Objetivo desse blog é dar uma visão prática das configurações necessárias para utilização do produto SAP Secure Login Service for SAP GUI, do BTP, sem mistério e de forma que todos possam seguir e implementar rapidamente.

Infelizmente, na data em que escrevo essa publicação, ainda não há uma versão trial do SLS disponível! 😞

DOCUMENTAÇÃO: https://help.sap.com/sls

Pré Requisitos:

• Serviço SLS no BTP na Subaccount XKPO


• IAS provisionado na mesma Subaccount XKPO (para fins de automação do TRUST entre os dois ambientes)


• Backend ABAP (pode ser o mais simples, como usamos aqui através da imagem Docker (https://hub.docker.com/r/sapse/abap-platform-trial)


• Sap Secure Login Client - Secure Login Client 3.0 SP02 PL16 or higher (para usar os certificados de usuários e mapear o perfil de autenticação a ser usado)


• SAP GUI (usamos as mais recentes: SAP GUI for Java 7.80 rev 2.6 - (Version ID 078000040206) - 2023-04-03 02:04:31 +0000 - ccwdfgl2555, 780_REL, 2194084 Java VM: SAP SE Version 17.0.6+10-LTS-sapmachine - OS: Mac OS X(x86_64) Version 13.4.1


• Microsoft Azure AD (opcional - caso queira aproveitar o MFA com IAS via proxy)


• Autorização no IAS para as roles do SLS - Set Up Groups for Secure Login Service Web UI (SecureLoginServiceAdministrator, SecureLoginServiceViewer)

 

ABAP BACKEND FLOW

No caso de usar as imagens da CAL da SAP, de S/4HANA, ou a versão DEVELOPER TRIAL com imagem no Docker, é preciso rodar esse procedimento para habilitar a transação SNCWIZARD (isso não está documentado no HELP - IMPORTANTE)

Passo 1: Download do SAP Cloud Root CA

Link pra Download: https://help.sap.com/docs/link-disclaimer?site=http%3A%2F%2Faia.pki.co.sap.com%2Faia%2FSAP%2520Cloud...

 

Passo 2: Download do SAP SECURE LOGIN CLIENT SP16 - IMPORTANTE

Ver nota: https://me.sap.com/softwarecenter/object/0020000000937312023

Passo 3: Validar no IAS o atributo CN

Escolher o atributo que estará sendo usado pra autenticar e que deverá ser mapeado no backend igualmente

Nos nossos testes, usamos o Employee Number, mas você poderá escolher outros atributos.

Formato da URL SLS pro SNC User Name Suffix: CN=, L=[iastenant], OU=[região]-secure-login-service, OU=SAP BTP Clients, O=SAP SE, C=DE

PASSO 4: Subir Certificado ROOT DA SAP (STRUST)

PASSO 5: Mapear Atributo do IAS (sub) com atributo p:CN={userId} da aba CNC da transação SU01

Para fazer isso em massa, validar no HELP https://help.sap.com/docs/SAP%20SECURE%20LOGIN%20SERVICE/c35917ca71e941c5a97a11d2c55dcacd/52759c696a...

Exemplo:

PASSO 6: ATIVAR MFA no IAS com TOTP

 

PASSO 7:  Criar uma nova entrada no SAP GUI SAPGUI Expert Mod String: conn=/H/host/S/porta&sncqop=9&sncname=p:CN=yyy

PASSO 8:  Baixar Policy Groups no SLS client

O serviço vai mostrar uma URL da policy: https://[ambiente].[regiao].sls.cloud.sap

EXECUCÃO

Habilitar o SLS LC no PERFIL para SAPGUI

Clicar em “Conectar” no SAPGUI (processo de MFA é executado uma única vez dentro do período definido de até 24 horas de duração do certificado usado)

 

Depois da primeira etapa de usuário e senha, que é executado na primeira vez apenas, o IAS pede por um token (one time pass) que precisa estar linkado com o app de autenticação da SAP (para esse modelo, poderia ser o AD com o app da microsoft)

 

O resultado final pode ser visto lá embaixo, com o SSO realizado com sucesso.

Espero ter ajudado vocês nessa etapa de testes ou prova de conceito.