Impostazione dell'autenticazione SAML

Il connettore e l'application server SAP, ABAP, comunicano mediante i servizi web SOAP. Le richieste di comunicazione sono autenticate e autorizzate utilizzando lo standard del settore SAML. Il processo di autenticazione richiede che il connettore e l'application server memorizzino il certificato attendibile ABAP SAML. Questo capitolo spiega come esportare i certificati da un application server e importarli in un altro.

Limitazione SAML sui server

I clock di sistema di Solution Manager/Service Desk e dei server Rational Connector devono rientrare in un intervallo di 90 secondi massimi di differenza in termini di UTC (Coordinated Universal Time); in caso contrario, le comunicazioni avranno esito negativo. Richiedere dei clock sincronizzati consente di evitare attacchi di tipo riproduzione di pacchetti (replay) poiché le intestazioni SAML hanno delle date/ore integrate. Per evitare questa limitazione, è possibile utilizzare le seguenti soluzioni:
  • Modificare manualmente i clock sui due sistemi in modo che rientrino in un intervallo di differenza massima di 90 secondi, adeguando al fuso orario.
  • Sui sistemi AIX, UNIX e Linux, la variabile di ambiente TZ influenza la differenza tra ora locale e UTC. Di norma è impostata sul fuso orario locale, ma con un valore di offset; ad esempio, EST+5 indica l'Eastern Standard Time (Ora solare fuso orientale), 5 ore indietro rispetto all'UTC.
  • Ancora più indicato è l'utilizzo dei server NTP (network time protocol) per sincronizzare gli orari dei due server.

Esportazione del certificato dal connettore

  1. Aggiornare il nome dell'emittente SAML (SAML Issuer Name) specificando un elemento identificabile successivamente quando si importa il certificato.
  2. Esportare il certificato attendibile del connettore.
    • Fare clic sul link per scaricare il certificato. Salvare il file.
    • Annotare l'ubicazione del file scaricato perché queste informazioni sono necessarie quando si importa il certificato in Gestore soluzioni.

Importazione del certificato in Gestore soluzioni

Per importare il certificato dal connettore:

  1. Immettere il codice transazione SAML2.
    • Accedere al browser che viene aperto.
  2. Andare alla scheda Trusted Providers e modificare la vista in modo da visualizzare: Security Token Services.
  3. Fare clic su Add > Manually.
  4. Immettere il nome emittente (Issuer Name) e fare clic su Next.
  5. Caricare il certificato per la firma e fare clic su Next.
  6. Nel passo 3 Endpoints, fare clic su Finish.
  7. Selezionare il provider che è stato appena aggiunto e fare clic su Edit-
  8. Accertarsi che per l'opzione Supported SAML Versions sia selezionato SAML 1.1.
  9. Nella scheda Identity Federation, fare clic su Supported NameID Formats e fare clic su Add.
  10. Fare clic su Unspecified e fare clic su OK.
  11. Fare clic su Salva.
  12. Fare quindi clic su Enable.
Per esportare il certificato sul connettore:
  1. Utilizzare il codice transazione STRUST.
  2. Scegliere SSF SAML2 Service Provider -S.
  3. Da Own Certificate, fare doppio clic sul certificato autofirmato.
  4. Da Certificate, fare clic su Export Certificate.
  5. Verificare che il formato del file sia binario e scegliere un percorso file. Annotare questa ubicazione perché è necessaria quando si importa il certificato sul connettore.
  6. Selezionare la casella di spunta.

Importazione del certificato da SAP al connettore

  1. Andare a Manage SAML Certificates > Import SAP Trust Certificate.
  2. Individuare il file salvato quando si è esportato il certificato sul connettore.
  3. Fare clic su Upload.
  4. Riavviare il connettore.