Configuración de nuevos accesos a SAP Support Backbone

  • SAPMiN
  • No hay comentarios

Configuración de nuevos accesos a SAP Support Backbone

Configuración de nuevos accesos a SAP Support Backbone 1280 553 SAPMiN

Debido a la reciente actualización de la infraestructura con la que SAP presta soporte a sus clientes, denominada Support Backbone, ha cambiado la operativa y tecnología de conexión de los sistemas con SAP. Los cambios más significativos son:

  • Las comunicaciones pasan de ser de tipo RFC ABAP a RFC https cifradas
  • Los usuarios de conexión dejan de ser genéricos a ser technical users nominales ligados a la instalación de cada cliente
  • Se hace uso de notas y ficheros firmados digitalmente

Por ello, y antes del 1 de Enero de 2020 es necesario actualizar la forma en la que nuestros sistemas SAP se conectan con este soporte. En este artículo describiremos los principales pasos para llevar a cabo la configuración necesaria.

¿A qué sistemas afecta el cambio?

Es necesario asegurar las comunicaciones con la nueva plataforma de soporte para los siguientes entornos:

  • Solution Manager
  • Sistemas con acceso para descarga de notas (normalmente entornos de desarrollo)
  • Instancias que envía datos de Early Watch Alert a SAP (habitualmente productivos)

En general, y por consistencia, recomendamos que la nueva configuración se replique en todas las instancias SAP, dado que será necesario actualizar parches e importar correcciones de notas.

Pasos para configurar los nuevos accesos:

1. Pedir un nuevo technical user

Es necesario contar con al menos un technical user para conectar vía https con los sistemas de soporte del backbone. Este tipo de usuario es de tipo no interactivo, y cuenta con los permisos necesarios para gestionar el intercambio de información con el soporte de SAP.
Podemos crear o gestionar este tipo de usuarios en el siguiente enlace.

2.Actualización de add-ons ST-PI y ST-A/PI

Para evitar cualquier tipo de problema es imprescindible actualizar los add-ons ST-PI y ST-A/PI a la última release y nivel de parche liberados. A día de hoy los más recientes son estos:

Actualización de add-ons ST-PI y ST-A/PI 1/2

Actualización de add-ons ST-PI y ST-A/PI 2/2

3.Habilitar conexiones de red

Es necesario habilitar las siguientes conexiones de red para garantizar el acceso desde los sistemas SAP al backbone de SAP:

  • apps.support.sap.com, puerto 443
  • documents.support.sap.com, puerto 443
  • notesdownloads.sap.com, puerto 443
  • softwaredownloads.sap.com, puerto 443
4.Configurar parámetro ssl/client_ciphersuites

En cada sistema configuraremos el parámetro ssl/client_ciphersuites con los siguientes valores recomendados en la transacción rz10 y reiniciaremos la instancia para que los cambios sean efectivos:

  • 918:PFS:HIGH::EC_P256:EC_HIGH para sistemas Solution Manager
  • 150:PFS:HIGH::EC_P256:EC_HIGH para sistemas no Solution Manager
5.Import de certificados de seguridad

En cada uno de los sistemas deberemos importar los siguientes certificados de seguridad, que pueden descargarse de la nota 2631190:

  • VeriSign Class 3 Public Primary Certification Authority – G5
  • DigiCert Global Root CA
  • DigiCert Global Root G2
  • DigiCert High Assurance EV Root CA

Nos dirigimos a la transacción STRUST, e importaremos estos cuatro certificados tanto en el contenedor Cliente SSL anónimo como en el Cliente SSL anónimo.

6.Configuración de conexiones

A continuación procederemos a configurar las nuevas conexiones. Lo primero de todo será revisar si es aplicable, dependiendo de la release de nuestros sistemas SAP, la nota 2827658. En caso afirmativo la implementaremos siguiendo las instrucciones detalladas en dicha nota.
Posteriormente nos dirigiremos a la transacción STC01 y ejecutamos la tarea SAP_BASIS_CONFIG_OSS_COMM

Configuración de conexiones 1/2

En el paso 4 de esta lista de tareas, introducimos el technical user creado en el primer paso y su contraseña. Ejecutamos todas las tareas y verificamos que finalizan correctamente.

