本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在任何地方使用带有IAM角色的证书
SAP Amazon 通过在 Roles Anywhere 上使用基于证书的身份验证,可以对系统进行身份验证 Amazon Identity and Access Management 。您必须在中设置证书STRUST
,并在中配置配置SDK文件/AWS1/IMG
。
先决条件
在开始设置证书之前,必须满足以下先决条件。
-
您的证书颁发机构(CA)颁发的 X.509 证书必须满足以下要求。
-
签名证书必须是 v3 证书。
-
链不得超过 5 个证书。
-
证书必须支持RSA或ECDSA算法。
-
-
将你的 CA 注册为 Roles Anywhere 作为信任锚点,然后创建一个配置文件来指定 Roles Anywhere 的IAM角色/策略。IAM有关更多信息,请参阅 R oles Anywhere 中的 Amazon Identity and Access Management 创建信任锚和个人资料。
-
IAMSAP用户的角色必须由IAM管理员创建。角色必须具有调用所需角色的权限 Amazon Web Services 服务。有关更多信息,请参阅IAM安全最佳实践。
-
创建授权以运行
/AWS1/IMG
事务。有关更多信息,请参阅针对配置的授权。
过程
按照以下说明设置基于证书的身份验证。
步骤
步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序
-
运行事务代码
SE16
来定义SSF应用程序。 -
输入
SSFAPPLIC
表名称,然后选择新建条目。 -
在归档中输入SSF应用程序的名称,在
APPLIC
归档中DESCRIPT
输入描述,然后为其余字段选择Selected (X)
选项。
步骤 2-设置SSF参数
-
运行启动
/n/AWS1/IMG
适用于 SAP ABAP 的 Amazon SDK 实施指南 (IMG)。 -
选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置。
-
运行 “设置SSF参数” IMG 活动。
-
选择 “新建条目”,然后选择在上一步中创建的SSF应用程序。选择保存。
-
将哈希算法修改为 SHA256,将加密算法修改为 AES256-CBC。将其它设置保留为默认设置,然后选择保存。
步骤 3-创建PSE和证书请求
-
运行
/n/AWS1/IMG
事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置。 -
运行
Create PSE for SSF Application
IMG活动。 -
对于
STRUST
事务选择编辑。 -
右键选择在中创建的SSF应用程序步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序,然后选择创建。保留所有其它默认设置,然后选择继续。
-
选择创建证书请求。参阅下图。保留默认选项,然后选择继续。复制或导出生成的证书请求,并将其提供给您的 CA。您的 CA 会验证请求,并使用签名的公有密钥证书进行响应。
签名过程因您的 CA 及其使用的技术而异。有关示例,请参阅使用私有证书颁发机构颁发 Amazon 私有终端实体证书。
第 4 步-将证书响应导入相关的 PSE
-
运行
/n/AWS1/IMG
事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置。 -
运行
Create PSE for SSF Application
IMG活动。 -
对于
STRUST
事务选择编辑。 -
选择SSF应用程序,然后选择主题下方PSE部分中的 “导入证书响应”。将证书响应复制并粘贴到文本框中,或者从文件系统导入文件。选择继续 > 保存。
-
通过两次选择主题即可查看证书详细信息。信息显示在证书部分中。
第 5 步 — 配置SDK配置文件以在任何地方使用IAM角色
-
运行事
/n/AWS1/IMG
务,然后选择 “适用于 SAP ABAP 的 Amazon SDK 设置” > “应用程序配置”。 -
创建一个新的SDK个人资料并命名它。
-
选择 “无处不在的IAM角色” 作为身份验证方法。
-
在左侧窗格中,选择身份验证和设置。
-
创建一个新条目,然后输入SAP系统的信息,然后 Amazon Web Services 区域。
-
选择任意IAM角色作为身份验证方法,然后选择保存。
-
选择 “输入详细信息”,然后在弹出窗口中,选择在中创建的SSF应用程序步骤 1-使用SAP的 “安全存储和转发” (SSF) 定义SSF应用程序。输入在中创建的信任锚点ARN和个人资料ARN先决条件。参阅下图。选择继续。
-
-
在左侧窗格中,选择 “IAM角色映射”。输入名称,并提供IAM管理员ARN提供的IAM角色。
有关更多信息,请参阅应用程序配置。