Настройка идентификации SAML

Коннектор и сервер приложений SAP (ABAP) взаимодействуют с помощью веб-служб SOAP. Для идентификации и проверки прав доступа применяется стандарт SAML. Для идентификации необходимо, чтобы коннектор и сервер приложений содержали доверенный сертификат SAML ABAP.

Об этой задаче

Обмен сертификатами серверов приложений путем экспорта и импорта.

Процедура

Избегайте ограничения SAML на серверах. Расхождение времени системных часов Solution Manager/Service Desk и серверов Rational Connector не должно превышать 90 секунд в контексте универсального скоординированного времени (UTC). Синхронизация часов позволяет избежать атаки путем повтора, поскольку заголовки SAML содержат встроенное время. Данное ограничение можно обойти любым из следующих способов.

  1. Вручную измените часы в двух системах, чтобы расхождение не превышало 90 секунд.
  2. В системах AIX, UNIX и Linux переменная TZ влияет на разницу между местным временем и UTC. Как правило, установлен местный часовой пояс со смещением; например EST+5 означает восточное стандартное время (5 часов после UTC).
  3. Для синхронизации времени двух серверов используйте сервера NTP (протокол сетевого времени).

Экспорт сертификата из коннектора

  1. В параметре Организация, выдавшая сертификат SAML укажите уникальное значение для настроенного коннектора, которое потребуется позднее на этапе импорта сертификата.

    Экземпляры Solution Manager могут иметь несколько подключенных к ним Rational Connector, поэтому название организации, выдавшей сертификат, должно идентифицировать конкретный коннектор.

  2. Экспортируйте доверенный сертификат коннектора.
    1. Перейдите на вкладку Создать собственный сертификат заполните все поля и выберите Отправить.
    2. Запишите расположение загруженного файла, поскольку оно потребуется в ходе импорта сертификата в Solution Manager.
    Совет: Рассмотрите использование вкладок Сгенерировать запрос на подписание сертификата (CSR) и Импортировать ответ на CSR для получения от сертификатной компании подписанного сертификата SAML вместо создания собственного сертификата.

Импорт сертификата в Solution Manager

  1. Импортируйте сертификат из коннектора:
    1. Введите код транзакции SAML2 В открывшемся браузере войдите в систему.
    2. Перейдите на вкладку Доверенные провайдеры и выберите режим просмотра Службы ключей защиты.

      Изменить представление Служб ключей защиты

    3. Выберите Добавить > Вручную.

      Добавить вручную

    4. Введите Имя провайдера и нажмите кнопку Далее.
    5. Передайте Подписывающий сертификат и нажмите кнопку Далее.

      Шаг 2 Подпись и шифрование

    6. На шаге 3 нажмите кнопку Готово.

      Шаг 3 Конечные точки

    7. Выберите добавленный провайдер и нажмите кнопку Изменить.
    8. В разделе Поддерживаемые версии SAML выберите SAML 1.1.

      Выбрана поддерживаемая версия SAML

    9. На вкладке Объединение идентификационных данных выберите Поддерживаемые форматы NameID и нажмите кнопку Добавить.

      Добавлены поддерживаемые форматы NameID

    10. Выберите Не задано и нажмите кнопку OK.
    11. Нажмите кнопку Сохранить, затем выберите Включить.
  2. Экспортируйте сертификат в коннектор:
    1. Укажите код транзакции STRUST.
    2. Выберите Провайдер службы SAML2 SSF -S.

      Выбран провайдер службы SAML2 SSF -S

    3. В поле Собственный сертификат дважды щелкните на собственном сертификате.

      Собственный сертификат

    4. В разделе Сертификат выберите Экспортировать сертификат.

      Экспортировать сертификат

    5. Выберите двоичный формат файла и укажите путь к файлу. Запишите это расположение, поскольку оно потребуется в ходе импорта сертификата в коннектор.
    6. Включите переключатель.

Импорт сертификата из SAP в коннектор

  1. Выберите Управление сертификатами SAML > Импортировать доверенный сертификат SAP.
  2. Найдите файл, сохраненный в ходе экспорта сертификата в коннектор.
  3. Нажмите кнопку Передать данные.
  4. Перезапустите коннектор.

Комментарии