Compartir a través de

Configuración de comunicaciones seguras para una nueva aplicación web (Duet Enterprise)

  • Artículo

 

Se aplica a: Duet Enterprise for Microsoft SharePoint and SAP

Última modificación del tema: 2016-11-29

Durante la implementación, los administradores deben configurar comunicaciones seguras entre los siguientes componentes: una aplicación web del conjunto o granja de servidores de Microsoft SharePoint Server 2010, un servidor que ejecuta SAP NetWeaver y el Complemento de SAP para Duet Enterprise.

Puede optar por establecer una conexión de Servicios de conectividad empresarial de Microsoft segura entre otra aplicación web y el mismo servidor de SAP NetWeaver para el cual ya se ha configurado el almacén seguro en la granja de SharePoint Server. Además, puede optar por establecer comunicaciones seguras entre otra aplicación web y otro servidor que ejecute SAP NetWeaver.

En este artículo se describen los procedimientos paso a paso para configurar comunicaciones seguras entre una aplicación web de una granja de SharePoint Server y un servidor que ejecuta SAP NetWeaver en el que se han configurado comunicaciones seguras.

Para configurar comunicaciones seguras entre una aplicación web y un servidor que ejecuta SAP NetWeaver, realice los procedimientos siguientes en el orden indicado:

  • Creación u obtención de un certificado SSL

  • Extensión de la aplicación web para que use SSL

  • Creación del enlace SSL para la aplicación web extendida

  • Exportación del certificado SSL

  • Uso compartido del certificado SSL con el administrador de SAP

  • Para confiar en el certificado SSL del entorno de SAP

Creación u obtención de un certificado SSL

Para proteger una aplicación web mediante la Capa de sockets seguros (SSL), es necesario disponer de un certificado SSL. En un entorno de producción, se recomienda obtener un certificado firmado de una entidad de certificación (CA) de terceros o de una CA de su dominio de intranet. Sin embargo, para un entorno de prueba, se puede crear un certificado autofirmado con este propósito. Para obtener más información acerca de cómo decidir qué tipo de certificado usar y cómo crear un certificado autofirmado, vea el tema sobre cómo configurar SSL en IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0xC0A).

Preparación de la aplicación web

La autenticación basada en notificaciones de Windows se requiere para todas las aplicaciones web en las que se configurarán soluciones de Duet Enterprise. No se admite la autenticación basada en formularios, ya que no se pueden redirigir los informes a sitios que usan esta autenticación. Normalmente, querrá que los usuarios finales puedan usar el protocolo HTTP para acceder al contenido de los sitios de SharePoint.

Debido a que las transacciones de flujo de trabajo entre la aplicación web y el sistema SAP requieren autenticación básica, que envía toda la información en texto no cifrado, se recomienda extender la aplicación web para crear una nueva zona y configurarla para SSL y autenticación básica.

En realidad, existen varias opciones para preparar la aplicación web. Por ejemplo, puede resultar conveniente implementar los sitios de Duet Enterprise en una aplicación web existente o crear una nueva.

Siga uno de los procedimientos siguientes:

  • Si desea habilitar la funcionalidad de Duet Enterprise en alguna aplicación web existente, debe asegurarse de que esta esté configurada para la autenticación basada en notificaciones de Windows. Para comprobar si la aplicación web existente admite Duet Enterprise, vaya a Comprobación de si una aplicación web está configurada para la autenticación basada en notificaciones de Windows.

  • Si la aplicación web en la que desea habilitar la funcionalidad de Duet Enterprise aún no existe, vea Creación de una aplicación web para los sitios de Duet Enterprise.

Comprobación de si una aplicación web está configurada para la autenticación basada en notificaciones de Windows

Si dispone de una aplicación web que desea usar para los sitios de Duet Enterprise, debe asegurarse de que está configurada para la autenticación basada en notificaciones de Windows. Si desea crear una nueva aplicación web para los sitios de Duet Enterprise, vaya a Creación de una aplicación web para los sitios de Duet Enterprise.

