Avant de connecter Payhawk à SAP S/4HANA® Cloud, Private Edition, vous devez préparer votre système SAP à accepter une communication externe sécurisée.
En fonction de l'infrastructure informatique et de l'architecture de sécurité de votre organisation, vous pouvez choisir l'une des deux stratégies de connexion :
Connexion directe qui connecte Payhawk directement à votre Cloud privé SAP S/4HANA via un port sécurisé et un mappage de certificat.
Connexion via SAP BTP qui achemine le trafic Payhawk de manière sécurisée via SAP Business Technology Platform (BTP) à l'aide de SAP Cloud Connector sans exposer les ports internes.
Stratégie 1 : Connexion directe
Cette approche nécessite l'installation du certificat de sécurité de Payhawk directement dans votre système SAP S/4HANA, la création d'une règle de mappage des utilisateurs et l'ouverture d'un port réseau dédié à la communication.
Étape 1 : Installation du certificat dans le gestionnaire de confiance(STRUST)
Pour vous assurer que votre système SAP S/4HANA fait confiance aux demandes entrantes de Payhawk :
Connectez-vous à l'interface graphique SAP et ouvrez le code de transaction STRUST.
Double-cliquez sur le dossier Serveur SSL Standard PSE sur le côté gauche.
Dans la section Certificat, cliquez sur Importer un certificat.
Choisissez le fichier de certificat fourni par l'assistant d'installation de Payhawk et cliquez sur Entrée.
Cliquez sur Ajouter à la liste des certificats pour ajouter le certificat de Payhawk à votre liste de confiance.
Cliquez sur Enregistrer pour appliquer les modifications.
Étape 2 : Associer le certificat à un utilisateur SAP(CERTRULE)
Ensuite, vous devez indiquer à SAP l'utilisateur du système technique correspondant au certificat :
Créez ou identifiez un utilisateur technique ou de communication dédié dans la transaction SU01 avec les autorisations nécessaires pour les données Payhawk.
Ouvrez le code de transaction CERTRULE.
Cliquez sur Importer un certificat et sélectionnez le même fichier de certificat Payhawk.
Cliquez sur le bouton Règle pour créer une nouvelle règle de mappage.
Attribuez cette règle à votre ID d'utilisateur technique ou de communication afin que les appels entrants de Payhawk soient automatiquement enregistrés sous cet utilisateur.
Cliquez sur Enregistrer.
Étape 3 : Ouvrir un port pour les appels entrants
Exécutez le code de transaction SMICM et choisissez Accéder > Services pour afficher vos ports HTTPS actifs.
Assurez-vous que le pare-feu de votre entreprise, le proxy inverse ou SAP Web Dispatcher est configuré pour autoriser le trafic entrant des adresses IP désignées par Payhawk directement vers ce port HTTPS.
Stratégie 2 : Connexion via SAP BTP
Si la politique de sécurité de votre entreprise interdit strictement l'ouverture des ports de pare-feu entrants, vous pouvez acheminer la connexion de manière sécurisée à l'aide de SAP Business Technology Platform (BTP) et de SAP Cloud Connector.
Étape 1 : Installer et configurer SAP Cloud Connector (SCC)
Le Cloud Connector agit comme un tunnel sécurisé, initié par la sortie, entre votre réseau privé et le cloud.
Installez le logiciel SAP Cloud Connector dans votre environnement de cloud privé s'il n'est pas déjà en cours d'exécution.
Connectez-vous au panneau d'administration de Cloud Connector.
Cliquez sur Ajouter un sous-compte et saisissez les détails de votre sous-compte SAP BTP (région, ID de sous-compte et informations d'identification) pour établir le lien sécurisé.
Accédez à Cloud vers On-Premise depuis le menu latéral et accédez à l'onglet Mappage du système virtuel vers le système interne.
Cliquez sur le bouton + (Ajouter) et créez un mappage :
Sélectionnez Système ABAP comme type de back-end.
