設定 SAML 鑑別

連接器和 SAP 應用程式伺服器及 ABAP 是透過 SOAP Web 服務來通訊。通訊要求是利用業界標準 SAML 來進行鑑別和授權。鑑別程序需要連接器和應用程式伺服器儲存 ABAP SAML 信任憑證。

關於這項作業

您可以從一個應用程式伺服器匯出憑證,再匯入到其他應用程式伺服器。

程序

避開伺服器上的 SAML 限制。Solution Manager/Service Desk 和 Rational® Connector 伺服器的系統時鐘必須相差在世界標準時間 (UTC) 90 秒內,否則通訊會失敗。因為 SAML 標頭使用內嵌的時間戳記,要求同步時鐘可防止重播攻擊。您可以使用下列任何解決方案來避免此限制。

  1. 手動變更兩個系統的時鐘以調整時區,使其相差在 90 秒內。
  2. 在 AIX®、UNIX 及 Linux 系統上,TZ 環境變數會影響地區與 UTC 時間之間的差異。通常設成地區時區,但要加上偏移值;例如,EST+5 表示美東標準時間,晚 UTC 5 個小時。
  3. 使用 NTP(網路時間協定)伺服器來同步化兩部伺服器的時間。

從連接器匯出憑證

  1. 將「SAML 發證者名稱」更新為對於你所配置的連接器是唯一且稍後匯入憑證時可供識別的其他名稱。

    Solution Manager 實例可能連接多個 Rational Connector,因此發證者名稱必須識別特定連接器。

  2. 匯出「連接器信任憑證」。
    1. 按一下產生自簽憑證標籤,輸入每一個欄位的值,然後按一下提交
    2. 將下載檔案的位置記下來,因為當您將憑證匯入至 Solution Manager 時需要這項資訊。
    提示: 請考慮使用產生憑證簽署要求匯入 CSR 回應憑證標籤,以取得憑證管理中心簽署的 SAML 憑證,而不要產生自簽憑證。

將憑證匯入到 Solution Manager

  1. 從連接器匯入憑證:
    1. 輸入交易碼 SAML2。登入所開啟的瀏覽器。
    2. 跳至「信任提供者」標籤,變更視圖以顯示:「安全記號服務」。

      將視圖切換至「安全記號服務」

    3. 按一下新增 > 手動

      手動新增

    4. 輸入提供者名稱,然後按下一步
    5. 上傳簽署憑證,然後按下一步

      步驟 2 簽章和加密

    6. 在「步驟 3 端點」,按一下完成

      步驟 3 端點

    7. 選取您剛新增的提供者,然後按一下編輯
    8. 確定支援的 SAML 版本已選取 SAML 1.1。

      已選取「支援的 SAML 版本」

    9. 身分聯合標籤上,按一下支援的 NameID 格式,再按一下新增

      新增「支援的 NameID 格式」

    10. 按一下未指定,再按一下確定
    11. 按一下儲存,再按一下啟用
  2. 將憑證匯出至連接器:
    1. 使用交易碼 STRUST
    2. 選取 SSF SAML2 服務提供者 -S

      已選取「SSF SAML2 服務提供者 -S」

    3. 擁有憑證中,按兩下自簽憑證。

      自簽憑證

    4. 從「憑證」中,按一下匯出憑證

      匯出憑證

    5. 確定檔案格式為「二進位」並選取檔案路徑。記下這個位置,因為當您將憑證匯入到連接器時需要這項資訊。
    6. 選取勾選框。

將憑證從 SAP 匯入至連接器。

  1. 移至管理 SAML 憑證 > 匯入 SAP 信任憑證
  2. 找出您將憑證匯出至連接器時所儲存的檔案。
  3. 按一下上傳
  4. 重新啟動連接器。

意見