Configuración de conexiones 2/2

Nota: en caso de versiones SAP que no cuenten con la tarea SAP_BASIS_CONFIG_OSS_COMM, crearemos a mano las RFCs https SAP-SUPPORT_PORTAL y SAP-SUPPORT_PARCELBOX siguiendo las instrucciones de las notas 2289984 y 2716729.

Será necesario verificar que todos los recursos anteriormente citados son accedidos desde todos los sistemas directamente, o al menos pasando a través del saprouter disponible.

7.Activación de notas firmadas digitalmente

Como comentábamos anteriormente, a partir del 1 de Enero de 2020 todas las notas estarán firmadas digitalmente, y por ello deberemos habilitar esta opción en la herramienta SNOTE.
No deberemos realizar ninguna acción adicional si el nivel de release y SP es superior a las siguientes combinaciones:

Activación de notas firmadas digitalmente, SP Realeases

En caso de no cumplir con estos requisitos, aún así probable que el sistema esté habilitado para este tipo de notas ya que era uno de los requisitos para poder utilizar el framework utilizado para el SII. Podemos comprobarlo descargando en la transacción SNOTE por ejemplo la nota 2424539, y revisando su log. Si obtenemos una entrada similar a esta, es que hemos tenido suerte 😉

Activación de notas firmadas digitalmente

Si tampoco hemos tenido éxito en el chequeo, será imprescindible seguir los pasos de la nota 2836302 – Automated guided steps for enabling Note Assistant for TCI and Digitally Signed SAP Notes para habilitar el uso de notas firmadas digitalmente.

8.Activación de TCIs en la SNOTE

Es altamente recomendable habilitar también las correcciones TCI (Transport-Based Correction Instructions) en la SNOTE. Esta opción está activa por defecto en las siguientes releases y niveles de SPs :

Activación de TCIs en la SNOTE

En caso de no cumplir con estos requisitos, será necesario revisar el PDF adjunto a la nota 2836302 – Automated guided steps for enabling Note Assistant for TCI and Digitally Signed SAP Notes para verificar la activación y configuración de esta propiedad.

9.Probando que todo funciona

Por último probaremos que todos los pasos se han realizado correctamente, y que estamos utilizando la nueva interfaz https para descarga de notas. Para ello en la transacción SE38 ejecutamos el report RCWB_SNOTE_DWNLD_PROC_CONFIG, seleccionamos las dos RFCs de tipo https que hemos generado en los pasos anteriores, y guardamos la configuración:

Probando que todo funciona

Ahora vamos a la transacción SNOTE y descargamos la última versión de la nota 2755640, revisamos el log de dicha nota, y verificamos que efectivamente la nota está firmada digitalmente y se ha descargado mediante https:

Probando que todo funciona

10.Últimos pasos

Por último deberemos reconfigurar el envío de datos relativos al EWA en la transacción SDCCN:

  • conexión directa al support backbone: será necesario realizar los siguientes pasos:
    1. Remplazar el destino SDCC_OSS por el nuevo SAP-SUPPORT_PORTAL
    2. Recrear todas las tareas con sistema destino OS2 usando los destinos SAP- SUPPORT_PORTAL y/o SAP-SUPPORT_PARCELBOX
  • conexión indirecta al support backbone: verificar en la SDCCN que en la lista de destinos RFC se encuentra configurada la conexión BACK hacia el Solution Manager y que tiene marcado el flag Master.

Esperamos que el contenido os haya servido de ayuda.

¿Habéis configurado ya los accesos en los sistemas SAP de vuestra compañía?

¿Os habéis encontrado algún problema en todo el proceso?

Share
Start Typing