Der Connector und der SAP-Anwendungsserver (ABAP) kommunizieren über SOAP-Web-Services.
Die Kommunikationsanforderungen werden mithilfe des Branchenstandards SAML authentifiziert und berechtigt. Für den Authentifizierungsprozess ist es erforderlich, dass das ABAP-SAML-Trustzertifikat vom Connector und vom Anwendungsserver gespeichert wird. In diesem Kapitel wird erläutert, wie Sie
Zertifikate von einem Anwendungsserver exportieren und sie auf einen anderen importieren.
SAML-Einschränkungen auf Servern
Die Systemuhren der Server von
Solution Manager/Service-Desk und Rational Connector dürfen sich nicht mehr als 90 Sekunden in Bezug auf UTC (UTC - koordinierte Weltzeit) voneinander unterscheiden. Andernfalls schlägt die Kommunikation möglicherweise fehl. Mit der Anforderung der synchronisierten Uhren werden Attacken durch Nachrichtenaufzeichnung und -wiederholung verhindert, da SAML-Header eingebettete Zeitmarken enthalten.
Die folgenden Lösungen helfen, diese Einschränkung zu umgehen:
- Ändern Sie manuell die Uhren auf den beiden Systemen so, dass sie sich nicht mehr als 90 Sekunden in Anpassung an die Zeitzone voneinander unterscheiden.
- Auf AIX-, UNIX- und Linux-Systemen wirkt sich die TZ-Umgebungsvariable auf den Unterschied zwischen der lokalen Zeit und UTC aus. Üblicherweise ist sie auf die lokale Zeitzone festgelegt, jedoch mit Offsetwert. Beispielsweise entspricht "EST+5" der Eastern Standard Time (5 Stunden nach UTC).
- Verwenden Sie vorzugsweise NTP-Server (NTP - Network Time Protocol), um die Uhrzeiten der beiden Server zu synchronisieren.
Zertifikat aus dem Connector exportieren
- Aktualisieren Sie den Namen des SAML-Ausstellers. Verwenden Sie dabei einen Namen, der beim späteren Importieren des Zertifikats einfach zu erkennen ist.
- Exportieren Sie das Trustzertifikat des Connectors.
- Klicken Sie auf den Link, um das Zertifikat herunterzuladen. Speichern Sie die Datei.
- Notieren Sie sich die Speicherposition der heruntergeladenen Datei, da Sie diese Informationen beim Importieren des Zertifikats in Solution Manager benötigen.
Zertifikat in Solution Manager importieren
Gehen Sie wie folgt vor, um das Zertifikat vom Connector zu importieren:
- Geben Sie den Transaktionscode "SAML2" ein.
- Melden Sie sich beim Browser an, der geöffnet wird.
- Rufen Sie die Registerkarte "Vertrauenswürdige Provider" auf und ändern Sie die Ansicht so, dass die Sicherheitstokenservices angezeigt werden.
- Klicken Sie auf "Hinzufügen" > "Manuell".
- Geben Sie den Namen des Ausstellers ein und klicken Sie auf Weiter.
- Laden Sie das Signaturzertifikat hoch und klicken Sie auf Weiter.
- Klicken Sie bei Schritt 3 ("Endpunkte") auf Fertigstellen.
- Wählen Sie den Provider aus, den Sie zuvor hinzugefügt haben, und klicken Sie auf Bearbeiten.
- Stellen Sie sicher, dass unter "Unterstützte SAML-Versionen" die Option "SAML 1.1" ausgewählt wurde.
- Klicken Sie auf der Registerkarte "Identitätseinbindung" auf "Unterstützte NameID-Formate" und anschließend auf Hinzufügen.
- Klicken Sie auf Nicht angegeben und anschließend auf OK.
- Klicken Sie auf Speichern.
- Klicken Sie anschließend auf Aktivieren.
So exportieren Sie das Zertifikat in den Connector: - Verwenden Sie den Transaktionscode "STRUST".
- Wählen Sie "SSF-SAML2-Service-Provider - S" aus.
- Doppelklicken Sie unter "Eigenes Zertifikat" auf das selbst signierte Zertifikat.
- Klicken Sie unter "Zertifikat" auf "Zertifikat exportieren".
- Stellen Sie sicher, dass als Dateiformat "Binär" ausgewählt ist und wählen Sie einen Dateipfad aus. Notieren Sie sich die Speicherposition, da Sie diese beim Importieren des Zertifikats in den Connector benötigen.
- Aktivieren Sie das Kontrollkästchen.
Zertifikat von SAP in den Connector importieren
- Rufen Sie auf.
- Suchen Sie die Datei, die Sie beim Exportieren des Zertifikats in den Connector gespeichert haben.
- Klicken Sie auf "Hochladen".
- Starten Sie den Connector neu.