将证书与 IAM Roles Anywhere 结合使用 - Amazon 适用于 SAP 的 SDK ABA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将证书与 IAM Roles Anywhere 结合使用

Amazon 通过使用基于证书的身份验证和 Roles Anywhere,可以在 SAP 系统上进行身份验证 Amazon Identity and Access Management 。您必须在 STRUST 中设置证书,并在 /AWS1/IMG 中配置 SDK 配置文件。

先决条件

在开始设置证书之前,必须满足以下先决条件。

  • 您的证书颁发机构(CA)颁发的 X.509 证书必须满足以下要求。

    • 签名证书必须是 v3 证书。

    • 链不得超过 5 个证书。

    • 证书必须支持 RSA 或 ECDSA 算法。

  • 在 IAM Roles Anywhere 中将您的 CA 注册为信任锚点,然后创建一个配置文件来指定 IAM Roles Anywhere 的角色/策略。有关更多信息,请参阅 R oles Anywhere 中的 Amazon Identity and Access Management 创建信任锚和个人资料

  • SAP 用户的 IAM 角色必须由 IAM 管理员创建。角色必须具有调用所需角色的权限 Amazon Web Services。有关更多信息,请参阅 IAM 安全最佳实践

  • 创建授权以运行 /AWS1/IMG 事务。有关更多信息,请参阅针对配置的授权

过程

按照以下说明设置基于证书的身份验证。

步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序

  1. 运行事务代码 SE16 来定义 SSF 应用程序。

  2. 输入 SSFAPPLIC 表名称,然后选择新建条目

  3. APPLIC 字段中输入 SSF 应用程序的名称,在 DESCRIPT 字段中输入描述,并为其余字段选择 Selected (X) 选项。

步骤 2 – 设置 SSF 参数

  1. 运行启动/n/AWS1/IMG 适用于 SAP ABAP 的 Amazon SDK 实施指南 (IMG)。

  2. 选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  3. 运行设置 SSF 参数 IMG 活动。

  4. 选择新建条目,然后选择在上一步中创建的 SSF 应用程序。选择保存

  5. 将哈希算法修改为 SHA256,并将加密算法修改为 AES256-CBC。将其它设置保留为默认设置,然后选择保存

步骤 3 - 创建 PSE 和证书请求

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行 Create PSE for SSF Application IMG 活动。

  3. 对于 STRUST 事务选择编辑

  4. 右键选择在步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序 中创建的 SSF 应用程序,然后选择创建。保留所有其它默认设置,然后选择继续

  5. 选择创建证书请求。参阅下图。保留默认选项,然后选择继续。复制或导出生成的证书请求,并将其提供给您的 CA。您的 CA 会验证请求,并使用签名的公有密钥证书进行响应。

    “为 SSF Amazon IAM 角色创建证书请求 Anywhere 签名证书” 的图标。

    签名过程因您的 CA 及其使用的技术而异。有关示例,请参阅使用私有证书颁发机构颁发 Amazon 私有终端实体证书。

步骤 4 - 将证书响应导入到相关的 PSE

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 适用于本地系统的其它设置

  2. 运行 Create PSE for SSF Application IMG 活动。

  3. 对于 STRUST 事务选择编辑

  4. 选择 SSF 应用程序,然后选择位于主题下方 PSE 部分中的导入证书响应。将证书响应复制并粘贴到文本框中,或者从文件系统导入文件。选择继续 > 保存

  5. 通过两次选择主题即可查看证书详细信息。信息显示在证书部分中。

步骤 5 – 配置 SDK 配置文件以使用 IAM Roles Anywhere

  1. 运行 /n/AWS1/IMG 事务,然后选择 适用于 SAP ABAP 的 Amazon SDK 设置 > 技术先决条件 > 应用程序配置

  2. 创建新的 SDK 配置文件并对其命名。

  3. 选择 IAM Roles Anywhere 作为身份验证方法。

    • 在左侧窗格中,选择身份验证和设置

    • 创建一个新条目,然后输入 SAP 系统的信息以及 Amazon Web Services 区域。

    • 对于身份验证方法选择 IAM Roles Anywhere,然后选择保存

    • 选择输入详细信息,然后在弹出窗口中,选择在步骤 1 – 使用 SAP 的安全存储和转发(SSF)定义 SSF 应用程序 中创建的 SSF 应用程序。输入在先决条件中创建的信任锚点 ARN配置文件 ARN。参阅下图。选择继续

      信任锚和个人资料的 Amazon 资源名称 (ARN) 示例。
  4. 在左侧窗格中,选择 IAM 角色映射。输入名称,并提供 IAM 管理员提供的 IAM 角色的 ARN。

有关更多信息,请参阅应用程序配置