Der Connector und der SAP-Anwendungsserver (ABAP) kommunizieren über SOAP-Web-Services.
Die Kommunikationsanforderungen werden mithilfe des SAML-Industriestandards
authentifiziert und autorisiert. Für den Authentifizierungsprozess ist es erforderlich, dass das ABAP-SAML-Trustzertifikat vom Connector und vom Anwendungsserver gespeichert wird.
Informationen zu diesem Vorgang
Sie exportieren Zertifikate aus einem Anwendungsserver und importieren
sie in einen anderen Anwendungsserver.
Vorgehensweise
Verhindern Sie SAML-Einschränkungen auf Servern. Die Systemuhren der Server von
Solution Manager/Service Desk und Rational Connector dürfen sich nicht mehr als 90 Sekunden in Bezug auf UTC (UTC - koordinierte Weltzeit) voneinander unterscheiden. Andernfalls schlägt die Kommunikation möglicherweise fehl. Mit der Anforderung der synchronisierten Uhren werden Attacken durch Nachrichtenaufzeichnung und -wiederholung verhindert, da SAML-Header eingebettete Zeitmarken verwenden.
Jede der folgenden Lösungen kann dabei helfen, diese Einschränkung zu umgehen.
- Ändern Sie manuell die Uhren auf den beiden Systemen so, dass sie sich nicht mehr als 90 Sekunden in Anpassung an die Zeitzone voneinander unterscheiden.
- Auf AIX-, UNIX- und Linux-Systemen wirkt sich die TZ-Umgebungsvariable auf den Unterschied zwischen der lokalen Zeit und UTC aus. Üblicherweise ist sie auf die lokale Zeitzone festgelegt, jedoch mit Offsetwert. Beispielsweise entspricht "EST+5" der Eastern Standard Time (5 Stunden nach UTC).
- Verwenden Sie NTP-Server (NTP - Network Time Protocol), um
die Uhrzeiten der beiden Server zu synchronisieren.
Exportieren Sie das Zertifikat aus dem Connector.
- Aktualisieren Sie den Namen des SAML-Ausstellers. Verwenden Sie dabei einen Namen, der für den konfigurierten Connector eindeutig und beim späteren Importieren des Zertifikats einfach zu erkennen ist.
Mit Solution Manager-Instanzen
können mehrere Rational Connectors
verbunden sein, sodass der Ausstellername einen bestimmten Connector angeben muss.
- Exportieren Sie das Trustzertifikat des Connectors.
- Klicken Sie auf die Registerkarte Selbst signiertes Zertifikat erstellen,
geben Sie Werte für die einzelnen Felder ein und klicken Sie auf Senden.
- Notieren Sie sich die Speicherposition der heruntergeladenen Datei, da Sie diese Informationen beim Importieren des Zertifikats in Solution Manager benötigen.
Tipp: Erwägen Sie die Verwendung der Registerkarten Anforderung zur Zertifikatssignierung
erstellen und CSR-Antwortzertifikat importieren,
um ein von einer Zertifizierungsstelle signiertes SAML-Zertifikat zu erhalten, statt ein
selbst signiertes Zertifikat zu erstellen.
Importieren Sie das Zertifikat in Solution Manager.
- Importieren Sie das Zertifikat aus dem Connector:
- Geben Sie den Transaktionscode "SAML2" ein. Melden Sie sich beim Browser an, der geöffnet wird.
- Rufen Sie die Registerkarte "Vertrauenswürdige Provider" auf und ändern Sie die Ansicht so, dass die Sicherheitstokenservices angezeigt werden.
- Klicken Sie auf .
- Geben Sie einen Providernamen ein und klicken
Sie auf Weiter.
- Laden Sie das Signaturzertifikat hoch und
klicken Sie auf Weiter.
- Klicken Sie bei Schritt 3 ("Endpunkte") auf Fertigstellen.
- Wählen Sie den Provider aus, den Sie gerade hinzugefügt haben, und klicken Sie auf Bearbeiten.
- Stellen Sie sicher, dass unter Unterstützte SAML-Versionen
SAML 1.1 ausgewählt wurde.
- Klicken Sie auf der Registerkarte Identitätseinbindung
auf Unterstützte NameID-Formate und dann auf Hinzufügen.
- Klicken Sie auf Nicht angegeben und anschließend auf OK.
- Klicken Sie auf Speichern. Klicken Sie danach auf die Option zum Aktivieren.
- Exportieren Sie das Zertifikat an den Connector:
- Verwenden Sie den Transaktionscode STRUST.
- Wählen Sie SSF-SAML2-Service-Provider - S aus.
- Doppelklicken Sie unter Eigenes Zertifikat auf das selbst signierte Zertifikat.
- Klicken Sie unter "Zertifikat" auf Zertifikat exportieren.
- Stellen Sie sicher, dass als Dateiformat "Binär" ausgewählt ist und wählen Sie einen Dateipfad aus. Notieren Sie sich die Speicherposition, da Sie diese beim Importieren des Zertifikats in den Connector benötigen.
- Aktivieren Sie das Kontrollkästchen.
Importieren Sie das Zertifikat von SAP in den Connector.
- Rufen Sie auf.
- Suchen Sie die Datei, die Sie beim Exportieren des Zertifikats in den Connector gespeichert haben.
- Klicken Sie auf Hochladen.
- Starten Sie den Connector erneut.