SAML-Authentifizierung konfigurieren

Der Connector und der SAP-Anwendungsserver (ABAP) kommunizieren über SOAP-Web-Services. Die Kommunikationsanforderungen werden mithilfe des SAML-Industriestandards authentifiziert und autorisiert. Für den Authentifizierungsprozess ist es erforderlich, dass das ABAP-SAML-Trustzertifikat vom Connector und vom Anwendungsserver gespeichert wird.

Informationen zu diesem Vorgang

Sie exportieren Zertifikate aus einem Anwendungsserver und importieren sie in einen anderen Anwendungsserver.

Vorgehensweise

Verhindern Sie SAML-Einschränkungen auf Servern. Die Systemuhren der Server von Solution Manager/Service Desk und Rational Connector dürfen sich nicht mehr als 90 Sekunden in Bezug auf UTC (UTC - koordinierte Weltzeit) voneinander unterscheiden. Andernfalls schlägt die Kommunikation möglicherweise fehl. Mit der Anforderung der synchronisierten Uhren werden Attacken durch Nachrichtenaufzeichnung und -wiederholung verhindert, da SAML-Header eingebettete Zeitmarken verwenden. Jede der folgenden Lösungen kann dabei helfen, diese Einschränkung zu umgehen.

  1. Ändern Sie manuell die Uhren auf den beiden Systemen so, dass sie sich nicht mehr als 90 Sekunden in Anpassung an die Zeitzone voneinander unterscheiden.
  2. Auf AIX-, UNIX- und Linux-Systemen wirkt sich die TZ-Umgebungsvariable auf den Unterschied zwischen der lokalen Zeit und UTC aus. Üblicherweise ist sie auf die lokale Zeitzone festgelegt, jedoch mit Offsetwert. Beispielsweise entspricht "EST+5" der Eastern Standard Time (5 Stunden nach UTC).
  3. Verwenden Sie NTP-Server (NTP - Network Time Protocol), um die Uhrzeiten der beiden Server zu synchronisieren.

Exportieren Sie das Zertifikat aus dem Connector.

  1. Aktualisieren Sie den Namen des SAML-Ausstellers. Verwenden Sie dabei einen Namen, der für den konfigurierten Connector eindeutig und beim späteren Importieren des Zertifikats einfach zu erkennen ist.

    Mit Solution Manager-Instanzen können mehrere Rational Connectors verbunden sein, sodass der Ausstellername einen bestimmten Connector angeben muss.

  2. Exportieren Sie das Trustzertifikat des Connectors.
    1. Klicken Sie auf die Registerkarte Selbst signiertes Zertifikat erstellen, geben Sie Werte für die einzelnen Felder ein und klicken Sie auf Senden.
    2. Notieren Sie sich die Speicherposition der heruntergeladenen Datei, da Sie diese Informationen beim Importieren des Zertifikats in Solution Manager benötigen.
    Tipp: Erwägen Sie die Verwendung der Registerkarten Anforderung zur Zertifikatssignierung erstellen und CSR-Antwortzertifikat importieren, um ein von einer Zertifizierungsstelle signiertes SAML-Zertifikat zu erhalten, statt ein selbst signiertes Zertifikat zu erstellen.

Importieren Sie das Zertifikat in Solution Manager.

  1. Importieren Sie das Zertifikat aus dem Connector:
    1. Geben Sie den Transaktionscode "SAML2" ein. Melden Sie sich beim Browser an, der geöffnet wird.
    2. Rufen Sie die Registerkarte "Vertrauenswürdige Provider" auf und ändern Sie die Ansicht so, dass die Sicherheitstokenservices angezeigt werden.

      Ansicht für Sicherheitstokenservices ändern

    3. Klicken Sie auf Hinzufügen > Manuell.

      Manuell hinzufügen

    4. Geben Sie einen Providernamen ein und klicken Sie auf Weiter.
    5. Laden Sie das Signaturzertifikat hoch und klicken Sie auf Weiter.

      Schritt 2: Signatur und Verschlüsselung

    6. Klicken Sie bei Schritt 3 ("Endpunkte") auf Fertigstellen.

      Schritt 3: Endpunkte

    7. Wählen Sie den Provider aus, den Sie gerade hinzugefügt haben, und klicken Sie auf Bearbeiten.
    8. Stellen Sie sicher, dass unter Unterstützte SAML-Versionen SAML 1.1 ausgewählt wurde.

      'Unterstützte SAML-Versionen' ausgewählt

    9. Klicken Sie auf der Registerkarte Identitätseinbindung auf Unterstützte NameID-Formate und dann auf Hinzufügen.

      Unterstützte NameID-Formate hinzufügen

    10. Klicken Sie auf Nicht angegeben und anschließend auf OK.
    11. Klicken Sie auf Speichern. Klicken Sie danach auf die Option zum Aktivieren.
  2. Exportieren Sie das Zertifikat an den Connector:
    1. Verwenden Sie den Transaktionscode STRUST.
    2. Wählen Sie SSF-SAML2-Service-Provider - S aus.

      'SSF-SAML2-Service-Provider - S' ausgewählt

    3. Doppelklicken Sie unter Eigenes Zertifikat auf das selbst signierte Zertifikat.

      Selbst signiertes Zertifikat

    4. Klicken Sie unter "Zertifikat" auf Zertifikat exportieren.

      Zertifikat exportieren

    5. Stellen Sie sicher, dass als Dateiformat "Binär" ausgewählt ist und wählen Sie einen Dateipfad aus. Notieren Sie sich die Speicherposition, da Sie diese beim Importieren des Zertifikats in den Connector benötigen.
    6. Aktivieren Sie das Kontrollkästchen.

Importieren Sie das Zertifikat von SAP in den Connector.

  1. Rufen Sie SAML-Zertifikate verwalten > SAP-Trustzertifikat importieren auf.
  2. Suchen Sie die Datei, die Sie beim Exportieren des Zertifikats in den Connector gespeichert haben.
  3. Klicken Sie auf Hochladen.
  4. Starten Sie den Connector erneut.

Feedback