Si la aplicación web que desea usar para los sitios de Duet Enterprise no está configurada para la autenticación basada en notificaciones de Windows, es posible que pueda convertirla a dicha autenticación. Como alternativa, puede crear una nueva aplicación web para los sitios de Duet Enterprise. Para obtener información acerca de cómo convertir una aplicación web a la autenticación basada en notificaciones de Windows, vea los temas sobre la migración desde autenticación basada en formularios a autenticación basada en notificaciones (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0xC0A) y migración desde autenticación de modo clásico a autenticación basada en notificaciones (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0xC0A).

Nota

Debe pertenecer al grupo de administradores de la granja de servidores de SharePoint para completar este procedimiento.

Para determinar si una aplicación web está configurada para la autenticación de notificaciones de Windows

  1. Confirme que dispone de las siguientes credenciales administrativas:

    • Debe pertenecer al grupo Administradores del conjunto de servidores de SharePoint y al grupo Administradores de Windows en el servidor que ejecuta Administración central.

  2. En el sitio web de Administración central, en Inicio rápido, haga clic en Administración de aplicaciones.

  3. En la sección Aplicaciones web, haga clic en Administrar aplicaciones web.

  4. En la columna Nombre, haga clic en la aplicación web cuyo proveedor de autenticación va a comprobar.

  5. En el grupo Seguridad de la cinta de opciones, haga clic en Proveedores de autenticación.

  6. En el cuadro de diálogo Proveedores de autenticación, en Nombre del proveedor de pertenencia, compruebe que la zona para la que va a implementar los sitios de Duet Enterprise indique "Autenticación basada en notificaciones". Si no lo indica, no está configurada para la autenticación basada en notificaciones y debe convertir la aplicación web a dicha autenticación o crear una nueva aplicación web para los sitios de Duet Enterprise.

Creación de una aplicación web para los sitios de Duet Enterprise

La aplicación web para los sitios de Duet Enterprise debe configurarse para usar la autenticación basada en notificaciones de Windows. Si no tiene una aplicación web en la que desea habilitar los sitios de Duet Enterprise, realice este procedimiento para crear una. De lo contrario, continúe con Extensión de la aplicación web para que use SSL.

Nota

Debe pertenecer al grupo de administradores de la granja de servidores de SharePoint para completar este procedimiento.

Para crear una aplicación web que use autenticación basada en notificaciones de Windows

  1. Confirme que dispone de las siguientes credenciales administrativas:

    • Para crear una aplicación web, debe pertenecer al grupo de administradores de la granja de servidores de SharePoint y al grupo de administradores de Windows en el servidor que ejecuta Administración central.

  2. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.

  3. En el grupo Contribuir de la cinta de opciones, haga clic en Nueva.

  4. En la página Crear nueva aplicación web, en la sección Autenticación, haga clic en Autenticación basada en notificaciones.

  5. En la sección Sitio web de IIS, en el cuadro Puerto, escriba el número de puerto que desea usar para tener acceso a la aplicación web.

    De forma predeterminada, este campo se rellena con un número de puerto aleatorio.

    Nota

    El número de puerto estándar para el acceso HTTP es 80. Si desea que los usuarios tengan acceso a la aplicación web sin necesidad de escribir un número de puerto, use el número de puerto estándar.

  6. Opcional: en el cuadro Encabezado de host de la sección Sitio web de IIS, escriba el nombre de host (por ejemplo, www.contoso.com) que desea usar para tener acceso a la aplicación web.

    Nota

    En general, este valor no se configura a menos que se desee configurar dos o más sitios web de IIS que compartan el mismo número de puerto en el mismo servidor y el DNS esté configurado para enrutar las solicitudes al mismo servidor.

  7. En el cuadro Ruta de acceso de la sección Sitio web de IIS, escriba opcionalmente la ruta de acceso al directorio raíz del sitio web de IIS en el servidor.

    Este cuadro se rellena con una ruta de acceso sugerida.

  8. En la sección Tipos de autenticación de notificaciones, asegúrese de que está activada la casilla de verificación Habilitar autenticación de Windows. En el menú desplegable, seleccione Negociar (Kerberos) o NTLM. Para obtener más información, vea Planeación de la autenticación Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0xC0A).

