Коннектор и сервер приложений SAP (ABAP) взаимодействуют с помощью веб-служб SOAP. Для
идентификации и проверки прав доступа применяется стандарт SAML. Для идентификации необходимо, чтобы коннектор и сервер приложений содержали доверенный сертификат SAML ABAP.
Об этой задаче
Обмен сертификатами серверов приложений путем экспорта
и импорта.
Процедура
Избегайте ограничения SAML на серверах. Расхождение времени системных часов Solution
Manager/Service Desk и серверов Rational Connector не
должно превышать 90 секунд в контексте универсального скоординированного времени (UTC). Синхронизация
часов позволяет избежать атаки путем повтора, поскольку заголовки SAML содержат встроенное
время.
Данное ограничение можно обойти любым из следующих способов.
- Вручную измените часы в двух системах, чтобы расхождение не превышало 90 секунд.
- В системах AIX,
UNIX и Linux
переменная TZ влияет на разницу между местным временем и
UTC. Как правило, установлен местный часовой пояс со смещением; например EST+5 означает восточное
стандартное время (5 часов после UTC).
- Для синхронизации времени двух серверов используйте сервера NTP (протокол
сетевого времени).
Экспорт сертификата из коннектора
- В параметре Организация, выдавшая сертификат SAML укажите уникальное значение для настроенного коннектора, которое потребуется позднее на
этапе импорта сертификата.
Экземпляры Solution Manager могут иметь несколько подключенных к ним Rational Connector, поэтому название организации, выдавшей сертификат, должно идентифицировать конкретный коннектор.
- Экспортируйте доверенный сертификат коннектора.
- Перейдите на вкладку Создать собственный сертификат заполните все поля и выберите Отправить.
- Запишите расположение загруженного файла, поскольку оно потребуется в ходе импорта
сертификата в Solution Manager.
Совет: Рассмотрите использование вкладок Сгенерировать запрос на подписание сертификата (CSR) и Импортировать ответ на CSR для
получения от сертификатной компании подписанного сертификата SAML вместо создания собственного сертификата.
Импорт сертификата в Solution Manager
- Импортируйте сертификат из коннектора:
- Введите код транзакции SAML2 В открывшемся браузере войдите в систему.
- Перейдите на вкладку Доверенные провайдеры и выберите режим просмотра Службы ключей
защиты.
- Выберите .
- Введите Имя провайдера и нажмите кнопку Далее.
- Передайте Подписывающий сертификат
и нажмите кнопку Далее.
- На шаге 3 нажмите кнопку Готово.
- Выберите добавленный провайдер и нажмите кнопку Изменить.
- В разделе Поддерживаемые версии SAML выберите SAML 1.1.
- На вкладке Объединение идентификационных данных выберите Поддерживаемые форматы NameID и нажмите кнопку Добавить.
- Выберите Не задано и нажмите кнопку OK.
- Нажмите кнопку Сохранить, затем выберите Включить.
- Экспортируйте сертификат в коннектор:
- Укажите код транзакции STRUST.
- Выберите Провайдер службы SAML2 SSF -S.
- В поле Собственный сертификат дважды щелкните на собственном сертификате.
- В разделе Сертификат выберите Экспортировать сертификат.
- Выберите двоичный формат файла и укажите путь к файлу. Запишите это расположение, поскольку оно потребуется в ходе импорта сертификата в коннектор.
- Включите переключатель.
Импорт сертификата из SAP в коннектор
- Выберите .
- Найдите файл, сохраненный в ходе экспорта сертификата в коннектор.
- Нажмите кнопку Передать данные.
- Перезапустите коннектор.