completo y otro que no incluya la clave privada (asegúrese de eliminar los espacios de caracteres adicionales que se hayan perdido durante Este paso.)
Ejemplo: mTLS_editado.PEM y mTLS_original.PEM
Debes haber habilitado el Acceso al mapeo de certificados X509 permiso en el Centro de seguridad antes de crear las asignaciones de certificados X509.
Para hacer esto, navegue hasta Centro de administración y busca “Gestionar roles de permisos”. Seleccione el deseado Rol de permisos de los roles mostrados. Una vez en el deseado Detalle de la función de permisohaga clic Configuración de permisos y luego buscar Administrar centro de seguridad y habilitar el “Acceso al mapeo de certificados X.509” y haga clic Hecho.
Finalmente, use una llamada a la API para ver si se ha incorporado mTLS.
NOTA: en el Encabezados sección de su llamada API en POSTMAN, asigne KEY = «factores de éxito-id de la empresa» VALOR = “su ID de empresa de SuccessFactors”
La llamada a la API:
En mi caso, haré una simple llamada a la API para consultar la entidad del usuario y luego verificaré si mTLS está incluido en los resultados.
Podemos ver en los resultados de la llamada a la API que tenemos una sección con el «Certificado de cliente» para deducir que la incorporación de mTLS se ha integrado correctamente en la llamada a la API. Esta configuración se puede lograr siguiendo los pasos detallados anteriores para la implementación.
Comparta amablemente sus pensamientos y comentarios en la sección de comentarios.
No olvide seguir la página del tema del entorno SAP SuccessFactors HXM Suite https://community.sap.com/topics/successfactorspublicar y responder preguntas https://answers.sap.com/tags/67838200100800004730y leer otras publicaciones sobre el tema https://blogs.sap.com/tags/67838200100800004730/
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073