使用WebSphere Adapter for SAP Software V7.5在SAP系统和客户端之间配置安全网络通信(SNC)...
SAP系统包括SAP授权和通过密码进行用户身份验证的基本安全措施。 本文向您展示如何使用安全网络连接(SNC)将SAP系统安全性扩展到这些基本措施之外,以包括对更强的身份验证方法和加密的附加保护。 本文介绍了IBM®WebSphere®Adapter for SAP Software提供的连接机制,用于通过SNC与SAP建立安全连接。
先决条件
- IBM Integration Designer V7.5(以前称为IBM WebSphere Integration Developer)或IBM Business Process Manager V7.5高级版
- 适用于SAP软件V7.5的WebSphere Adapter(以下称为WebSphere SAP Adapter)
- 访问配置了IDoc / BAPI处理的SAP系统
- SAP JCo库和SAP密码库
- 对IBM Integration Designer和WebSphere SAP Adapter的基本了解。 有关这些产品的更多信息,请参见本文底部的“ 相关主题 ”。
安全网络通信(SNC)
SNC是SAP系统体系结构中的软件层,可提供与外部安全产品的接口。 使用SNC,您可以通过实施其他安全功能和保护措施来增强SAP系统的安全性。 SNC提供应用程序级别的端到端安全性,以确保可靠,一致和安全的连接。
SNC用于保护与SAP高级业务应用程序编程(ABAP)系统的远程功能调用(RFC)连接的安全。 SNC支持被实现为SAP内核和实现通用安全服务API(GSS-API)的外部安全库之间的一层。 SAP还提供了SAP加密库,您可以从SAP下载该库。
WebSphere SAP Adapter使您可以通过建立称为SNC的安全RFC连接来连接到SAP系统。 下一部分将向您展示如何使用带有IBM Integration Designer V7.5或IBM Business Process Manager V7.5 Advanced Edition的WebSphere Adapter for SAP Software建立到SAP系统的SNC。
在SAP和WebSphere SAP Adapter上配置SNC
1. SAP密码库
SAP Cryptographic Library是在SAP系统中执行加密功能的默认SAP安全产品。 它符合GSS-API V2接口的要求。 下载SAP加密库(需要SAP授权)。 SAP Cryptographic Library安装软件包包含以下文件:
- SAP加密库(
sapcrypto.dll于Microsoft®Windows®的sapcrypto.dll) - 相应的许可证票
- 配置工具
sapgenpse.exe
2. SAP高级业务应用程序编程(ABAP)系统上的SNC配置
当使用SAP Cryptographic Library for SNC时,必须为SNC配置服务器及其通信伙伴系统(安装WebSphere运行时)。 必须配置个人安全环境(PSE)-两个组件都使用它来验证和认证远程组件,以及存储公共-私有**对和公共**证书。 对于SNC,最好每个组件都有自己的单独的PSE,因为如果所有组件共享一个PSE,则攻击者可以欺骗客户端系统并连接到WebSphere服务器而不是SAP服务器,并且该客户端将无法检测到攻击。 在本文中,两个系统都使用单独的PSE。
创建和配置服务器PSE
您需要设置SAP实例配置文件参数以启用SNC并指定SNC名称。 请按照以下说明配置PSE并在SAP服务器上**SNC:
3.客户端系统上的SNC配置
在这种情况下,客户机系统包括在其上部署了WebSphere SAP Adapter的IBM Business Process Manager。 您需要执行一次设置过程,以在客户端上创建PSE以及创建和交换加***材料。 无论您是将环境配置为支持入站通信还是出站通信,此设置都是必需的。
3a。 设置环境变量
这是客户端系统上所需的配置步骤。 设置环境变量SECUDIR和LD_LIBRARY_PATH ,如下所示。 SECUDIR包含获得许可票在步骤1 LD_LIBRARY_PATH包含sapcrypto.dll和sapgenpse.exe文件。