  9. En la sección Dirección URL pública, cambie la dirección URL por el nombre de dominio completo. Por ejemplo, https://corp.contoso.com:80.

    Nota

    Cuando se trata de una aplicación web nueva, el valor de Zona se establece automáticamente como Predeterminada.

  10. En la sección Grupo de aplicaciones, asegúrese de que la opción Crear nuevo grupo de aplicaciones esté seleccionada. A continuación, escriba el nombre que desee usar para el nuevo grupo de aplicaciones o conserve el nombre predeterminado.

  11. En Seleccione una cuenta de seguridad para este grupo de aplicaciones, asegúrese de que esté seleccionada la opción Configurable y elija la cuenta administrada que desea usar para este grupo de aplicaciones.

  12. En la sección Nombre y autenticación de base de datos, seleccione el servidor de bases de datos y el nombre de la base de datos para la nueva aplicación web, como se describe en la tabla siguiente, o acepte los valores predeterminados.

    Elemento Acción

    Servidor de bases de datos

    Escriba el nombre del servidor de bases de datos y la instancia de Microsoft SQL Server que desea usar en el formato NOMBREDESERVIDOR\instancia. También puede usar la entrada predeterminada.

    Nombre de la base de datos

    Escriba el nombre de la base de datos o use la entrada predeterminada.

  13. En la sección Nombre y autenticación de base de datos, asegúrese de que esté seleccionada la opción Autenticación de Windows (recomendada).

  14. Si usa la creación de reflejo de la base de datos, en el cuadro Servidor de bases de datos de conmutación por error de la sección Servidor de conmutación por error, escriba el nombre de una base de datos de conmutación por error específica que desee asociar con una base de datos de contenido.

  15. En la sección Conexiones de la aplicación de servicio, seleccione las conexiones de la aplicación de servicio que estarán disponibles para la aplicación web. En el menú desplegable, haga clic en predeterminado o personalizado. Se usa la opción personalizado para elegir las conexiones de la aplicación de servicio que desea usar para la aplicación web.

    Sugerencia

    Duet Enterprise requiere que las aplicaciones de servicio siguientes estén asociadas con esta aplicación web: Servicio de conectividad a datos empresariales, Servicio de almacenamiento seguro y Aplicación de servicio de perfiles de usuario.

  16. En la sección Programa para la mejora de la experiencia del usuario, haga clic en si desea participar del Programa para la mejora de la experiencia del usuario; de lo contrario, haga clic en No.

  17. Haga clic en Aceptar para crear la aplicación web nueva.

  18. Haga clic en Aceptar en el cuadro de diálogo que aparece. La aplicación web que creó aparece en la página Administración de aplicaciones web en Administración central. No cierre esta página porque la necesitará para el procedimiento siguiente.

Extensión de la aplicación web para que use SSL

Este procedimiento sirve para extender la aplicación web con el fin de crear una zona que se usará para todas las transacciones entre la aplicación web y el sistema SAP.

Para extender la aplicación web

  1. Confirme que dispone de las siguientes credenciales administrativas:

    • Para crear una aplicación web, debe pertenecer al grupo de administradores de la granja de servidores de SharePoint y al grupo de administradores de Windows en el servidor que ejecuta Administración central.

  2. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.

  3. En la página Administración de aplicaciones web, seleccione la aplicación web que creó en el procedimiento anterior.

  4. En el grupo Contribuir de la cinta de opciones, haga clic en Extender.

  5. En la sección Sitio web de IIS de la página Extender una aplicación web a otro sitio web de IIS, asegúrese de que Crear un nuevo sitio web de IIS esté seleccionado y, a continuación, si lo desea, escriba el nombre del sitio web en el cuadro Nombre.

  6. En la sección Sitio web de IIS, en el cuadro Puerto, escriba el número de puerto que desea usar para tener acceso a la aplicación web. De manera predeterminada, este campo se rellena con un número de puerto aleatorio.

  7. Opcional: en el cuadro Encabezado de host de la sección Sitio web de IIS, escriba el nombre de host (por ejemplo, www.contoso.com) que desea usar para tener acceso a la aplicación web.

