Active Directory (AD) suele ser la fuente principal de información de usuarios dentro de una empresa. Por lo tanto, su integración con SAP® GRC debe ser una práctica esencial para garantizar una administración centralizada, segura y eficiente de los datos de usuario en entornos empresariales. Al establecer Active Directory como la fuente principal de datos de usuario para SAP®, las organizaciones pueden reducir errores manuales, automatizar procesos de aprovisionamiento y asegurar que la información esté siempre sincronizada y actualizada.
En esta guía paso a paso, exploraremos cómo configurar correctamente la comunicación entre Active Directory y SAP® GRC, desde la definición de conexiones RFC y la configuración LDAP, hasta la ejecución de la sincronización completa de usuarios. Además, aprenderás cómo establecer AD como fuente maestra de datos y evitar modificaciones manuales no deseadas dentro del sistema SAP.
Pasos para Conectar Active Directory con SAP® GRC
- Comunicación RFC
- Configuración LDAP
- Sincronización GRC
Comunicación RFC
La comunicación entre Active Directory y SAP® GRC requiere la definición de una Conexión TCP/IP. Los campos clave de esta conexión son:
- Gateway Host
- Gateway Service
- Registered Program ID
Tanto Gateway Host como Gateway Service están relacionados únicamente con el sistema GRC. El Registered Program ID debe tener el mismo nombre que la conexión RFC. Es importante mencionar que pueden surgir problemas al registrar el ID del programa si el gateway tiene restricciones de registro.
Configuración LDAP
El siguiente paso es la conexión al servidor LDAP, configurada mediante la transacción LDAP en SAP®.
Campos clave:
- Host Name
- Port Number
- Base Entry
- System Logon
SAP® proporciona por defecto un mapeo específico para Active Directory, que se puede aplicar presionando “F8”. Contacta con tu equipo de administración de sistemas para confirmar que el mapeo de Active Directory sea correcto. Además, se debe definir un usuario existente en Active Directory que se utilizará para la conexión. Esta configuración se realiza en la opción “System Users”.
Recuerda incluir el Base Entry para ubicar la localización del usuario del sistema dentro de Active Directory.
Una vez configurado el servidor LDAP, se debe definir un conector LDAP.
El nombre del conector DEBE coincidir con el del conector RFC.
La convención de nombres para el conector LDAP es:
Gateway Host_SID del sistema GRC_Gateway Service Instance Number
Ejemplo: SAPGRC00_GRP_00
Luego, se debe activar este conector LDAP.
Problemas comunes al activar el conector LDAP:
- El Registered Program ID en la transacción SM59 no fue registrado.
- El Gateway Host y Gateway Service en SM59 son incorrectos.
- Falta la biblioteca LDAP en el sistema SAP® GRC y debe instalarse.
Una vez activo el conector LDAP, se puede ejecutar la opción “Connection Test” para la conexión TCP/IP en la transacción SM59.
Sincronización GRC
Una vez completadas las tareas anteriores, es necesario ejecutar una operación de sincronización para establecer Active Directory como fuente de datos de usuario.
Pasos:
1. Verifica que toda la configuración previa sea correcta.
2. Ejecuta la transacción LDAP y presiona “Log On”.
3. Una vez conectado, presiona el botón “Find”.
Usa las siguientes expresiones para buscar el ID de usuario SAP:
(&(samaccountname=SAP_USER_ID))
(&(mail=mail_address))
Desde el lado del sistema GRC, realiza lo siguiente:
- Define el Grupo de Conectores LDAP con la transacción SPRO:
Maintain Connectors and Connection Types. - Asigna el conector LDAP a los escenarios “PROV” y “AUTH” mediante SPRO:
Maintain Connection Settings.
Luego, ejecuta el programa SAP RSLDAPSYNC_USER con la transacción SE38, incluyendo el servidor y conector LDAP definidos anteriormente. Puedes realizar una búsqueda específica de usuarios, pero se recomienda probar la búsqueda completa.
Si deseas crear todos los registros del Active Directory dentro de SAP®, debes marcar esa opción.
Finalmente, ejecuta el programa GRAC_REPOSITORY_OBJECT_SYNC para realizar la Sincronización Completa (Full Sync Mode) con el conector LDAP.
Establecer Active Directory como Fuente Principal de Datos de Usuario
Después de la integración, es esencial configurar Active Directory como la fuente principal de datos de usuario en SAP® GRC usando la transacción SPRO:
- Maintain Data Sources Configuration
- Incluir Active Directory como:
- User Search Data Source
- User Detail Data Source
Luego, se debe realizar el mapeo de campos entre Active Directory y los campos de SAP® usando la transacción:
- Maintain Mapping for Actions and Connector Groups
Como recomendación, os sugerimos mapear todos los campos relevantes posibles, especialmente aquellos usados en la transacción SU01, como:
- USERID → SAMACCOUNTNAME
- LASTNAME → SN
- FIRSTNAME → givenName
- FUNCTION → title
- DEPARTMENT → Department
- TELEPHONE → telephoneNumber
- TELNUMBER → mobile
- EMAIL → MAIL
- PERSONNEL_NUMBER → employeeID
- MANAGERID → manager
- LOCATION → country
- COMPANY → company
Estos campos también pueden usarse para la definición de valores predeterminados de usuario (User Defaults), como:
- Idioma de inicio de sesión
- Notación decimal
- Formato de fecha
En caso de requerir un campo personalizado del Active Directory, es posible crear un campo personalizado en SAP® y mapearlo también usando la transacción mencionada.
Restricción de Cambios Manuales
Finalmente, para evitar modificaciones no deseadas, se recomienda restringir los cambios manuales en los campos que se extraen de Active Directory. Esta configuración se realiza en SPRO:
- Maintain End User Personalization
Esta opción permite definir que los campos sincronizados desde Active Directory sean no editables por los usuarios finales.
¿Necesitas ayuda con la integración de Active Directory y SAP®?
Si este artículo te ha parecido útil o estás considerando implementar la integración de Active Directory como fuente de datos de usuario en SAP® GRC, estamos aquí para ayudarte. Nuestro equipo de expertos puede apoyarte en todo el proceso: desde la configuración inicial hasta la optimización de la sincronización y el control de accesos.
Puedes ponerte en contacto con nosotros haciendo click aquí para una asesoría personalizada, o puedes visitar nuestra sección de servicios de Seguridad SAP® y SAP® GRC para descubrir cómo podemos mejorar la eficiencia y seguridad de tu sistema.