在SCC中,是否必须替换默认的UI证书进行主体传播?

2020-09-19 07:54发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好社区。

我通过以下步骤启用主体传播:

1。 云连接器的配置

a。 更新访问控制的主体类型

b。 与身份提供商建立信任关系

c。 导出系统证书,以便以后可以将其导入后端系统中

d。 为短期证书配置CA证书

e。 调整主题模式以进行主要传播

f。 生成示例证书以便将其导入后端。

2。 本地后端系统的配置

a。 导入Cloud Connector的系统证书以建立信任

b。 配置Internet Communication Manager(ICM),以确保与外界的通信。

c。 设置视图VUSREXTID。

3。 SAP Cloud Platform中目标的更新

a。 将目标的身份验证类型更改为"主体传播"

我的问题是Cloud Conector中的配置的第3点是强制性的,请替换默认的UI证书进行主体传播。

默认情况下,我使用UI证书,并且在ECC中验证证书时遇到问题。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好社区。

我通过以下步骤启用主体传播:

1。 云连接器的配置

a。 更新访问控制的主体类型

b。 与身份提供商建立信任关系

c。 导出系统证书,以便以后可以将其导入后端系统中

d。 为短期证书配置CA证书

e。 调整主题模式以进行主要传播

f。 生成示例证书以便将其导入后端。

2。 本地后端系统的配置

a。 导入Cloud Connector的系统证书以建立信任

b。 配置Internet Communication Manager(ICM),以确保与外界的通信。

c。 设置视图VUSREXTID。

3。 SAP Cloud Platform中目标的更新

a。 将目标的身份验证类型更改为"主体传播"

我的问题是Cloud Conector中的配置的第3点是强制性的,请替换默认的UI证书进行主体传播。

默认情况下,我使用UI证书,并且在ECC中验证证书时遇到问题。

付费偷看设置
发送
5条回答
吹牛啤
1楼 · 2020-09-19 08:29.采纳回答

你好耶兰

看看此博客文章: https://blogs.sap.com/2017/06/22/how-to-guide-principal-propagation-in-an-https-scenario /

您可以使用自签名证书作为系统证书,并根据需要重复使用与UI证书相同的证书。

对于主体传播,使用的证书将是CA证书,并且您需要确保启用SCC与后端系统之间的信任(如博客文章中所述)。

由于您的系统没有CERTRULE事务,因此您需要执行手动映射,因此可以使用EXTID_DN事务将条目添加到VUSREXTID。


让我知道你的进步。

奥古斯托(Augusto)

悠然的二货
2楼-- · 2020-09-19 08:46

奥古斯托(Hi Augusto)。

我们根据您向我指示的博客进行了调整,并且效果很好。

非常感谢。

callcenter油条
3楼-- · 2020-09-19 08:42

UI证书对"主体传播"设置没有影响。 但是您应该用与Cloud Connector的FQDN匹配的有效证书替换它,以避免浏览器警告。

在您的说明的第2步中我缺少的是需要设置为信任系统证书的配置文件参数。 我建议您使用基于规则的证书映射,而不是使用VUSREXTID

当学会了学习
4楼-- · 2020-09-19 08:40

格雷戈尔感谢您的回答。 我理解您的意思,但是如果我没有验证证书,如何在系统证书中重用UI证书,这可能是我的问题,对于这个问题。

在基于规则的证书映射步骤中,我无法使用它,因为后端版本不可用。

谢谢

黑丝骑士
5楼-- · 2020-09-19 08:22

如果您的版本不允许基于规则的映射,则无需执行云连接器配置的步骤e和f。 这将完全没有影响,也不需要生成短期证书,只需确保您没有将其加载到STRUST中即可,因为这不是必需的。

我实际上已经开始首先对UI证书进行签名,然后将该证书用作系统证书-然后将其加载到后端系统中。 在最近的安装中,这对我来说效果很好。 您必须确保ICM参数与系统证书颁发者完全匹配-甚至额外的空格也可能导致证书不受信任。 我在此表中总结的ICM参数。 正如 Gregor Wolf 所述,基于规则的证书映射是理想的选择,但是我始终确保外部ID映射(事务EXTID_DN)能够成功运行 在执行此步骤之前,正如您所说,您只能在更高版本的SAP ERP上使用基于规则的证书映射。

另一个重要步骤是确保CA证书具有正确的属性。 它需要包含KeyCertsign属性。

最后,只需确保您要在Cloud Connector中执行主体传播设置的同步。 您需要同步使用的AD,并且还需要同步其他服务(调度程序)(如果您使用的是OData供应等),因此也请进行此检查。

谢谢

菲尔·库利

一周热门 更多>