    Nota

    En general, este campo no se configura a menos que desee configurar varios sitios web de IIS que compartan el mismo número de puerto en el mismo servidor y el DNS se haya configurado para redirigir las solicitudes al mismo servidor.

  8. Opcional: en la sección Sitio web de IIS, en el cuadro Ruta de acceso, escriba la ruta de acceso del directorio raíz del sitio web de IIS en el servidor. De manera predeterminada, este campo se rellena con la ruta de acceso sugerida.

  9. En la sección Configuración de seguridad, en Usar Capa de sockets seguros (SSL), haga clic en .

  10. En la sección Tipos de autenticación de notificaciones, asegúrese de que Habilitar autenticación de Windows esté seleccionado y, en el menú desplegable, seleccione Negociar (Kerberos) o NTLM. Para obtener más información, vea Planeación de la autenticación Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0xC0A).

  11. Active la casilla de verificación Autenticación básica (las credenciales se envían en texto no cifrado).

  12. En la sección Dirección URL pública, cambie la dirección URL por el nombre de dominio completo. Por ejemplo, https://corp.contoso.com:443.

  13. En la lista Zona, seleccione la zona que desea usar para este puerto. Puede elegir cualquier zona disponible. Sin embargo, se recomienda elegir la zona Personalizada, ya que este es el nombre que mejor describe el propósito de esta zona.

  14. Haga clic en Aceptar para extender la aplicación web.

    Para obtener más información acerca de cómo configurar SSL, vea el tema sobre cómo configurar SSL en IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0xC0A).

Creación de una asignación alternativa de acceso para la aplicación web habilitada para SSL

La aplicación web creada en el procedimiento anterior debe estar disponible a través de la dirección URL especificada en el certificado SSL que se enlazará a esa aplicación web (en un procedimiento posterior). Si no es la misma dirección URL, por ejemplo si la aplicación web se creó mediante el nombre de dominio completo (FQDN), pero el certificado usa la dirección URL abreviada, debe crear una asignación alternativa de acceso para especificar la dirección URL que aparece en el certificado.

Nota

Un ejemplo de un FQDN es http://contoso.corp.com. En este ejemplo, la dirección URL abreviada sería http://contoso.

Si la dirección URL que aparece en el certificado SSL y la dirección URL usada para crear la aplicación web son iguales, no es necesario realizar este procedimiento.

Para crear una asignación alternativa de acceso

  1. En Administración central, en Inicio rápido, haga clic en Configuración del sistema.

  2. En la sección Administración del conjunto de servidores, haga clic en Configurar asignaciones de acceso alternativas.

  3. Haga clic en Agregar direcciones URL internas.

  4. En la sección Colección de asignaciones de acceso alternativas, seleccione la aplicación web que usará para los sitios de Duet Enterprise.

  5. En la sección Agregar dirección URL interna, realice lo siguiente:

    1. En el cuadro Protocolo, host y puerto de dirección URL, escriba la dirección URL que aparece en el certificado SSL.

    2. En la lista Zona, seleccione la zona que desea usar para esta dirección URL.

      Nota

      Este es el nombre de la zona que ha seleccionado al extender la aplicación web en el procedimiento anterior.

  6. Haga clic en Guardar.

    La asignación alternativa de acceso creada aparece en la página Asignaciones de acceso alternativas.

Creación del enlace SSL para la zona habilitada para SSL

Complete este procedimiento para enlazar un certificado SSL con la zona habilitada para SSL de la aplicación web.

Nota

Debe pertenecer al grupo Administradores en el equipo que ejecuta SharePoint Server 2010 para completar este procedimiento.

Para crear el enlace SSL para la aplicación web extendida

  1. Inicie sesión en un servidor front-end web como miembro del grupo Administradores de Windows.

  2. Haga clic en Inicio, elija Programas, elija Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  3. En el panel Conexiones, expanda Sitios y, a continuación, seleccione el sitio asociado a la aplicación web habilitada para SSL creada en un procedimiento anterior.

    Sugerencia

    Este sitio se puede identificar por el nombre y número de puerto que asignó al sitio al extender la aplicación web.