设置环境变量
3b。 创建客户端PSE
使用sapgenpse.exe创建PSE: sapgenpse gen_pse -v -p PSE_FILE_NAME 。 系统将要求您设置PIN码(用作PSE密码)。 然后,您需要输入PSE所有者的专有名称。 进行以下指定: CN=myhost.mydomain, C=mycountry, S=mystate, O=mycompany, OU=mydepartment 。
创建客户端PSE
配置PSE并为用户创建一个名为cred_v2的凭证文件。 它允许客户端应用程序访问**存储。 该文件仅可用于当前的操作系统用户: sapgenpse seclogin -p PSE_FILE_NAME -O USERNAME 。
配置客户端PSE。
4. SAP ABAP系统与客户端之间的证书交换
SAP ABAP系统和客户端需要交换证书,以便彼此信任并安全地进行通信。
4a。 客户证书交换
使用以下命令从PSE导出客户端证书: sapgenpse export_own_cert -v -p PSE_FILE_NAME -o CLIENT_CERT_NAME 。
导出客户证书
转到SAP服务器上已配置的PSE(在这种情况下为eccdev_SD1_10 ),然后使用SAP事务代码STRUST将客户端证书导入SAP。 然后使用“导入证书”选择在上一步中导出的证书,并将其添加到证书列表中。
将客户端证书导入SAP系统
4b。 SAP系统证书交换
从服务器导出SAP证书:选择服务器证书,然后单击导出 :
导出SAP证书
使用以下命令将SAP证书导入客户端PSE: sapgenpse maintain_pk -v -a SERVER_CERT_NAME -p PSE_FILE_NAME
将SAP证书导入客户端PSE
5.在SAP上授权客户端应用程序
SNC具有访问控制列表,因此您需要为SAP系统的客户端创建一个条目,以允许RFC进行SNC连接。 在SAP上,转到事务SM30,输入VSNCSYSACL并单击维护 。 然后点击表格是跨客户信息 。 现在,您已经完成了客户端和服务器端的SNC配置。
授权客户申请
使用WebSphere SAP Adapter的SNC连接
您可以使用IBM Integration Designer配置WebSphere SAP Adapter。 运行企业服务发现向导以创建EIS导入或导出,可用于访问后端SAP系统。 有关运行此向导和配置步骤的详细信息,请参阅本文底部的“ 相关主题 ”。 企业服务发现向导在SNC相关配置的高级属性下提供了一个部分。 它提供以下属性:
- 安全网络连接(SNC)名称 -指定客户端PSE的专有名称(在上面的步骤3b中创建)。
- 安全网络连接(SNC)合作伙伴 -指定服务器PSE的专有名称(在上面的步骤2中创建)。
- 安全网络连接(SNC)安全级别 -此属性指定安全网络连接的安全级别。 加密库提供安全级别支持,并且特定的库文件可能不支持所有安全级别。 根据需要从下拉菜单中选择:
- 仅认证
- 诚信保护
- 隐私保护 ,等等
- SNC库路径 -此属性指定提供安全网络连接服务的库的路径(上述步骤1中获得的
sapcrypto.dll)。 - X509证书 -此可选属性指定将X509证书用作登录票证。 您可以使用常规用户名和密码通过SNC或X509证书(上面作为步骤3b的一部分生成并在步骤4a中以
CLIENT.crt导出到文件系统的客户端证书)连接到SAP。 您可以通过SAP系统跟踪和适配器跟踪文件来验证SNC连接状态。 有关上述属性的更多信息 。
WebSphere SAP Adapter中的SNC配置
结论
在本文中,您学习了与SAP的安全网络通信(SNC)的基础知识,以及如何使用WebSphere SAP Adapter来配置SNC连接。 本文还向您展示了如何为SNC配置SAP系统和客户端系统。
致谢
作者要感谢IBM BPM Development的Jens Engelke审阅了本文。
翻译自: https://www.ibm.com/developerworks/websphere/library/techarticles/1205_agarwal/1205_agarwal.html