Настройка идентификации SAML

Коннектор и сервер приложений SAP (ABAP) взаимодействуют с помощью веб-служб SOAP. Для идентификации и проверки прав доступа применяется стандарт SAML, в рамках которого коннектор и сервер приложений должны содержать доверенный сертификат SAML ABAP. В этом разделе приведены инструкции по обмену сертификатами серверов приложений путем экспорта и импорта.

Ограничение SAML для серверов

Расхождение времени системных часов Solution Manager/Service Desk и серверов Rational Connector не должно превышать 90 секунд в контексте универсального скоординированного времени (UTC). Синхронизация часов позволяет избежать атаки путем повтора, поскольку заголовки SAML содержат встроенное время. Данное ограничение можно обойти следующими способами:
  • Вручную измените часы в двух системах, чтобы расхождение не превышало 90 секунд.
  • В системах AIX, UNIX и Linux переменная TZ влияет на разницу между местным временем и UTC. Как правило, установлен местный часовой пояс со смещением; например EST+5 означает восточное стандартное время (5 часов после UTC).
  • Рекомендуется синхронизировать время двух серверов с помощью серверов NTP (протокол сетевого времени).

Экспорт сертификата из коннектора

  1. В параметре Организация, выдавшая сертификат SAML укажите значение, которое потребуется позднее на этапе импорта сертификата.
  2. Экспортируйте доверенный сертификат коннектора.
    • Щелкните на ссылке для загрузки сертификата. Сохраните файл.
    • Запишите расположение загруженного файла, поскольку оно потребуется в ходе импорта сертификата в Solution Manager.

Импорт сертификата в Solution Manager

Для импорта сертификата коннектора выполните следующие действия:

  1. Введите код транзакции SAML2
    • В открывшемся браузере войдите в систему.
  2. Перейдите на вкладку Доверенные провайдеры и выберите режим просмотра Службы маркеров защиты.
  3. Выберите Добавить > Вручную.
  4. Введите имя организации, выдавшей сертификат, и нажмите кнопку Далее.
  5. Загрузите подписывающий сертификат и нажмите кнопку Далее.
  6. На шаге 3 нажмите кнопку Готово.
  7. Выберите добавленный провайдер и нажмите кнопку Изменить.
  8. В разделе Поддерживаемые версии SAML выберите SAML 1.1.
  9. На вкладке Объединение идентификационных данных выберите Поддерживаемые форматы NameID и нажмите кнопку Добавить.
  10. Выберите Не задано и нажмите кнопку OK.
  11. Нажмите кнопку Сохранить.
  12. Затем выберите Включить.
Для экспорта сертификата в коннектор выполните следующие действия:
  1. Укажите код транзакции STRUST
  2. Выберите Провайдер службы SAML2 SSF - S
  3. В поле Собственный сертификат дважды щелкните на собственном сертификате.
  4. В разделе Сертификат выберите Экспортировать сертификат.
  5. Выберите двоичный формат файла и укажите путь к файлу. Запишите это расположение, поскольку оно потребуется в ходе импорта сертификата в коннектор.
  6. Включите переключатель.

Для импорта сертификата из SAP в коннектор выполните следующие действия:

  1. Выберите Управление сертификатами SAML > Импортировать доверенный сертификат SAP.
  2. Найдите файл, сохраненный в ходе экспорта сертификата в коннектор.
  3. Выберите Загрузить.
  4. Перезапустите коннектор.

Комментарии