Condividi tramite

Integrazione di Exchange Online per posta elettronica in uscita da SAP NetWeaver

  • Articolo

L'invio di messaggi di posta elettronica dal back-end SAP è una funzionalità standard ampiamente distribuita per casi d'uso, ad esempio avvisi per processi batch, modifiche dello stato del flusso di lavoro SAP o distribuzione della fattura. Molti clienti hanno stabilito la configurazione usando Exchange Server locale. Con un passaggio a Microsoft 365 ed Exchange Online è disponibile un set di approcci nativi del cloud che influisce su tale configurazione.

Questo articolo descrive la configurazione per la comunicazione tramite posta elettronica in uscita da sistemi SAP basati su NetWeaver a Exchange Online. Questo vale per SAP ECC, S/4HANA, SAP RISE gestito e per qualsiasi altro sistema basato su NetWeaver.

Panoramica

Le implementazioni esistenti si basano sull'autenticazione SMTP e sulla relazione di trust con privilegi elevati perché l'ambiente locale di Exchange Server legacy potrebbe vivere vicino al sistema SAP stesso governato dai clienti stessi. Con Exchange Online c'è un cambiamento di responsabilità e paradigma di connettività. Microsoft fornisce Exchange Online come offerta Software-as-a-Service costruita per essere utilizzata in modo sicuro e il più efficace possibile da qualsiasi parte del mondo su Internet pubblico.

Seguire la guida standard per comprendere la configurazione generale di un "dispositivo" che vuole inviare messaggi di posta elettronica tramite Microsoft 365.

Avviso

L'autenticazione SMTP (autenticazione di base per l'invio del client) verrà disabilitata in modo permanente. Trovare le sequenze temporali esatte qui. È consigliabile che i clienti non usino l'autenticazione di base con SMTP AUTH il prima possibile. È consigliabile adottare l'opzione 3.

Considerazioni sull'installazione

Attualmente sono disponibili quattro opzioni diverse supportate da SAP NetWeaver che si vuole descrivere. I primi tre sono correlati agli scenari descritti nella documentazione di Exchange Online.

  1. Invio client di autenticazione SMTP (ritiro a breve!)
  2. Invio diretto SMTP
  3. Uso del connettore di inoltro SMTP di Exchange Online (scelta consigliata)
  4. Utilizzo del server di inoltro SMTP come intermediario per Exchange Online

Per brevità, si fa riferimento allo strumento di amministrazione di SAP Connect usato per la configurazione del server di posta elettronica solo dal codice di transazione SCOT.

Questa guida viene aggiornata quando diventano disponibili altre opzioni supportate da SAP.

Opzione 1: Invio client di autenticazione SMTP (ritiro presto!)

Importante

È consigliabile non usare questa opzione. Autenticazione SMTP in fase di ritiro. Trovare le sequenze temporali esatte qui. È consigliabile adottare l'opzione 3.

Scegliere questa opzione quando si vuole inviare messaggi di posta elettronica a persone all'interno e all'esterno dell'organizzazione.

Connettere le applicazioni SAP direttamente a Microsoft 365 usando l'endpoint di autenticazione SMTP smtp.office365.com in SCOT.

Per eseguire l'autenticazione con Microsoft 365, è necessario un indirizzo di posta elettronica valido. L'indirizzo di posta elettronica dell'account usato per l'autenticazione con Microsoft 365 viene visualizzato come mittente dei messaggi dall'applicazione SAP.

Requisiti per SMTP AUTH

  • SMTP AUTH: deve essere abilitato per la cassetta postale in uso. L'autenticazione SMTP è disabilitata per le organizzazioni create dopo gennaio 2020, ma può essere abilitata per ogni cassetta postale. Per ulteriori informazioni, vedi Abilita o disabilita l'invio SMTP al client autenticato (SMTP AUTH) in Exchange Online.
  • Autenticazione: usare l'autenticazione di base (che è semplicemente un nome utente e una password) per inviare messaggi di posta elettronica dall'applicazione SAP. Se SMTP AUTH è intenzionalmente disabilitato per l'organizzazione, è necessario usare l'opzione 2, 3 o 4.
  • Cassetta postale: è necessario disporre di una cassetta postale di Microsoft 365 con licenza da cui inviare posta elettronica.
  • Transport Layer Security (TLS): l'applicazione SAP deve essere in grado di usare TLS versione 1.2 e successive.
  • Porta: la porta 587 (scelta consigliata) o la porta 25 è obbligatoria e deve essere sbloccata nella rete. Alcuni firewall di rete o provider di servizi Internet bloccano le porte, in particolare la porta 25, perché è la porta usata dai server di posta elettronica per inviare messaggi di posta elettronica.
  • DNS: usare il nome DNS smtp.office365.com. Non usare un indirizzo IP per il server Microsoft 365, perché gli indirizzi IP non sono supportati.

Come abilitare l'autenticazione SMTP per le cassette postali in Exchange Online

Esistono due modi per abilitare l'autenticazione SMTP in Exchange Online:

  1. Per un singolo account (per cassetta postale) che esegue l'override dell'impostazione a livello di tenant o
  2. a livello di organizzazione.

Nota

se i criteri di autenticazione disabilitano l'autenticazione di base per SMTP, i client non possono usare il protocollo SMTP AUTH anche se si abilitano le impostazioni descritte in questo articolo.

L'impostazione per ogni cassetta postale per abilitare l'autenticazione SMTP è disponibile nel Centro Amministrazione Microsoft 365 o tramite PowerShell di Exchange Online.

  1. Aprire il interfaccia di amministrazione di Microsoft 365 e passare a Utenti -Utenti attivi>.

    Interfaccia di amministrazione - Utenti attivi

  2. Selezionare l'utente, seguire la procedura guidata, fare clic su Posta.

  3. Nella sezione App di posta elettronica fare clic su Gestisci app di posta elettronica.

    Interfaccia di amministrazione - Gestire la posta elettronica

  4. Verificare l'impostazione SMTP autenticata (deselezionata = disabilitata, selezionata = abilitata)

    Interfaccia di amministrazione - Impostazione SMTP

  5. Salvare le modifiche.

In questo modo viene abilitata l'autenticazione SMTP per il singolo utente in Exchange Online necessario per SCOT.

Configurare l'autenticazione SMTP con SCOT

  1. Effettuare il ping o telnet smtp.office365.com sulla porta 587 dal server applicazioni SAP per assicurarsi che le porte siano aperte e accessibili.

    Screenshot del ping

  2. Assicurarsi che il parametro SAP Internet Communication Manager (ICM) sia impostato nel profilo dell'istanza. Vedere questo esempio:

    parameter value
    icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

  3. Riavviare il servizio ICM dalla transazione SMICM e assicurarsi che il servizio SMTP sia attivo.

    Screenshot dell'impostazione ICM.

  4. Attivare il servizio SAPConnect nella transazione SICF.

    Impostazione di SAP Connect in SICF

  5. Passare a SCOT e selezionare Nodo SMTP (doppio clic) come illustrato di seguito per procedere con la configurazione:

    Configurazione SMTP

    Aggiungere smtp.office365.com host di posta elettronica con la porta 587. Per informazioni di riferimento, vedere la documentazione di Exchange Online.

    Configurazione SMTP continua

    Fare clic sul pulsante "Impostazioni" (accanto al campo Sicurezza) per aggiungere le impostazioni TLS e i dettagli di autenticazione di base, come indicato nel punto 2, se necessario. Assicurarsi che il parametro ICM sia impostato di conseguenza.

    Assicurarsi di usare un ID e una password di posta elettronica di Microsoft 365 validi. Oltre a essere lo stesso utente abilitato per l'autenticazione SMTP all'inizio. Questo ID di posta elettronica viene visualizzato come mittente.

    Configurazione di sicurezza SMTP

    Tornare alla schermata precedente: fare clic sul pulsante "Imposta" e selezionare "Internet" in "Tipi di indirizzi supportati". L'uso dell'opzione "*" con caratteri jolly consente di inviare messaggi di posta elettronica a tutti i domini senza restrizioni.

    Tipo di indirizzo SMTP

    Area degli indirizzi SMTP

    Passaggio successivo: impostare il dominio predefinito in SCOT.

    Dominio predefinito SMTP

    Indirizzo predefinito SMTP

  6. Pianifica processo per inviare un messaggio di posta elettronica alla coda di invio. Da SCOT selezionare "Invia processo":

    Processo di pianificazione SMTP da inviare

    Specificare un nome e una variante del processo, se appropriato.

    Variante del processo di pianificazione SMTP

    Testare l'invio tramite posta elettronica usando il codice della transazione SBWP e controllare lo stato usando la transazione SOST.

Limitazioni dell'invio del client SMTP AUTH

  • SCOT archivia le credenziali di accesso per un solo utente, quindi è possibile configurare in questo modo una sola cassetta postale di Microsoft 365. L'invio di posta elettronica tramite singoli utenti SAP richiede l'implementazione dell'autorizzazione "Invia come" offerta da Microsoft 365.
  • Microsoft 365 impone alcuni limiti di invio. Per altre informazioni, vedere Limiti di Exchange Online - Ricezione e invio .

Opzione 2: Invio diretto SMTP

Microsoft 365 offre la possibilità di configurare l'invio diretto dal server applicazioni SAP. Questa opzione è limitata. Consente solo la posta elettronica agli indirizzi dell'organizzazione di Microsoft 365 con un indirizzo di posta elettronica valido. Non può essere usato per destinatari esterni (ad esempio fornitori o clienti).

Scegliere questa opzione solo quando:

  • L'ambiente Microsoft 365 ha l'autenticazione SMTP disabilitata.
  • L'invio del client SMTP (opzione 1) non è compatibile con le esigenze aziendali o con l'applicazione SAP.
  • Non è possibile usare l'invio diretto (opzione 2) perché è necessario inviare messaggi di posta elettronica a destinatari esterni.

L'inoltro SMTP consente a Microsoft 365 di inoltrare i messaggi di posta elettronica per conto dell'utente usando un connettore configurato con l'indirizzo IP pubblico o un certificato TLS. Rispetto alle altre opzioni, la configurazione del connettore aumenta la complessità.

Requisiti per l'inoltro SMTP

  • Parametro SAP: il parametro dell'istanza SAP configurato e il servizio SMTP vengono attivati come illustrato nell'opzione 1, seguire i passaggi da 2 a 4 dalla sezione "Configurare l'autenticazione SMTP con SCOT".
  • Indirizzo di posta elettronica: qualsiasi indirizzo di posta elettronica in uno dei domini verificati di Microsoft 365. Questo indirizzo di posta elettronica non richiede una cassetta postale. Ad esempio: noreply@*yourdomain*.com.
  • Transport Layer Security (TLS): l'applicazione SAP deve essere in grado di usare TLS versione 1.2 e successive.
  • Porta: la porta 25 è obbligatoria e deve essere sbloccata nella rete. Alcuni firewall di rete o isp bloccano le porte, in particolare la porta 25 a causa del rischio di uso improprio per lo spamming.
  • Record MX: l'endpoint di Mail Exchanger (MX), ad esempio yourdomain.mail.protection.outlook.com. Per altre informazioni, vedere la sezione successiva.
  • Accesso di inoltro: è necessario un indirizzo IP pubblico o un certificato SSL per l'autenticazione nel connettore di inoltro. Per evitare di configurare l'accesso diretto, è consigliabile usare SNAT (Source Network Translation) come descritto in questo articolo. Usare SNAT (Source Network Address Translation) per le connessioni in uscita.

Istruzioni dettagliate sulla configurazione per l'inoltro SMTP in Microsoft 365

  1. Ottenere l'indirizzo IP pubblico (statico) dell'endpoint che invia il messaggio di posta utilizzando uno dei metodi elencati nell'articolo precedente. Un indirizzo IP dinamico non è supportato o consentito. È possibile condividere l'indirizzo IP statico con altri dispositivi e utenti, ma non condividere l'indirizzo IP con altri utenti esterni all'azienda. Prendere nota di questo indirizzo IP per un secondo momento.

    Dove recuperare l'ip pubblico nel portale di Azure

Nota

Trovare le informazioni riportate sopra nella portale di Azure usando la panoramica della macchina virtuale del server applicazioni SAP.

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.

    Accesso di Microsoft 365 AC

  2. Passare a Impostazioni ->Domini, selezionare il dominio (ad esempio, contoso.com) e trovare il record Mail Exchanger (MX).

    Dove recuperare il record mx del dominio

    Il record Mail Exchanger (MX) avrà dati per l'indirizzo o il valore points to address (Points to address) che ha un aspetto simile a yourdomain.mail.protection.outlook.com.

  3. Prendere nota dei dati di Points to address o value per il record MX (Mail Exchanger), che viene indicato come endpoint MX.

  4. In Microsoft 365 selezionare Amministratore e quindi Exchange per passare alla nuova interfaccia di amministrazione di Exchange.

    Interfaccia di amministrazione di Microsoft 365

  5. Verrà aperto il nuovo portale di Exchange Admin Center (EAC).

    cassetta postale di Amministrazione Microsoft 365 Center

  6. Nell'interfaccia di amministrazione di Exchange passare a Flusso di posta ->Connettori. La schermata Connettori è illustrata di seguito. Se si lavora con l'interfaccia di amministrazione di Exchange classica, seguire il passaggio 8 come descritto nella documentazione.

    connettore Amministrazione Microsoft 365 Center

  7. Fare clic su Aggiungi un connettore

    Aggiunta del connettore Amministrazione Microsoft 365 Center

    Scegliere "Server di posta elettronica dell'organizzazione".

    server di posta Amministrazione Microsoft 365 Center

  8. Fare clic su Avanti. Viene visualizzata la schermata Nome connettore.

    nome del connettore Amministrazione Microsoft 365 Center

  9. Specificare un nome per il connettore e fare clic su Avanti. Viene visualizzata la schermata Autenticazione del messaggio di posta elettronica inviato.

    Scegliere Verificando che l'indirizzo IP del server di invio corrisponda a uno di questi indirizzi IP che appartengono esclusivamente all'organizzazione e aggiungere l'indirizzo IP del passaggio 1 delle istruzioni di configurazione dettagliate per l'inoltro SMTP in Microsoft 365 sezione.

    Amministrazione Microsoft 365 Center verificare l'INDIRIZZO IP

    Rivedere e fare clic su Crea connettore.

    revisione di Amministrazione Microsoft 365 Center

    Amministrazione Microsoft 365 Center esaminare le impostazioni di sicurezza

  10. Dopo aver completato la configurazione delle impostazioni di Microsoft 365, passare al sito Web del registrar del dominio per aggiornare i record DNS. Modificare il record SPF (Sender Policy Framework). Includere l'indirizzo IP annotato nel passaggio 1. La stringa completata dovrebbe essere simile a questa v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, dove 10.5.3.2 è l'indirizzo IP pubblico. Ignorando questo passaggio, è possibile che i messaggi di posta elettronica vengano contrassegnati come posta indesiderata e vengano visualizzati nella cartella Posta indesiderata del destinatario.

Passaggi nel server applicazioni SAP

  1. Assicurarsi che il parametro e il servizio SMTP di SAP ICM siano attivati come illustrato nell'opzione 1 (passaggi da 2 a 4)
  2. Passare alla transazione SCOT nel nodo SMTP, come illustrato nei passaggi precedenti dell'opzione 1.
  3. Aggiungere il valore del record Mail Host come Mail Exchanger (MX) annotato nel passaggio 4 (yourdomain.mail.protection.outlook.com).

Configurazione SMTP in SCOT

Host di posta: yourdomain.mail.protection.outlook.com

Porta: 25

  1. Fare clic su "Impostazioni" accanto al campo Sicurezza e assicurarsi che TLS sia abilitato, se possibile. Assicurarsi inoltre che non siano presenti dati di accesso precedenti relativi all'autenticazione SMTP. In caso contrario, eliminare i record esistenti con il pulsante corrispondente sotto.

    Configurazione di sicurezza SMTP in SCOT

  2. Testare la configurazione usando un messaggio di posta elettronica di test dall'applicazione SAP con la transazione SBWP e controllare lo stato nella transazione SOST.

Opzione 4: Utilizzo del server di inoltro SMTP come intermediario per Exchange Online

Un server di inoltro intermedio può essere un'alternativa a una connessione diretta dal server applicazioni SAP a Microsoft 365. Questo server può essere basato su qualsiasi server di posta elettronica che consentirà l'autenticazione diretta e i servizi di inoltro.

Il vantaggio di questa soluzione è che può essere distribuito nell'hub di una rete virtuale hub-spoke all'interno dell'ambiente Azure. In alternativa, all'interno di una rete perimetrale per proteggere gli host dell'applicazione SAP dall'accesso diretto. Consente inoltre il routing in uscita centralizzato per l'offload immediato di tutto il traffico di posta verso un inoltro centrale quando si inviano da più server applicazioni.

I passaggi di configurazione sono gli stessi del connettore di inoltro SMTP di Microsoft 365 (opzione 3). Le uniche differenze consiste nel fatto che la configurazione SCOT deve fare riferimento all'host di posta elettronica che eseguirà l'inoltro anziché direttamente a Microsoft 365. A seconda del sistema di posta elettronica usato per l'inoltro, verrà configurato direttamente per connettersi a Microsoft 365 usando uno dei metodi supportati e un utente valido con password. È consigliabile inviare un messaggio di prova direttamente dall'inoltro per assicurarsi che possa comunicare correttamente con Microsoft 365 prima di completare la configurazione e il test di SAP SCOT come di consueto.

Architettura del server di inoltro

L'architettura di esempio illustrata illustra più server applicazioni SAP con un singolo host di inoltro della posta nell'hub. A seconda del volume di posta da inviare, è consigliabile seguire una guida dettagliata al dimensionamento per il fornitore di posta da utilizzare come inoltro. Ciò potrebbe richiedere più host di inoltro della posta elettronica che operano con un'istanza di Azure Load Balancer.

Passaggi successivi

Informazioni sulla distribuzione di massa con Azure Twilio - SendGrid

Informazioni sulle limitazioni del servizio Exchange Online (ad esempio dimensioni degli allegati, limiti dei messaggi, limitazione e così via)

Verificare la configurazione di ABAP SDK per Azure per le integrazioni di Exchange Online