Habilitar a propagação de entidade de segurança do SAP e SSO no Power Platform
Trabalhar com interfaces SAP em soluções low-code é uma necessidade comum para os clientes.
Este artigo descreve as configurações e componentes fundamentais necessários para interagir com sistemas SAP via OData e as interfaces herdadas RFC/BAPI.
O artigo enfatiza a autorização segura usando a identidade do Microsoft Entra no Power Platform e para os usuários de back-end do SAP. Esse mecanismo geralmente é chamado de Propagação de Entidade de Segurança do SAP. Confira este post da comunidade para mais detalhes.
Importante
O SAP Principal Propagation garante o mapeamento de usuários para o usuário SAP nomeado licenciado. Para qualquer dúvida relacionada à licença SAP, entre em contato com seu representante SAP.
Observação
As diretrizes também se aplicam aos Aplicativos Lógicos do Azure, Azure Functions, Aplicativos de Contêiner do Azure e Serviço de Aplicativo do Azure.
Conector SAP ERP no Power Platform
O conector SAP ERP (RFC/BAPI) é projetado para permitir que várias pessoas acessem e usem um aplicativo simultaneamente; portanto, as conexões não são compartilhadas. As credenciais do usuário são fornecidas na conexão, enquanto outros detalhes necessários para se conectar ao sistema SAP (como detalhes do servidor e configuração de segurança) são fornecidos como parte da ação.
A habilitação do logon único (SSO) facilita a atualização de dados do SAP enquanto adere às permissões de nível de usuário configuradas no SAP. Existem várias maneiras de configurar o SSO para simplificar o gerenciamento de acesso e identidade.
Encontre mais detalhes na documentação do Power Platform.
Conector para SAP OData no Power Platform
O conector para SAP OData permite o consumo de qualquer serviço OData do ecossistema SAP.
Habilitar o SAP Principal Propagation facilita a interação com os dados ao aderir às permissões no nível do usuário configuradas no SAP.
Saiba mais sobre os tipos de autenticação com suporte na documentação do Power Platform.
Diretrizes do SAP Principal Propagation
A Propagação de Entidade de Segurança (Principal Propagation) é um mecanismo bem estabelecido no ecossistema SAP. O Conector para SAP OData dá suporte a esse mecanismo fornecendo um registro de aplicativo primário do Entra ID com ID do cliente 6bee4d13-fd19-43de-b82c-4b6401d174c3 e escopo user_impersonation. Use o campo Microsoft Entra ID Resource URI (Application ID URI) para manter o URI de recurso globalmente exclusivo do registro de aplicativo do Entra ID autorizado a acessar o serviço SAP OData.
O foco da configuração descrita está nas fontes Azure API Management, SAP Gateway, SAP OAuth 2.0 Server com AS ABAP e OData, mas os conceitos usados se aplicam a qualquer recurso baseado na web.
Saiba mais neste artigo da comunidade Power Platform.
Observação
É necessário ter uma configuração de confiança existente entre seu back-end SAP e o Entra ID, usando um registro de aplicativo empresarial. A configuração precisa dar suporte ao fluxo OAuth2SAMLBearer. Veja este artigo do Microsoft Learn e este blog da SAP para detalhes sobre os passos iniciais.
Para a troca de token do Entra ID exigida pelo SAP (fluxo OAuth2SAMLBearer), recomendamos usar uma solução de Gerenciamento de API. Confira este artigo do Microsoft Learn para informações sobre os passos iniciais do Gerenciamento de API do Azure.
Próximas etapas
Entenda o SAP Principal Propagation em detalhes usando Gerenciamento de API | blog
Trabalhar com APIs SAP OData no Gerenciamento de API do Azure | Microsoft Learn
Proteger APIs com o Gateway de Aplicativo e o Gerenciamento de API | Microsoft Learn
Entender o Gateway de Aplicativo do Azure e o Firewall de Aplicativo Web para SAP | blog