设置 SAML 认证

Connector 与 SAP 应用程序服务器 ABAP 通过 SOAP Web Service 进行通信。 通信请求通过使用行业标准 SAML 进行认证和授权。 认证过程需要 Connector 和应用程序服务器对 ABAP SAML 信任证书进行存储。 本章说明如何从一个应用程序服务器导出证书并将这些证书导入另一个应用程序服务器。

对服务器的 SAML 限制

Solution Manager/Service Desk 和 Rational® Connector 服务器的系统时钟相差不得超过 90 秒(以全球标准时间 (UTC) 为准),否则通信将失败。要求同步的时钟将防止重播攻击,因为 SAML 头已嵌入时间戳记。 您可以使用以下解决方案来避免此限制:
  • 通过调整时区,手动将两个系统上的时钟更改为相差不超过 90 秒。
  • 在 AIX®、UNIX 和 Linux 系统上,TZ 环境变量影响本地和 UTC 时间之间的差值。通常设置为本地时区,但包含偏移值;例如 EST+5 表示东部标准时间,比 UTC 晚 5 个小时。
  • 最好是使用 NTP(网络时间协议)服务器来同步两个服务器的时间。

从 Connector 导出证书

  1. 将“SAML 颁发者名称”更新为在随后导入证书时可识别的内容。
  2. 导出 Connector 信任证书。
    • 单击下载证书的链接。保存该文件。
    • 记下所下载文件的位置,因为在将该证书导入 Solution Manager 时需要此信息。

将证书导入 Solution Manager

要从 Connector 导入证书:

  1. 输入事务代码 SAML2。
    • 登录到打开的浏览器。
  2. 转至“可信提供者”选项卡并更改视图以显示:安全性令牌服务。
  3. 单击“添加 > 手动”。
  4. 输入“颁发者名称”,然后单击下一步
  5. 上载签名证书,然后单击下一步
  6. 在“步骤 3 端点”中,单击完成
  7. 选择刚才添加的提供者,然后单击编辑
  8. 确保对于“支持的 SAML 版本”选项,选择了 SAML 1.1。
  9. 在“身份联合”选项卡上,单击“支持的 NameID 格式”,然后单击添加
  10. 单击未指定,然后单击确定
  11. 单击保存
  12. 然后单击启用
要将证书导出到 Connector:
  1. 使用事务代码 STRUST。
  2. 选择“SSF SAML2 服务提供者 -S”。
  3. 从“自己的证书”中,双击自签名证书。
  4. 从“证书”中,单击“导出证书”。
  5. 确保文件格式为二进制,然后选择文件路径。记下此位置,因为在将该证书导入 Connector 时需要此信息。
  6. 选中复选框。

从 SAP 将证书导入 Connector

  1. 转至管理 SAML 证书 > 导入 SAP 信任证书
  2. 找到在将证书导出到 Connector 时保存的文件。
  3. 单击“上载”。
  4. 重新启动 Connector。

反馈