设置 SAML 认证

Connector 与 SAP 应用程序服务器 ABAP 通过 SOAP Web Service 进行通信。 通信请求通过使用行业标准 SAML 进行认证和授权。认证过程需要 Connector 和应用程序服务器对 ABAP SAML 信任证书进行存储。

关于此任务

您从一个应用程序服务器导出证书并将其导入另一个应用程序服务器。

过程

避免服务器上的 SAML 限制。Solution Manager/Service Desk 和 Rational® Connector 服务器的系统时钟相差不得超过 90 秒(以全球标准时间 (UTC) 为准),否则通信将失败。要求同步时钟可防止重放攻击,因为 SAML 头使用嵌入式时间戳记。 您可以使用以下任何解决方案来避免此限制。

  1. 通过调整时区,手动将两个系统上的时钟更改为相差不超过 90 秒。
  2. 在 AIX®、UNIX 和 Linux 系统上,TZ 环境变量影响本地和 UTC 时间之间的差值。通常设置为本地时区,但包含偏移值;例如 EST+5 表示东部标准时间,比 UTC 晚 5 个小时。
  3. 使用 NTP(网络时间协议)服务器来同步两台服务器的时间。

从连接器导出证书

  1. 将“SAML 颁发者名称”更新为对于您在配置的连接器唯一并且在以后导入证书时可识别的名称。

    Solution Manager 实例可以在其上附加多个 Rational Connector,因此颁发者名称必须标识特定连接器。

  2. 导出 Connector 信任证书。
    1. 单击生成自签名证书选项卡,输入各字段的值,然后单击提交
    2. 记下所下载文件的位置,因为在将证书导入到 Solution Manager 时需要此信息。
    提示: 请考虑使用生成证书签名请求导入 CSR 响应证书选项卡来获取认证中心签署的 SAML 证书而不是生成自签名证书。

将证书导入到 Solution Manager

  1. 导入连接器中的证书:
    1. 输入事务代码 SAML2。登录到打开的浏览器。
    2. 转至“可信提供者”选项卡并更改视图以显示:安全性令牌服务。

      将视图切换为“安全性令牌服务”

    3. 单击添加 > 手动

      手动添加

    4. 输入提供者名称,然后单击下一步
    5. 上载签名证书,然后单击下一步

      步骤 2 签名和加密

    6. 在“步骤 3 端点”中,单击完成

      步骤 3 端点

    7. 选择刚才添加的提供者,然后单击编辑
    8. 确保对支持的 SAML 版本选择了 SAML 1.1。

      已选择支持的 SAML 版本

    9. 身份联合选项卡上,单击支持的 NameID 格式,然后单击添加

      添加支持的 NameID 格式

    10. 单击未指定,然后单击确定
    11. 单击保存,然后单击启用
  2. 将证书导出到连接器:
    1. 使用事务代码 STRUST
    2. 选择 SSF SAML2 服务提供者 -S

      已选择 SSF SAML2 服务提供者 -S

    3. 拥有证书中双击自签名证书。

      自签名证书

    4. 从“证书”中单击导出证书

      导出证书

    5. 确保文件格式为“二进制”并选择文件路径。记下此位置,因为在将证书导入到连接器时需要此信息。
    6. 选中复选框。

将证书从 SAP 导入到连接器。

  1. 转至管理 SAML 证书 > 导入 SAP 信任证书
  2. 找到在将证书导出到连接器时保存的文件。
  3. 单击上载
  4. 重新启动连接器。

反馈