  4. En el panel Acciones, en Modificar sitio, haga clic en Enlaces.

  5. En el cuadro de diálogo Enlaces de sitios, haga clic en Agregar.

  6. En el cuadro de diálogo Agregar enlace de sitio, seleccione HTTPS en la lista desplegable Tipo.

  7. En la lista de certificados SSL, seleccione el certificado SSL que creó u obtuvo en Creación u obtención de un certificado SSL y, a continuación, haga clic en Aceptar.

  8. Haga clic en Cerrar para cerrar el cuadro de diálogo Enlaces de sitios.

  9. Repita los pasos del 1 al 8 para cada servidor front-end web adicional en la rotación de equilibrio de carga de la granja de servidores de SharePoint Server 2010.

Exportación del certificado SSL

Si obtuvo el certificado SSL de una CA, no es necesario realizar este procedimiento porque ya tiene el certificado en el sistema de archivos. Sin embargo, si usó IIS en un servidor front-end web de SharePoint para crear un certificado autofirmado para pruebas, debe exportar el certificado para poder compartir una copia de dicho certificado con el administrador de SAP.

Nota

Debe pertenecer al grupo administradores de Windows en el servidor front-end web de SharePoint para realizar este procedimiento.

Para exportar el certificado SSL

  1. Inicie sesión en un servidor front-end web de SharePoint con el que haya enlazado el certificado.

  2. Si todavía no está abierto, haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  3. En la vista de árbol, seleccione el nodo de servidor.

  4. En el panel central, en IIS, haga doble clic en Certificados de servidor.

  5. En el panel central, haga doble clic en el certificado que enlaza a la aplicación web extendida.

  6. En el cuadro de diálogo Certificado, en la ficha Detalles, haga clic en Copiar en archivo.

  7. En la página Éste es el Asistente para exportación de certificados, haga clic en Siguiente.

  8. En la página Exportar la clave privada, asegúrese de que No exportar la clave privada esté seleccionado y, a continuación, haga clic en Siguiente.

  9. En la página Formato de archivo de exportación, haga clic en Siguiente.

  10. En la página Archivo que se va a exportar, en el cuadro Nombre de archivo, escriba la ruta de acceso y el nombre de archivo donde desea exportar el certificado y, a continuación, haga clic en Siguiente.

    Sugerencia

    No es necesario escribir una extensión de nombre de archivo.

  11. Haga clic en Finalizar.

  12. Haga clic en Aceptar para cerrar el cuadro de diálogo La exportación se completó correctamente.

  13. Haga clic en Aceptar para cerrar el cuadro de diálogo Certificado.

Uso compartido del certificado SSL con el administrador de SAP

Debe proporcionar una copia del certificado SSL al administrador de SAP. Este lo usará para establecer la comunicación desde el servidor SAP NetWeaver del sistema SAP hasta la aplicación web.

Establecimiento de una relación de confianza con el certificado SSL del entorno de SAP

Para que la aplicación web habilitada para SSL acepte información del entorno de SAP, debe establecer una relación de confianza con el certificado SSL proporcionado por el administrador de SAP.

Nota

Debe pertenecer al grupo de administradores de la granja de servidores de SharePoint para realizar este procedimiento.

Para confiar en el certificado SSL del entorno de SAP

  1. En Administración central, en Inicio rápido, haga clic en Seguridad.

  2. En la sección Seguridad general, haga clic en Administra la confianza.

  3. En el grupo Administrar de la cinta de opciones, haga clic en Nueva.

  4. En el cuadro de diálogo Establecer relación de confianza, en el cuadro Nombre, escriba el nombre que desea usar para esta relación de confianza.

  5. Junto al cuadro Certificado de entidad raíz, haga clic en Examinar.

  6. En el cuadro de diálogo Elegir archivos para cargar, en el cuadro Nombre de archivo, escriba la ruta de acceso y el nombre de archivo del certificado para el que desea establecer una relación de confianza. A continuación, haga clic en Abrir.

  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Establecer relación de confianza.

    El nombre que escribió en el paso 4 aparecerá en la columna Nombre de la página Relaciones de confianza.