Saisissez les détails de votre système SAP S/4HANA interne (hôte et port internes).
Définissez un nom d'hôte virtuel et de port virtuel (par exemple,
s4virtual:443). Il s'agit de l'alias que BTP utilisera pour communiquer avec votre système.
Dans la section Ressources accessibles, cliquez sur Ajouter pour spécifier les URL API que Payhawk est autorisé à utiliser.
Saisissez les chemins de base OData/SOAP spécifiques requis par Payhawk et sélectionnez Chemin et tous les sous-chemins. Cliquez sur Enregistrer.
Étape 2 : Configurer un routeur d'applications SAP BTP (routeur d'applications)
Le routeur d'applications BTP agit comme un point d'entrée unique pour les API cloud de Payhawk, transmettant en toute sécurité les requêtes au Cloud Connector.
Connectez-vous à votre Cockpit SAP BTP et accédez à votre sous-compte.
Accédez à Connectivité > Destinations et cliquez sur Nouvelle destination.
Créez une destination pointant vers votre système SAP en utilisant les détails suivants :
Type :
HTTPType de proxy :
OnPremiseURL : Saisissez l'hôte virtuel et le port virtuel que vous avez définis dans le connecteur cloud (par exemple,
http://s4virtual:443).Authentification : Configurez les informations d'identification de l'utilisateur technique ou les détails de mappage du certificat créés pour Payhawk.
Déployez votre application SAP BTP Application Router dans votre espace BTP.
Dans le fichier de configuration de routage du routeur d'application
(xs-app.json), mappez les trafics entrants provenant de Payhawk pour cibler la destination BTP nouvellement créée.
Une fois l'opération terminée, Payhawk effectuera en toute sécurité des appels API vers votre routeur d'applications BTP hébergé dans le cloud, qui acheminera le trafic via le Cloud Connector directement vers votre instance de cloud privé S/4HANA.
Étape 2 : Configurer un routeur d'applications SAP BTP (App Router)
Le routeur d'applications BTP agit comme un point d'entrée unique pour les API cloud de Payhawk, transmettant en toute sécurité les requêtes au Cloud Connector.
Créez la destination BTP : Dans votre SAP BTP Cockpit, accédez à votre sous-compte, accédez à Connectivité > Destinations et cliquez sur Nouvelle destination. Créez une destination pointant vers votre hôte virtuel à l'aide des informations d'identification de l'utilisateur technique de votre système SAP ou du mappage de certificat.
Type :
HTTPType de proxy :
OnPremiseURL : Saisissez l'hôte virtuel et le port virtuel que vous avez définis dans le connecteur cloud (par exemple,
http://s4virtual:443).Authentification : Configurez les informations d'identification de l'utilisateur technique pour Payhawk.
Créez les instances de service requises :Pour activer le routage et la connectivité sécurisés, accédez à Services > Instances et abonnements dans votre BTP Cockpit et créez une instance pour chacun des services suivants :
Service de destination
Service de connectivité
Service XSUAA (service d'autorisation et de gestion de la confiance)
Installez le routeur d'applications :
Connectez le routeur d'applications à l'assistant Payhawk :
Une fois le routeur d'applications déployé, copiez son URL publique (Route).
Ouvrez l'assistant d'intégration Payhawk et saisissez cette route de routeur d'applications.
L'assistant Payhawk génère alors un fichier de configuration JSON que vous pouvez télécharger.
Générez la clé de service XSUAA :
Retournez dans votre Cockpit SAP BTP et localisez l'instance de service XSUAA que vous avez créée précédemment.
Créez une nouvelle clé de service pour cette instance, en collant le contenu du fichier JSON Payhawk téléchargé dans les paramètres de configuration.
Sauvegardez et ouvrez la clé de service nouvellement créée. Copiez l'ID du client
(clientid) et l'URL du jeton(url) dans le texte des informations d'identification.Collez l'ID du client et l'URL du jeton dans l'assistant Payhawk pour finaliser le lien d'authentification sécurisé.