Configuration de l'authentification SAML

Le connecteur et le serveur d'applications SAP, ABAP, communiquent via les services Web du protocole SOAP. Les demandes de communications sont authentifiées et autorisées en utilisant la norme de l'industrie SAML. Le processus d'authentification impose que le connecteur et le serveur d'applications stockent le certificat accrédité ABAP SAML.

Pourquoi et quand exécuter cette tâche

Vous exportez des certificats à partir d'un serveur d'applications et les importer vers un autre.

Procédure

Evitez la restriction SAML sur les serveurs. L'écart entre les horloges système de Solution Manager/Service Desk et des serveurs Rational Connector ne doit pas excéder 90 secondes en termes de temps universel coordonné (UTC), sinon la communication peut échouer. L'exigence de synchronisation des horloges empêche les attaques par réexécution, dans la mesure où les en-têtes SAML utilisent des horodatages intégrés. Vous pouvez utiliser les solutions suivantes pour éviter cette restriction.

  1. Modifiez manuellement les horloges sur les deux systèmes de sorte que l'écart entre elles ne dépasse pas 90 secondes, en fonction du fuseau horaire.
  2. Sur les systèmes AIX, UNIX et Linux, la variable d'environnement TZ a une incidence sur l'écart entre l'heure locale et l'heure UTC. En général, elle est paramétrée sur le fuseau horaire local, mais avec une valeur de décalage ; par exemple, EST+5 signifie le fuseau nord-américain EST (Eastern Standard Time), soit 5 heures de moins que l'heure UTC.
  3. Utilisez des serveurs NTP (Network Time Protocol) pour synchroniser les heures des deux serveurs.

Exportation d'un certificat depuis le connecteur

  1. Mettez à jour le nom de l'émetteur SAML pour qu'il soit unique pour le connecteur et pour qu'il soit identifiable ultérieurement lors de l'importation du certificat.

    Plusieurs connecteurs Rational Connector peuvent être connectés aux instances Solution Manager, le nom de l'émetteur doit donc identifier un connecteur spécifique.

  2. Exportez le certificat de confiance du connecteur.
    1. Cliquez sur l'onglet Générer un certificat autosigné, saisissez les valeurs dans chaque zone et cliquez sur Soumettre.
    2. Notez l'emplacement du fichier téléchargé car cette information vous sera nécessaire lors de l'importation du certificat dans Solution Manager.
    Conseil : Envisagez d'utiliser les onglets Générer des demandes de signature de certificat et Importer un certificat de réponse CSR pour obtenir un certificat SAML signé par une autorité de certificat au lieu de générer un certificat autosigné.

Importation du certificat dans Solution Manager

  1. Importez le certificat à partir du connecteur :
    1. Entrez le code de transaction SAML2. Connectez-vous au navigateur qui s'affiche.
    2. Affichez l'onglet Fournisseurs de confiance puis modifiez la vue pour afficher les services de jeton de sécurité.

      Changez la vue pour afficher les services de jeton de sécurité.

    3. Cliquez sur Ajouter > Manuellement.

      Ajouter manuellement

    4. Entrez le Nom du fournisseur et cliquez sur Suivant.
    5. Chargez le Certificat signataire et cliquez sur Suivant

      Etape 2 Signature et chiffrement

    6. Dans l'étape 3, Noeuds finaux, cliquez sur Terminer.

      Etape 3 Noeuds finaux

    7. Sélectionnez le fournisseur que vous venez d'ajouter, puis cliquez sur Editer.
    8. Assurez-vous que SAML 1.1 est sélectionné pour les versions SAML prises en charge.

      Versions SAML prises en charge sélectionnées

    9. Dans l'onglet Fédération d'identités, cliquez sur Formats d'ID de nom pris en charge puis sur Ajouter.

      Ajouter des formats d'ID de nom pris en charge

    10. Cliquez sur Non spécifié, puis sur OK.
    11. Cliquez sur Enregistrer puis sur Activer.
  2. Exportez le certificat vers le connecteur :
    1. Utilisez le code de transaction STRUST.
    2. Sélectionnez Fournisseur de service SSF SAML2 - S.

      Fournisseur de service SSF SAML2 - S sélectionné

    3. Dans Certificat propre, cliquez deux fois sur le certificat autosigné.

      Certificat autosigné

    4. Dans Certificat, cliquez sur Exporter le certificat.

      Exporter le certificat

    5. Assurez-vous que le format de fichier est binaire et sélectionnez un chemin d'accès au fichier. Notez cet emplacement car cette information vous sera nécessaire lors de l'importation du certificat dans le connecteur.
    6. Sélectionnez la case à cocher.

Importez le certificat à partir de SAP dans le connecteur.

  1. Accédez à Gérer les certificats SAML > Importer le certificat de confiance SAP.
  2. Localisez le fichier que vous avez enregistré lors de l'exportation du certificat vers le connecteur.
  3. Cliquez sur Télécharger.
  4. Redémarrez le connecteur.

Commentaires en retour