Impostazione dell'autenticazione SAML

Il connettore e l'application server SAP, ABAP, comunicano mediante i servizi web SOAP. Le richieste di comunicazione sono autenticate e autorizzate utilizzando lo standard del settore SAML. Il processo di autenticazione richiede che il connettore e l'application server memorizzino il certificato attendibile ABAP SAML.

Informazioni su questa attività

Si esportano i certificati da un application server e si importano in un altro.

Procedura

Evitare le limitazioni SAML sui server. I clock di sistema di Solution Manager/Service Desk e dei server Rational Connector devono rientrare in un intervallo di 90 secondi massimi di differenza in termini di UTC (Coordinated Universal Time); in caso contrario, le comunicazioni avranno esito negativo. Richiedere dei clock sincronizzati consente di evitare attacchi di risposta poiché le intestazioni SAML hanno delle date/ore integrate. Per evitare questa limitazione, è possibile utilizzare una delle seguenti soluzioni.

  1. Modificare manualmente i clock sui due sistemi in modo che rientrino in un intervallo di differenza massima di 90 secondi, adeguando al fuso orario.
  2. Sui sistemi AIX, UNIX e Linux, la variabile di ambiente TZ influenza la differenza tra ora locale e UTC. Di norma è impostata sul fuso orario locale, ma con un valore di offset; ad esempio, EST+5 indica l'Eastern Standard Time (Ora solare fuso orientale), 5 ore indietro rispetto all'UTC.
  3. Utilizzare i server NTP (network time protocol) per sincronizzare gli orari dei due server.

Esportare il certificato dal connettore

  1. Aggiornare il nome dell'emittente SAML (SAML Issuer Name) specificando un elemento univoco per il connettore che si sta configurando e identificabile successivamente quando si importa il certificato.

    Le istanze del Solution Manager possono avere più Rational Connector a esse collegati, quindi il nome dell'emettitore deve identificare un connettore specifico.

  2. Esportare il certificato attendibile del connettore.
    1. Fare clic sulla scheda Genera certificato autofirmato, immettere i valori per ciascun campo e fare clic su Inoltra.
    2. Annotare l'ubicazione del file scaricato perché queste informazioni sono necessarie quando si importa il certificato in Solution Manager.
    Suggerimento: prendere in considerazione l'utilizzo delle schede Genera richiesta di firma certificato e Importa certificato risposta CSR per ottenere un certificato SAML firmato dall'autorità di certificazione invece di generare un certificato autofirmato.

Importare il certificato in Solution Manager

  1. Importare il certificato dal connettore:
    1. Immettere il codice transazione SAML2. Accedere al browser che viene aperto.
    2. Andare alla scheda Trusted Providers e modificare la vista in modo da visualizzare: Security Token Services.

      Passare alla vista Security Token Services

    3. Fare clic su Add > Manually.

      Aggiunta manuale

    4. Immettere il nome del provider e fare clic su Next.
    5. Caricare il certificato di firma e fare clic su Next

      Passo 2 'Signature and Encryption'

    6. Nel passo 3 'Endpoints', fare clic su Finish.

      Passo 3 'Endpoints'

    7. Selezionare il provider che è stato appena aggiunto e fare clic su Edit.
    8. Accertarsi che per Supported SAML Versions sia selezionato SAML 1.1.

      Opzione Supported SAML Versions selezionata

    9. Nella scheda Identity Federation, fare clic su Supported NameID Formats, quindi su Add.

      Opzione Add Supported NameID Formats

    10. Fare clic su Unspecified e fare clic su OK.
    11. Fare clic su Save, quindi su Enable.
  2. Esportare il certificato nel connettore:
    1. Utilizzare il codice transazione STRUST.
    2. Selezionare SSF SAML2 Service Provider -S.

      Opzione SSF SAML2 Service Provider -S selezionata

    3. Da Own Certificate, fare doppio clic sul certificato autofirmato.

      Certificato autofirmato

    4. Da Certificate, fare clic su Export Certificate.

      Esportazione certificato

    5. Verificare che il formato del file sia binario e selezionare un percorso file. Annotare questa ubicazione perché è necessaria quando si importa il certificato nel connettore.
    6. Selezionare la casella di spunta.

Importare il certificato da SAP nel connettore.

  1. Andare a Gestisci certificati SAML > Importa certificato attendibile SAP.
  2. Individuare il file salvato quando si è esportato il certificato nel connettore.
  3. Fare clic su Carica.
  4. Riavviare il connettore.

Feedback