Guida alla configurazione di SAML

Cos SAML
SAML (acronimo di Security Assertion Markup Language) un metodo sicuro di autenticazione basato su XML che permette lo scambio sicuro di informazioni nella comunicazione, oltre che luso del Single Sign On. SAML un servizio del J2EE engine. SAML richiede che la trasmissione dei dati sia sicura a livello trasporto e perci consiglia luso di SSL. Esistono 3 entit che partecipano in una autenticazione SAML: - il sito sorgente che richiede lautenticazione, - la SAML Authority, che convalida le credenziali del richiedente, - il sito destinazione che in base alle credenziali passate, autentica o meno il richiedente. La figura 1 mostra come avviene lautenticazione tramite SAML e lo scambio di informazioni tra le 3 entit. - Il sito che autentica lutente diventa il sito che stabilisce la comunicazione SAML. Il sito sorgente fornisce il sito destinazione di un artefatto (che una dichiarazione di validit dellautenticazione dellutente). - Il sito sorgente fornisce anche un responder che la SAML authorty che dichiara la veridicit delle informazioni dellutente. - La destinazione provvede al controllo dellartefatto tramite il SAML Login Module.

Figura 1: SAML Authentication

Requisiti
Come prima cosa bisogna controllare che il servizio SAML sia attivo. Per attivare il servizio necessario avere laccesso a Visual Administrator. Lutente che solitamente viene usato per laccesso a Visual Administrator J2EE_Engine. Visual Administrator raggiungibile tramite il seguente path: $drive$:\usr\sap\<SID>\<Central Instance Name>\j2ee\admin\go.bat

Figura 2: SAML Service

Tasto destro sul servizio e scegliere Start.

Configurazione dei parametri SAML Configuration Adapter

La configurazione dei parametri di SAML si trova sempre in Configuration Adapter, SAML, Configuration Nodes. Selezionare PartnersInbound e scegliere il simbolo per creare un nuovo nodo sotto quello esistente. Nella finestra che si apre, scegliere un nome per il nuovo nodo. I parametri che si trovano in PartnersInbound sono i parametri che verranno usati dal sito sorgente per lautenticazione. Sono - Active: dice che il sito accetta le richieste di autenticazione - DestinationName: lurl di destinazione - ParameterTargetName: nome del parametro usato per indicare lurl di destinazione quando si usa lartefatto - SourceID: sequenza di 20 byte fornita dal sito sorgente Nel nodo Settings, si inseriscono il nome dellartefatto e la possibilit di usare connessioni non sicure.

Figura 3:Inbound parameters

Persistent User Data da il riepilogo dei dati inseriti.

Figura 4:Persistent user data

E anche possibile fare in modo che il servizio SAML parta automaticamente quanto parte il J2EE_Engine. Per fare ci necessario scegliere il servizio Configuration Adapter, (spostarsi quindi nella finestra a fianco) Configurations, cluster_data, server, cfg, PropertySheet tc~sec~saml~serviceruntime:

Figura 5: Auto Start-up

Scegliere a questo punto il simbolo per Show detail for the selected node, si apre una finestra Change configuration, Change property entry e mettere always nel campo custom. Il cambiamento richiede il riavvio del server J2EE.

Esempio SAML Parameters PartnersInbound MyPartner Active=true DestinationName=MyPartnerDest SourceID=Hex: FB6E8396EFD983CDBA6AEC1DF95AD2C5E0C3F4AF PartnersOutbound Settings ParameterNameArtifact=SAMLart PermitInsecureConnections=false

Security Provider
Bisogna aggiustare anche lo stack di login. Per fare ci si va nel servizio Security Provider, Policy Configuration, selezionare la tabella Authentication. Devono essere presenti i moduli di login per SAML: SAMLLoginModule e SAMLMappingModule. Il SAMLMappingModule non tra i moduli di autenticazione selezionabili, ma bisogna crearlo. Per farlo spostarsi nella scheda User Managment, Manage Security Store (in basso a destra), in User Store selezionare UME User Store, Add Login Module e inserire la classe che implementa la maniera di autenticazione richiesta.

Figura 6: Adding new login module

Destinations
In Destination si inserisce lurl della SAML authority, ossia il modulo che dichiara veritiera lautenticazione. Bisogna fornire un nome per lauthority e il metodo di autenticazione, user e pwd.

Figura 7: Destination Configuration

Esempio HTTP destination MyPartnerDest

Name: MyPartnerDest URL: https://mypartner.company.com:1080/saml_source/responder Authentication: BASIC Username: myuser Password: mypassword

Oltre ai servizi citati necessario che i SAPuser J2EE_admin (amministratore del server J2EE) e SAPJSF (utente adibito alle comunicazioni) abbiano entrambi il ruolo SAP_BC_JSF_COMMUNICATION.