Le connecteur et le serveur d'applications SAP, ABAP, communiquent via les services Web du protocole SOAP. Les demandes de communications sont authentifiées et autorisées en utilisant la norme de
l'industrie SAML. Le processus d'authentification impose que le connecteur et le serveur d'applications stockent le certificat accrédité ABAP SAML.
Pourquoi et quand exécuter cette tâche
Vous exportez des certificats à partir d'un serveur d'applications et les importer vers un autre.
Procédure
Evitez la restriction SAML sur les serveurs. L'écart entre les horloges système de Solution Manager/Service Desk et des serveurs Rational Connector ne doit pas excéder 90 secondes en termes de temps universel coordonné (UTC), sinon la communication peut échouer. L'exigence de synchronisation des horloges empêche les attaques par réexécution, dans la
mesure où les en-têtes SAML utilisent des horodatages intégrés.
Vous pouvez utiliser les solutions suivantes pour éviter cette restriction.
- Modifiez manuellement les horloges sur les deux systèmes de sorte que l'écart entre elles ne dépasse pas 90 secondes, en fonction du fuseau horaire.
- Sur les systèmes AIX, UNIX et Linux, la variable d'environnement TZ a une incidence sur l'écart entre l'heure locale et l'heure UTC. En général, elle est paramétrée sur le fuseau horaire local, mais avec une valeur de décalage ; par exemple, EST+5 signifie le fuseau nord-américain EST (Eastern Standard Time), soit 5 heures de moins que l'heure UTC.
- Utilisez des serveurs NTP (Network Time Protocol) pour synchroniser
les heures des deux serveurs.
Exportation d'un certificat depuis le connecteur
- Mettez à jour le nom de l'émetteur SAML pour qu'il soit unique pour le connecteur
et pour qu'il soit identifiable ultérieurement lors de l'importation du certificat.
Plusieurs connecteurs Rational Connector
peuvent être connectés aux instances Solution Manager, le nom de l'émetteur
doit donc identifier un connecteur spécifique.
- Exportez le certificat de confiance du connecteur.
- Cliquez sur l'onglet Générer un certificat autosigné,
saisissez les valeurs dans chaque zone et cliquez sur Soumettre.
- Notez l'emplacement du fichier téléchargé car cette information vous sera nécessaire
lors de l'importation du certificat dans Solution Manager.
Conseil : Envisagez d'utiliser les onglets Générer des demandes de signature
de certificat et Importer un certificat de réponse CSR
pour obtenir un certificat SAML signé par une autorité de certificat au lieu de générer
un certificat autosigné.
Importation du certificat dans Solution Manager
- Importez le certificat à partir du connecteur :
- Entrez le code de transaction SAML2. Connectez-vous au navigateur qui s'affiche.
- Affichez l'onglet Fournisseurs de confiance puis modifiez la vue pour afficher les services de jeton de sécurité.
- Cliquez sur
.
- Entrez le Nom du fournisseur et cliquez sur
Suivant.
- Chargez le Certificat signataire et cliquez sur Suivant
- Dans l'étape 3, Noeuds finaux, cliquez sur Terminer.
- Sélectionnez le fournisseur que vous venez d'ajouter, puis cliquez sur
Editer.
- Assurez-vous que SAML 1.1 est sélectionné pour les versions SAML prises en
charge.
- Dans l'onglet Fédération d'identités, cliquez sur
Formats d'ID de nom pris en charge puis sur
Ajouter.
- Cliquez sur Non spécifié, puis sur OK.
- Cliquez sur Enregistrer puis sur Activer.
- Exportez le certificat vers le connecteur :
- Utilisez le code de transaction STRUST.
- Sélectionnez Fournisseur de service SSF SAML2 - S.
- Dans Certificat propre, cliquez deux fois sur le certificat autosigné.
- Dans Certificat, cliquez sur Exporter le certificat.
- Assurez-vous que le format de fichier est binaire et sélectionnez un chemin d'accès
au fichier. Notez cet emplacement car cette information vous sera nécessaire lors de l'importation du
certificat dans le connecteur.
- Sélectionnez la case à cocher.
Importez le certificat à partir de SAP dans le connecteur.
- Accédez à .
- Localisez le fichier que vous avez enregistré lors de l'exportation du certificat
vers le connecteur.
- Cliquez sur Télécharger.
- Redémarrez le connecteur.