本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 IAM Roles Anywhere 使用憑證
SAP 系統可以在 上使用以憑證為基礎的身分驗證搭配 AWS Identity and Access Management Roles Anywhere AWS 進行身分驗證。您必須在 中設定憑證`STRUST`,並在 中設定 SDK 設定檔`/AWS1/IMG`。
## 先決條件
在開始設定認證之前,必須符合下列先決條件。
+ 您的憑證授權單位 (CA) 發行的 X.509 憑證必須符合下列要求。
+ 簽署憑證必須是 v3 憑證。
+ 鏈不能超過 5 個憑證。
+ 憑證必須支援 RSA 或 ECDSA 演算法。
+ 向 IAM Roles Anywhere 註冊您的 CA 作為信任錨點,並建立設定檔以指定 IAM Roles Anywhere 的角色/政策。如需詳細資訊,請參閱在 [AWS Identity and Access Management Roles Anywhere 中建立信任錨點和設定檔](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)。
+ SAP 使用者的 IAM 角色必須由 IAM 管理員建立。角色必須具有呼叫所需 的許可 AWS 服務。如需詳細資訊,請參閱 [IAM 安全的最佳實務](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/best-practices.html)。
+ 建立執行`/AWS1/IMG`交易的授權。如需詳細資訊,請參閱[組態的授權](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/authorizations.html#configuration-authorizations)。
## 程序
請遵循這些指示來設定憑證型身分驗證。
**Topics**
+ [步驟 1 – 使用 SAP 的安全存放區和轉送 (SSF) 定義 SSF 應用程式](#step1)
+ [步驟 2 – 設定 SSF 參數](#step2)
+ [步驟 3 – 建立 PSE 和憑證請求](#step3)
+ [步驟 4 – 將憑證回應匯入相關 PSE](#step4)
+ [步驟 5 – 設定 SDK 描述檔以使用 IAM Roles Anywhere](#step5)
### 步驟 1 – 使用 SAP 的安全存放區和轉送 (SSF) 定義 SSF 應用程式
1. 執行交易程式碼`SE16`來定義 SSF 應用程式。
1. 輸入`SSFAPPLIC`資料表名稱,然後選取**新增項目**。
1. 在 `APPLIC` 檔案中輸入 SSF 應用程式的名稱、在 `DESCRIPT` 檔案中輸入描述,並為其餘欄位選取`Selected (X)`選項。
### 步驟 2 – 設定 SSF 參數
1. 執行 `/n/AWS1/IMG`以啟動 適用於 SAP ABAP 的 AWS SDK 實作指南 (IMG)。
1. 選取**適用於 SAP ABAP 的 AWS SDK 設定** > **技術先決條件** > **現場部署系統的其他設定**。
1. 執行**設定 SSF 參數** IMG 活動。
1. 選取**新增項目**,然後選擇在上一個步驟中建立的 SSF 應用程式。選取**儲存**。
1. 將雜湊演算法修改為 **SHA256**,並將加密演算法修改為 **AES256-CBC**。將其他設定保留為預設值,然後選取**儲存**。
### 步驟 3 – 建立 PSE 和憑證請求
1. 執行`/n/AWS1/IMG`交易,然後選取**適用於 SAP ABAP 的 AWS SDK 設定** > **技術先決條件** > **現場部署系統的其他設定**。
1. 執行 `Create PSE for SSF Application` IMG 活動。
1. 選取`STRUST`交易的**編輯**。
1. 以滑鼠右鍵選取在 中建立的 SSF 應用程式[步驟 1 – 使用 SAP 的安全存放區和轉送 (SSF) 定義 SSF 應用程式](#step1),然後選擇**建立**。保留所有其他預設設定,然後選取**繼續**。
1. 選取**建立憑證請求**。請參閱下圖。保留預設選項,然後選取**繼續**。複製或匯出產生的憑證請求,並將其提供給您的 CA。您的 CA 驗證請求,並以簽章的公有金鑰憑證回應。
簽署程序會根據您的 CA 及其使用的技術而有所不同。如需範例,請參閱使用[私有憑證授權機構發行私有終端實體](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html)憑證。 AWS
### 步驟 4 – 將憑證回應匯入相關 PSE
1. 執行`/n/AWS1/IMG`交易,然後選取**適用於 SAP ABAP 的 AWS SDK 設定** > **技術先決條件** > **現場部署系統的其他設定**。
1. 執行 `Create PSE for SSF Application` IMG 活動。
1. 選取`STRUST`交易的**編輯**。
1. 選擇 SSF 應用程式,然後選取位於主旨下方 PSE 區段中的**匯入憑證回應**。將憑證回應複製並貼到文字方塊中,或從檔案系統匯入檔案。選取**繼續** > **儲存**。
1. 選取主旨兩次,即可檢視憑證詳細資訊。資訊會顯示在憑證區段中。
### 步驟 5 – 設定 SDK 描述檔以使用 IAM Roles Anywhere
1. 執行`/n/AWS1/IMG`交易,然後選取**適用於 SAP ABAP 的 AWS SDK 設定** > **應用程式組態**。
1. 建立新的 SDK 設定檔,並將其命名為 。
1. 選擇 IAM Roles Anywhere 作為身分驗證方法。
+ 在左側窗格中,選取**身分驗證和設定**。
+ 建立新的項目,並輸入 SAP 系統的資訊,以及 AWS 區域。
+ 針對身分驗證方法選取 **IAM Roles Anywhere**,然後選取**儲存**。
+ 選取**輸入詳細資訊**,然後在快顯視窗中選擇在 中建立的 SSF 應用程式[步驟 1 – 使用 SAP 的安全存放區和轉送 (SSF) 定義 SSF 應用程式](#step1)。輸入在 中建立的**信任錨點 ARN** 和**設定檔 ARN**[先決條件](#using-iam-prerequisites)。請參閱下圖。選取**繼續**。
1. 在左側窗格中,選取 **IAM 角色映射**。輸入名稱,並提供 IAM 管理員提供的 IAM 角色 ARN。
如需詳細資訊,請參閱[應用程式組態](https://docs.aws.amazon.com/sdk-for-sapabap/latest/developer-guide/application-configuration.html)。