Compartilhar via

Integração do Exchange Online para saída de email do SAP NetWeaver

  • Artigo

O envio de emails do back-back do SAP é um recurso padrão amplamente distribuído para casos de uso, como alertas para trabalhos em lotes, alterações de estado de fluxo de trabalho do SAP ou distribuição de faturas. Muitos clientes estabeleceram a configuração usando o Exchange Server local. A mudança para o Microsoft 365 e o Exchange Online trouxe uma série de abordagens nativas de nuvem que afetam essa configuração.

Este artigo descreve a configuração da comunicação por email de saída de sistemas SAP baseados no NetWeaver para Exchange Online. Isso se aplica ao SAP ECC, S/4HANA, SAP RISE gerenciado e qualquer outro sistema baseado em NetWeaver.

Visão geral

As implementações existentes dependiam da autenticação SMTP e da relação de confiança elevada porque o Exchange Server local herdado podia residir próximo ao próprio sistema SAP e era gerenciado pelos próprios clientes. Com o Exchange Online há uma mudança no paradigma de responsabilidades e conectividade. A Microsoft oferece o Exchange Online como uma oferta de software como serviço criada para ser consumida com segurança e com a maior eficiência possível em qualquer lugar do mundo pela Internet pública.

Siga nosso guia padrão para entender a configuração geral de um "dispositivo" que quer enviar email pelo Microsoft 365.

Importante

A autenticação SMTP foi isenta do Processo de descontinuação do recurso Autenticação Base para suporte contínuo. No entanto, isto é um risco de segurança para seu patrimônio. Confira a postagem mais recente da nossa equipe do Exchange Online sobre o assunto.

Considerações sobre a instalação

Dada a exceção de desativação da Autenticação SMTP, há quatro opções diferentes compatíveis com o SAP NetWeaver que queremos descrever. Os três primeiros se correlacionam com os cenários descritos na documentação do Exchange Online.

  1. Envio de cliente de autenticação SMTP
  2. Envio SMTP direto
  3. Usando o conector de retransmissão SMTP do Exchange Online
  4. Usando o servidor de retransmissão SMTP como intermediário para o Exchange Online

Para simplificar, vamos nos referir à ferramenta de administração SAP Connect usada para a configuração do servidor de email apenas pelo código de transação SCOT.

Opção 1: envio de cliente da Autenticação SMTP

Escolha essa opção quando quiser enviar emails para pessoas dentro e fora da organização.

Conecte aplicativos SAP diretamente ao Microsoft 365 usando o ponto de extremidade smtp.office365.com da Autenticação SMTP no SCOT.

Um endereço de email válido será necessário para fazer a autenticação no Microsoft 365. O endereço de email da conta usada para fazer a autenticação no Microsoft 365 será exibido como o remetente das mensagens do aplicativo SAP.

Requisitos para Autenticação SMTP

  • Autenticação SMTP: precisa ser habilitada para a caixa de correio que está sendo usada. A Autenticação SMTP está desabilitada para organizações criadas após janeiro de 2020, mas pode ser habilitada em cada caixa de correio. Para obter mais informações, confira Habilitar ou desabilitar o envio SMTP do cliente autenticado (Autorização SMTP) no Exchange Online.
  • Autenticação: use a Autenticação Básica (que é simplesmente um nome de usuário e uma senha) para enviar email do aplicativo SAP. Se a Autenticação SMTP estiver desabilitada intencionalmente na organização, use a Opção 2, 3 ou 4 abaixo.
  • Caixa de correio: você precisa ter uma caixa de correio do Microsoft 365 licenciada para enviar email.
  • Protocolo TLS: o aplicativo SAP precisa ser capaz de usar o TLS versão 1.2 e superior.
  • Porta: a porta 587 (recomendada) ou a porta 25 é necessária e precisa ser desbloqueada na rede. Alguns firewalls de rede ou provedores de serviços de Internet bloqueiam as portas, principalmente a porta 25, porque essa é a porta que os servidores de email usam para enviar emails.
  • DNS: use o nome DNS smtp.office365.com. Não use um endereço IP do servidor Microsoft 365, pois não há suporte para endereços IP.

Como habilitar a Autenticação SMTP para caixas de correio no Exchange Online

Há duas maneiras de habilitar a Autenticação SMTP no Exchange Online:

  1. Para uma só conta (por caixa de correio) que substitui a configuração de todo o locatário ou
  2. no nível da organização.

Observação

Se a política de autenticação desabilitar a autenticação básica para SMTP, os clientes não poderão usar o protocolo de Autenticação SMTP mesmo se as configurações descritas neste artigo forem habilitadas.

A configuração por caixa de correio para habilitar a Autenticação SMTP está disponível no Centro de administração do Microsoft 365 ou por meio do PowerShell do Exchange Online.

  1. Abra o Centro de administração do Microsoft 365 e acesse Usuários –>Usuários ativos.

    Centro de administração - Usuários ativos

  2. Selecione o usuário, siga o assistente e clique em Email.

  3. Na seção Aplicativos de email, clique em Gerenciar aplicativos de email.

    Centro de administração - Gerenciar e-mail

  4. Verifique a configuração Autenticação SMTP (desmarcada = desabilitada, marcada = habilitada)

    Centro de administração - configuração de SMTP

  5. Salve as alterações.

Isso habilita a Autenticação SMTP para esse usuário individual no Exchange Online de que você precisa para o SCOT.

Configurar a Autenticação SMTP com o SCOT

  1. Execute ping ou telnet de smtp.office365.com na porta 587 do servidor de aplicativos SAP para garantir que as portas estejam abertas e acessíveis.

    Captura de tela do ping

  2. Verifique se o parâmetro ICM (Internet Communication Manager) está definido no perfil de instância. Veja o exemplo abaixo:

    parâmetro value
    icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

  3. Reinicie o serviço ICM da transação SMICM e verifique se o serviço SMTP está ativo.

    Captura de tela da configuração de ICM.

  4. Ative o serviço SAPConnect na transação SICF.

    Configuração do SAP Connect no SICF

  5. Acesse o SCOT e selecione o nó SMTP (clique duas vezes) conforme mostrado abaixo para continuar a configuração:

    Configuração SMTP

    Adicione o host smtp.office365.com com a porta 587. Confira os documentos do Exchange Online como referência.

    Configuração SMTP continuada

    Clique no botão "Configurações" (ao lado do campo Segurança) para adicionar as configurações do TLS e os detalhes da autenticação básica, conforme mencionado no ponto 2, se necessário. Verifique se o parâmetro ICM está definido corretamente.

    Use uma ID de email e uma senha válidas do Microsoft 365. Além disso, ele precisa ser o mesmo usuário que você habilitou para a Autenticação SMTP no início. Essa ID de email aparecerá como o remetente.

    Configuração de segurança SMTP

    Voltando à tela anterior: clique no botão "Definir" e marque "Internet" em "Tipos de endereço com suporte". O uso da opção curinga "*" permitirá que você envie emails para todos os domínios sem restrições.

    Tipo de endereço SMTP

    área de endereço SMTP

    Próxima etapa: definir o domínio padrão no SCOT.

    Domínio padrão SMTP

    Endereço SMTP padrão

  6. Agende o trabalho para enviar email à fila de envio. No SCOT, selecione "Enviar Trabalho":

    Trabalho de agendamento SMTP para enviar

    Forneça um Nome do trabalho e uma variante, se apropriado.

    Variante de trabalho de agendamento SMTP

    Teste o envio de email usando o código de transação SBWP e verifique o status usando a transação SOST.

Limitações do envio do cliente da Autenticação SMTP

  • O SCOT armazena credenciais de logon de um só usuário, portanto, apenas uma caixa de correio do Microsoft 365 pode ser configurada dessa forma. O envio de email por meio de usuários individuais do SAP exige a implementação da "Permissão Enviar como" oferecida pelo Microsoft 365.
  • O Microsoft 365 impõe alguns limites de envio. Confira Limites do Exchange Online – Limites de recebimento e de envio para obter mais informações.

Opção 2: envio SMTP direto

A Microsoft 365 oferece a capacidade de configurar o envio direto do servidor de aplicativos SAP. Essa opção é limitada, pois só permite que o email seja encaminhado a endereços na mesma organização do Microsoft 365 com um endereço de email válido e não pode ser usada para destinatários externos (por exemplo, fornecedores ou clientes).

Opção 3: usando o conector de retransmissão SMTP do Microsoft 365

Escolha esta opção somente quando:

  • A Autorização SMTP estiver desabilitada no ambiente do Microsoft 365.
  • O envio de cliente SMTP (Opção 1) não for compatível com as necessidades de negócios ou com o aplicativo SAP.
  • Não for possível usar o envio direto (Opção 2) porque você precisa enviar email a destinatários externos.

A retransmissão SMTP permite que o Microsoft 365 retransmita emails em seu nome usando um conector configurado com seu endereço IP público ou um certificado TLS. Em comparação com as outras opções, a configuração do conector aumenta a complexidade.

Requisitos da retransmissão SMTP

  • Parâmetro do SAP: o parâmetro da instância do SAP configurado e o serviço SMTP são ativados conforme explicado na opção 1, siga as etapas 2 a 4 da seção "Configurar a Autenticação SMTP com o SCOT".
  • Endereço de email: qualquer endereço de email em um dos domínios verificados do Microsoft 365. Esse endereço de email não precisa de uma caixa de correio. Por exemplo, noreply@*yourdomain*.com.
  • Protocolo TLS: o aplicativo SAP precisa ser capaz de usar o TLS versão 1.2 e superior.
  • Porta: a porta 25 é necessária e precisa ser desbloqueada na rede. Alguns firewalls de rede ou ISPs bloqueiam portas, principalmente a porta 25 devido ao risco de uso indevido para spam.
  • Registro MX: o ponto de extremidade do MX (Mail Exchanger), por exemplo, yourdomain.mail.protection.outlook.com. Veja mais informações na próxima seção.
  • Acesso de retransmissão: um endereço IP público ou um certificado SSL é necessário para fazer a autenticação no conector de retransmissão. Para evitar configuração do acesso direto, é recomendável usar a SNAT (Conversão de Rede de Origem), como está descrito neste artigo. Use a SNAT (Conversão de Endereços de Rede de Origem) para conexões de saída.

Instruções de configuração passo a passo para retransmissão SMTP no Microsoft 365

  1. Obtenha o endereço IP público (estático) do ponto de extremidade que enviará o email usando um dos métodos listados no artigo acima. Não há suporte para endereços IP dinâmicos, que não são permitidos. Você pode compartilhar o endereço IP estático com outros dispositivos e usuários, mas não pode compartilhar o endereço IP com pessoas fora da empresa. Anote esse endereço IP para uso posterior.

    Onde recuperar o ip público no Portal do Azure

Observação

Encontre as informações acima no portal do Azure, na visão geral da máquina virtual do servidor de aplicativos SAP.

  1. Entre no Centro de administração do Microsoft 365.

    Entrar no Microsoft 365 AC

  2. Acesse Configurações –>Domínios, selecione seu domínio (por exemplo, contoso.com) e encontre o registro MX (Mail Exchanger).

    Onde recuperar o registro mx do domínio

    O registro MX (Mail Exchanger) terá dados de Aponta para endereço ou valor semelhante a yourdomain.mail.protection.outlook.com.

  3. Anote os dados de Aponta para endereço ou valor do registro do MX (Mail Exchanger), que chamamos de ponto de extremidade MX.

  4. No Microsoft 365, selecione Administrador e depois Exchange para acessar o novo Centro de administração do Exchange.

    Centro de administração do Microsoft 365

  5. O novo portal do Centro de administração do Exchange será aberto.

    Caixa de correio do Centro de administração do Microsoft 365

  6. No EAC (Centro de administração do Exchange), acesse Fluxo de email –>Conectores. A tela Conectores é ilustrada abaixo. Se você estiver trabalhando com o EAC clássico, siga a etapa 8, como está descrito na documentação.

    Conector do centro de administração do Microsoft 365

  7. Clique em Adicionar um conector

    Adição do conector do centro de administração do Microsoft 365

    Escolha "O servidor de email da organização".

    Servidor de email do Centro de administração do Microsoft 365

  8. Clique em Próximo. A tela Nome do conector é exibida.

    Nome do conector do Centro de administração do Microsoft 365

  9. Forneça um nome para o conector e clique em Avançar. A tela Autenticando email enviado é exibida.

    Escolha Verificando se o endereço IP do servidor de envio corresponde a um desses endereços IP que pertencem exclusivamente à organização e adicione o endereço IP da Etapa 1 da seção Instruções de configuração passo a passo para retransmissão SMTP no Microsoft 365.

    Centro de administração do Microsoft 365 verificar IP

    Examine tudo e clique em Criar conector.

    Revisão do Centro de administração do Microsoft 365

    Microsoft 365 Admin Center revisa as configurações de segurança

  10. Agora que você terminou de definir as configurações do Microsoft 365, acesse o site do registrador de domínio para atualizar os registros DNS. Edite o registro do SPF (Sender Policy Framework). Inclua o endereço IP que você anotou na etapa 1. A cadeia de caracteres concluída deve ser semelhante a esta v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, em que 10.5.3.2 é seu endereço IP público. Se essa etapa for ignorada, os emails poderão ser sinalizados como spam e terminar na pasta Lixo eletrônico do destinatário.

Etapas no servidor de aplicativos SAP

  1. Verifique se o parâmetro do ICM do SAP e o serviço SMTP está ativado, conforme a explicação na Opção 1 (Etapas 2 a 4)
  2. Acesse a transação do SCOT no nó SMTP, como foi mostrado nas etapas anteriores da Opção 1.
  3. Adicione o host de correio como o valor do registro do MX (Mail Exchanger) anotado na Etapa 4 (ou seja, yourdomain.mail.protection.outlook.com).

Configuração SMTP no SCOT

Host de email: yourdomain.mail.protection.outlook.com

Porta: 25

  1. Clique em "Configurações" ao lado do campo Segurança e verifique se o TLS está habilitado, se possível. Além disso, verifique se não há nenhum dado de logon anterior relacionado à Autenticação SMTP. Caso contrário, exclua os registros existentes com o botão correspondente abaixo.

    Configuração de segurança SMTP no SCOT

  2. Teste a configuração usando um email de teste do aplicativo SAP com a transação SBWP e verifique o status na transação SOST.

Opção 4: usar o servidor de retransmissão SMTP como intermediário para o Exchange Online

Um servidor de retransmissão intermediário pode ser uma alternativa a uma conexão direta do servidor de aplicativos SAP com o Microsoft 365. Esse servidor pode ser baseado em qualquer servidor de email que permitirá serviços de autenticação direta e de retransmissão.

A vantagem dessa solução é que ela pode ser implantada no hub de uma rede virtual hub-spoke no ambiente do Azure ou em uma DMZ para proteger os hosts de aplicativos SAP contra acesso direto. Ela também permite o roteamento de saída centralizado para descarregar imediatamente todo o tráfego de email em uma retransmissão central em caso de envios de vários servidores de aplicativos.

As etapas de configuração são as mesmas que as do Conector de Retransmissão SMTP do Microsoft 365 (Opção 3), com a diferença de que a configuração do SCOT deve fazer referência ao host de email que executará a retransmissão e não diretamente ao Microsoft 365. Dependendo do sistema de email que está sendo usado para a retransmissão, ele também será configurado diretamente para se conectar ao Microsoft 365 usando um dos métodos com suporte e um usuário válido com senha. É recomendável enviar um email de teste diretamente da retransmissão para garantir que ele possa se comunicar com o Microsoft 365 antes de concluir a configuração e o teste do SCOT do SAP como de costume.

Arquitetura do servidor de retransmissão

A arquitetura de exemplo mostrada ilustra vários servidores de aplicativos SAP com um só host de retransmissão de email no hub. Dependendo do volume de email a ser enviado, é recomendável seguir um guia de dimensionamento detalhado para que o fornecedor de email seja usado como a retransmissão. Para isso, podem ser necessários vários hosts de retransmissão de email operando com um Azure Load Balancer.

Próximas etapas

Entender o envio de email em massa com o Azure Twilio – SendGrid

Entender as limitações do serviço Exchange Online (por exemplo, tamanho do anexo, limites de mensagem, limitação etc.)