本博客描述了如何使用客户端证书设置安全的入站通信,它描述了可用的不同配置选项,并逐步描述了需要在何处配置的内容。
集成项目中的一个典型任务是将远程系统连接到SAP云集成租户。在进入入站通信的详细配置之前,让我们先简要了解一下基础知识。
安全系统配置的基础知识
远程系统可以充当消息的发送者或接收者。根据设置的通信方向,设置和详细配置过程有所不同:远程系统是应该向集成平台发送消息,还是反过来发送消息。
有关不同身份验证和授权选项的更多详细信息,请参阅SAP云集成文档,部分"连接客户系统到云集成"。
这个博客关注入站通信。出站通信配置在博客"How to Setup Secure Outbound HTTP Connection using Keystore Monitor"(如何使用密钥库监视器设置安全的出站HTTP连接)中进行了描述。
对于针对云集成租户的基于HTTPS的通信,无需维护集成租户中的密钥库。发送方系统和负载平衡器需要获得如下所述配置的证书和密钥。在集成租户中,仅在证书到用户映射或直接在集成流中维护客户端基于证书的授权的证书。
发送方系统中的配置
对于通过HTTPS的安全入站通信,发送方系统必须信任负载平衡器,为此,它必须在其信任存储中具有负载平衡器的根证书。
获取负载平衡根证书的最简单方法是在云集成租户中使用连接性测试。连接测试可在Web的"操作"视图中的"管理安全资料"部分中找到。从Overview页选择Connectivity Tests磁贴将打开提供不同协议测试的测试工具。要通过负载平衡器连接到云集成租户以获取根证书,请选择TLS选项。在主机字段中输入运行时节点的URL(要从发送方后端调用的URL)。运行时节点的主机名的格式为:-iflmap.。hana.ondemand.com:
执行连接测试。如果出现错误,您可能必须取消选中"验证服务器证书"选项。响应屏幕提供来自负载平衡器的证书列表,因为负载平衡器终止了SSL/TLS连接。您可以使用下载选项下载证书。A证书.zip文件是在本地下载目录中创建的,其中包含所有证书。从*zip文件中选择根证书的*.cer文件,并将其导入到发送方系统的信任存储中。
此外,如果要使用客户端证书身份验证,发送方系统密钥库需要包含一个由负载平衡器支持的CA之一签名的密钥对。
注意,只有根证书被导入到SAP负载平衡器的密钥库中!因此,作为客户,您必须始终将整个证书链分配给证书,以使连接的组件能够评估信任链。
有关支持的CA的更多信息:SAP支持的负载平衡器根证书。
云集成租户中的配置
用于使用客户端的安全入站通信证书,在云集成租户中,只需要配置客户端基于证书的授权检查所需的证书。通常有两种配置选项:
基于角色的授权在集成流程中直接维护证书
注意:由于安全方面的原因,SAP不建议使用基本身份验证,有关详细信息,请参阅文档章节"基本身份验证"。
建议的配置是在集成流发送方通道中使用用户角色作为授权选项,并在证书到用户映射监视器中导入客户端证书。
在集成流发送方通道中配置授权选项流动。对于支持基于客户端证书的授权的适配器,您可以在Connection选项卡中找到authorization configuration选项。如果选择了用户角色,则显示要检查的角色的附加输入字段。
SAP提供的默认角色为ESBMessaging.send发送,如果不需要其他特定于集成流的授权检查,则可以使用此角色。如果只允许特定的证书/用户向该集成流发送消息,您可以在该字段中输入自己的角色,并在云平台角色管理中创建角色,如博客中的进一步描述。
2018年5月13日更新云平台角色管理中创建的用户角色可作为帮助功能使用用户角色字段的选择按钮。
授权
要在WebUI中配置和部署集成流,啥叫大数据,您的用户需要组角色AuthGroup.IntegrationDeveloper或单一角色WebToolingWorkspace.阅读,WebTooling.IntegrationFlowConfigure集成流程配置, GenerationAndBuild.generationandbuildcontent和节点管理器.deploycontent.
用于向集成流发送消息的客户端证书必须在证书到用户映射监视器中配置。监视器在"管理安全性"部分的"操作"视图中可用。
在监视器中,为客户端证书分配了用户名。要设置基于客户端证书的通信,请通过监视器顶部的"添加"按钮上载客户端证书并分配用户名。用户名不需要以SAP社区网络(SCN)用户的身份存在于SAP身份提供程序中。
请注意,2019年5月12日更新时,过期的客户端证书以红色突出显示,以便在监视器中容易发现。
要在客户端证书过期之前获得警报,请通过博客发布客户端自动通知证书即将过期。
授权
要配置证书到用户的映射,您的用户需要组角色身份验证组管理员或单个角色整数操作服务器读取, NodeManager.DeploySecurity内容和NodeManager.read文件.
在证书到用户映射中创建的用户必须分配给发送方通道中配置的用户角色,云服务器网址,以允许向集成流发送消息。这将在SAP Cloud Platform Cockpit中完成。
