Il connettore e l'application server SAP, ABAP, comunicano mediante i servizi web SOAP. Le richieste di comunicazione sono autenticate e autorizzate utilizzando lo standard del settore SAML. Il processo di autenticazione richiede che il connettore e l'application server memorizzino il certificato attendibile ABAP SAML.
Informazioni su questa attività
Si esportano i certificati da un application server e si importano in un altro.
Procedura
Evitare le limitazioni SAML sui server. I clock di sistema di Solution Manager/Service Desk e dei server Rational Connector devono rientrare in un intervallo di 90 secondi massimi di differenza in termini di UTC (Coordinated Universal Time);
in caso contrario, le comunicazioni avranno esito negativo. Richiedere dei clock sincronizzati consente di evitare attacchi di risposta poiché le intestazioni SAML hanno delle date/ore integrate.
Per evitare questa limitazione, è possibile utilizzare una delle seguenti soluzioni.
- Modificare manualmente i clock sui due sistemi in modo che rientrino in un intervallo di differenza massima di 90 secondi, adeguando al fuso orario.
- Sui sistemi AIX, UNIX e Linux,
la variabile di ambiente TZ influenza la differenza tra ora locale e UTC. Di norma è impostata sul fuso orario locale, ma con un valore di offset; ad esempio, EST+5 indica l'Eastern Standard Time (Ora solare fuso orientale), 5 ore indietro rispetto all'UTC.
- Utilizzare i server NTP (network time protocol) per sincronizzare gli orari dei due server.
Esportare il certificato dal connettore
- Aggiornare il nome dell'emittente SAML (SAML Issuer Name) specificando un elemento univoco per il connettore che si sta configurando e identificabile successivamente quando si importa il certificato.
Le istanze del Solution Manager possono avere più Rational Connector a esse collegati, quindi il nome dell'emettitore deve identificare un connettore specifico.
- Esportare il certificato attendibile del connettore.
- Fare clic sulla scheda Genera certificato autofirmato, immettere i valori per ciascun campo e fare clic su Inoltra.
- Annotare l'ubicazione del file scaricato perché queste informazioni sono necessarie quando si importa il certificato in Solution Manager.
Suggerimento: prendere in considerazione l'utilizzo delle schede Genera richiesta di firma certificato e Importa certificato risposta CSR per ottenere un certificato SAML firmato dall'autorità di certificazione invece di generare un certificato autofirmato.
Importare il certificato in Solution Manager
- Importare il certificato dal connettore:
- Immettere il codice transazione SAML2. Accedere al browser che viene aperto.
- Andare alla scheda Trusted Providers e modificare la vista in modo da visualizzare: Security
Token Services.
- Fare clic su .
- Immettere il nome del provider e fare clic su Next.
- Caricare il certificato di firma e fare clic su Next
- Nel passo 3 'Endpoints', fare clic su Finish.
- Selezionare il provider che è stato appena aggiunto e fare clic su Edit.
- Accertarsi che per Supported SAML Versions sia selezionato SAML 1.1.
- Nella scheda Identity Federation,
fare clic su Supported NameID Formats, quindi su Add.
- Fare clic su Unspecified e fare clic su OK.
- Fare clic su Save, quindi su Enable.
- Esportare il certificato nel connettore:
- Utilizzare il codice transazione STRUST.
- Selezionare SSF SAML2 Service Provider -S.
- Da Own Certificate, fare doppio clic sul certificato autofirmato.
- Da Certificate, fare clic su Export Certificate.
- Verificare che il formato del file sia binario e selezionare un percorso file. Annotare questa ubicazione perché è necessaria quando si importa il certificato nel connettore.
- Selezionare la casella di spunta.
Importare il certificato da SAP nel connettore.
- Andare a .
- Individuare il file salvato quando si è esportato il certificato nel connettore.
- Fare clic su Carica.
- Riavviare il connettore.