連接器和 SAP 應用程式伺服器及 ABAP 是透過 SOAP Web 服務來通訊。通訊要求是利用業界標準 SAML 來進行鑑別和授權。鑑別程序需要連接器和應用程式伺服器儲存 ABAP SAML 信任憑證。本章說明如何從一個應用程式伺服器中匯出憑證,再匯入其他應用程式伺服器中。
伺服器的 SAML 限制
Solution Manager/服務台和 Rational® Connector 伺服器的系統時鐘必須相差在世界標準時間 (UTC) 90 秒內,否則通訊會失敗。要求同步時鐘可防止重送攻擊,因為 SAML 標頭含有內嵌時間戳記。
您可以使用下列解決方案來避免此限制:
- 手動變更兩個系統的時鐘以調整時區,使其相差在 90 秒內。
- 在 AIX®、UNIX 及 Linux 系統上,TZ 環境變數會影響地區與 UTC 時間之間的差異。通常設成地區時區,但要加上偏移值;例如,EST+5 表示美東標準時間,晚 UTC 5 個小時。
- 最好的情況是使用 NTP(網路時間協定)伺服器來同步兩個伺服器的時間。
從連接器匯出憑證
- 將「SAML 發證者名稱」更新為您稍後在匯入憑證時可識別的其他名稱。
- 匯出「連接器信任憑證」。
- 按一下鏈結來下載憑證。儲存檔案。
- 記下下載檔案的位置,當匯入憑證到 Solution Manager 時,需要這項資訊。
匯入憑證到 Solution Manager
如果要從連接器匯入憑證,請執行下列動作:
- 輸入交易碼 SAML2。
- 跳至「信任提供者」標籤,變更視圖以顯示:「安全記號服務」。
- 按一下「新增 > 手動」。
- 輸入「發證者名稱」,然後按下一步。
- 上傳「簽署憑證」,然後按下一步。
- 在「步驟 3 端點」,按一下完成。
- 選取您剛新增的提供者,按一下編輯。
- 確定「支援的 SAML 版本」選項已選取 SAML 1.1。
- 在「身分聯合」標籤中,按一下「支援的 NameID 格式」,再按一下新增。
- 按一下未指定,再按一下確定。
- 按一下儲存。
- 然後,按一下啟用。
如果要匯出憑證至連接器:- 使用交易碼 STRUST。
- 選擇 SSF SAML2 服務提供者 -S。
- 從「擁有憑證」中,按兩下自簽憑證。
- 從「憑證」中,按一下「匯出憑證」。
- 確定選擇檔案是二進位,然後選擇檔案路徑。記下這個位置,當您匯入憑證到連接器時會需要這項資訊。
- 選取勾選框。
從 SAP 匯入憑證至連接器
- 移至。
- 當匯出憑證至連接器時,找到您儲存的檔案。
- 按一下「上傳」。
- 重新啟動連接器。