Доступ к системе SAP. Часть 2.

В первой части я описывал способы организации доступа пользователей к системе SAP. Во второй части опишу способы активации протокола HTTPS — SAP Web Dispatcher и nginx.

SAP Web Dispatcher – это один из способов переключения на протокол HTTPS с централизованным хранением SSL-сертификата.

В этом случае подключение выполняется по следующей схеме:

SAP Web Dispatcher работает на сервере sap. Система SAP ERP PRD (PRD) работает на сервере sapprd, SAP CRM PRD (CRP) на сервере sapcrm, Solution Manager (SMP) на сервере sapsm.

Данная схема позволит реализовать вариант, когда пользователь открывает ссылку https://sap:44301/fiori и попадает на сервер sapprd. Ссылка https://sap:44310/crm позволит работать с сервером sapcrm, а ссылка https://sap:44320/crm позволит работать с sapsm.

Для такой настройки в SAP Web Dispatcher нужны следующие настройки:

В разделе Backend System указываем имя хоста, на котором работает Message Server системы и номер порта (его значение определением параметра ms/server_port_0 можно узнать в профиле системы SAP). Кроме того, имеется возможность сразу указать номер манданта для регистрации пользователя. Это актуально в случае работы на сервере разработок, когда параметр системы login/system_client указывает на мандант с настроек (действует на SAP Logon), а браузером надо заходить в тестовый мандант (в окне входа в Fiori нет возможности указать мандант для входа).

Конечно для активации HTTPS нужна библиотека SAP Crypto и сертификат в файле sec/SAPSSLS.pse.

NGINX – обратный прокси сервер.

Отличительной возможностью использования nginx является возможность применения с другим веб-сервером (например Apache). Кроме того появляется возможность использовать бесплатные SSL-сертификат от Let’s Encrypt.

Для реализации такого сценария необходимо следующее:

На внешнем DNS-сервере создать отдельные А-записи для серверов sapprd, sapcrm, sapsm и site на белый IP-адрес. На внутреннем DNS-сервере соответственно указывается адрес 192.168.1.1

В настройках nginx создаем отдельные файлы для каждого сервера в каталоге sites-available с соответствующей ссылкой в sites-enabled следующего вида

Создать SSL-сертификат и автоматизировать его обновление (для этого нужен раздел /.well-known/acme-challenge/) и каталог /srv/www/sapprd/)

Аналогичные настройки нужны для каждого сервера.

В этом случае пользователь может открыть ссылку http://sapprd.office.kz. Его перенаправит на https://sapprd.office.kz/fiori, где откроется окно авторизации. При необходимости также можно указать номер клиента (https://$server_name/fiori?sap-client=300;)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *