¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Mejora de Seguridad en el Envío de Correos Electrónicos con Enlaces en SAP CRM

  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 7 Vistas
0
Cargando...

Estimados Expertos,

Existe un requisito en el sistema que necesita enviar un correo electrónico que contenga un enlace URL al documento que se debe seguir. Y cuando el usuario haga clic en el enlace, será redirigido al documento correspondiente sin necesidad de iniciar sesión en el sistema.

Este requisito se ha cumplido, pero hay un problema ya que el valor del parámetro URL se envía directamente sin ningún tipo de encriptación.

A continuación se muestra un ejemplo de URL que se envía por correo electrónico:

http://***/sap/crm_logon/default.htm?crm-object-type=BT115Q_SLSQ&crm-object-action=B&crm-object-valu...

¿Es posible encriptar el valor del parámetro URL como el ID de usuario y la contraseña en SAP CRM?

Por favor, aconsejen.

Gracias de antemano.

Saludos

Eddhie Kurnianto

Pedro Pascal
Se unió el 07/03/2018
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Hola Eddhie,

Esto no es posible, las URL no pueden ser encriptadas. Sin embargo, si tu servidor soporta SNC o inicio de sesión único, entonces este problema se puede resolver sin enviar la contraseña como parámetro.

/Hasan

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Eddhie,

Gracias por tu explicación. Esto me hace mucho más claro el caso de uso.

A juzgar por mi experiencia en proyectos pasados y tu escenario, probablemente optaría por Adobe Forms para esto. Todo lo que tienes que hacer es instalar un servidor ADS, que probablemente ya esté en su lugar para tu CRM. Luego crear algunos formularios habilitados sin conexión de Adobe.

El desarrollo se puede hacer, más o menos, directamente en el entorno SAP utilizando la transacción SFP. Aunque todavía es una instalación adicional en la PC del desarrollador llamada Adobe Livecycle Designer que se puede descargar directamente desde el Service Marketplace.

Después de crear el formulario que contenga toda la información necesaria y espacio para la información requerida, podrías enviarlo a la tercera parte por correo. Ellos pueden simplemente editarlo y enviarlo de vuelta por correo electrónico al servidor CRM. Supongo que el correo entrante está configurado correctamente en tu sistema también.

SAP ya proporciona algunas bibliotecas de clases para extraer los datos del archivo PDF recibido, que luego pueden ser procesados por la lógica de la aplicación habitual.

De esta manera, no necesitas enviar ningún tipo de usuario/contraseña de SAP. Los cambios se realizan con el usuario mantenido en SAPConnect para esta tarea.

Una buena idea sería almacenar los correos recibidos en la transacción, de lo contrario, los cambios realizados por los PDF no serán rastreables. La dirección de correo electrónico del remitente podría utilizarse como una forma de autenticación. Supongo que si ocurre una auditoría, esto podría pasar la prueba...

Espero que hayas entendido el diseño de solución que señalé aquí.

Carsten

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Carsten,

Gracias por la respuesta.

El cliente desea proporcionar una lista de tareas que deben ser realizadas por un tercero que no tiene acceso de usuario a SAP CRM. Y este tercero está compuesto por más de una persona.

El cliente no quiere gastar más en licencias y desea utilizar usuarios compartidos para el tercero. 1 usuario para visualización y 1 usuario para edición.

Para visualizar la información, el tercero no necesita iniciar sesión, pero para editar los datos, el tercero necesita iniciar sesión en el sistema.

Dado que las tareas son varias y todas deben realizarse al mismo tiempo, el cliente solicita agruparlas en un solo correo electrónico. Es bastante difícil proporcionar información detallada sobre cada tarea. Y existe la posibilidad de que se deba enviar más de una lista de tareas. Esto significa que habrá más de un correo electrónico que contenga listas de tareas enviadas.

La solución temporal es crear un nuevo servicio con privilegios limitados para mostrar la información detallada de la tarea.

Una versión ligera es una buena idea, pero requiere tiempo de desarrollo y aún se necesita iniciar sesión en el sistema.

Creo que la mejor manera es como propuso Hasan Rafiq, construir otra aplicación web de terceros para manejar la encriptación y desencriptación hacia SAP. Esta idea ya fue propuesta antes de publicar este hilo, pero el cliente se niega a tener otro desarrollo fuera del sistema SAP.

Cualquier idea será apreciada.

Gracias de antemano.

Saludos

Eddhie Kurnianto.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Eddhie,

Solo por curiosidad: ¿Las personas solo quieren mostrar la información o también quieren editarla?

Para mostrarla, podría ser posible incluir más información en el correo electrónico o crear una versión "ligera" que se pueda acceder en línea.

En el último caso, me interesaría saber cómo planeas manejar la integridad de los datos o las auditorías del sistema por auditores externos. Supongo que esto eliminaría cualquier tipo de rastreabilidad y concepto de autorización.

Desde un punto de vista técnico, podrías crear un servicio anónimo que se ejecute con privilegios SAP_ALL. De esta manera, no necesitarás ningún tipo de contraseña, lo cual, desde una perspectiva de seguridad, es prácticamente lo mismo que una contraseña codificada en una URL HTTP. De todos modos, te aconsejaría firmemente que no lo hagas.

Saludos,

Carsten

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?