Pour activer le mode « TrustedUserPrincipal » et donc du SSO derrière un reverse proxy authentifié par exemple.
Table of Contents
Paramétrage CMC
Allez dans la CMC > Authentification > Enterprise et cochez « L’authentification sécurisée est activée ».
Enregistrement du secret partagé
Cliquez sur « Télécharger le secret partagé », fichier TrustedPrincipal.conf et le copier dans :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x86N’oubliez pas ensuite de cliquer sur « Mettre à jour » ! Afin de bien prendre en compte la nouvelle configuration.
Modification configuration Tomcat
Ensuite modifiez la configuration tomcat dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\webapps\BOE\WEB-INF\config\custom en y adaptant les fichiers suivant selon votre configuration :
global.properties
trusted.auth.user.param=remote-user
sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADERBILaunchpad.properties
authentication.default=secLDAP
authentication.visible=true
cms.default=BOREFERENTIAL:6400
cms.visible=false
OpenDocument.properties
authentication.default=secEnterprise
cms.visible=false
cms.default=BOREFERENTIAL:6400
sso.types.and.order=sapLogonToken,trustedParameter,trustedHeaderAlternatives en fonction du service pack de BOXI4
global.properties
sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADER
trusted.auth.user.param=remote-userBILaunchpad.properties
sso.types.and.order=trustedUserPrincipalModification du serveur
Dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\conf\ :
server.xml
<!-- CONFIG POUR ENTETES HTTP TROP GROS -->
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" compression="on" enableLookups="false"maxHttpHeaderSize="65536" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,text/json,application/json"/><!-- Define an AJP 1.3 Connector on port 8009 -->
<!-- CONFIG AVEC AJOUTS POUR ENTETES TROP GROS -->
<Connector URIEncoding="UTF-8" enableLookups="false" port="8009" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" packetSize="65536" connectionTimeout="600000"/>Relancer tomcat
Le plus simple est de lancer services.msc et de redémarrer le service « Apache Tomcat for BI 4 » ou en ligne de commande :
sc stop BOEXI40Tomcat
sc start BOEXI40TomcatConfiguration du reverse proxy Apache
Installation de mod_jk
apt-get install libapache2-mod-jkyum install mod_jk-ap24
workers.properties
## liste des workers (1 par application)
worker.list=boxi3,boebi
# Pour BO XI
worker.boxi3.port=8006
worker.boxi3.host=boxi3.domain.local
worker.boxi3.type=ajp13
worker.boxi3.max_packet_size=65536
worker.boxi3.connection_pool_timeout=600
# Pour BOE BI
worker.boebi.port=8009
worker.boebi.host=boxi4.domain.local
worker.boebi.type=ajp13
worker.boebi.max_packet_size=65536
worker.boebi.connection_pool_timeout=600mod_jk.conf
RewriteEngine On
RewriteRule ^/boe/bi /BOE/BI [R]
<IfModule !mod_jk.c>
LoadModule jk_module modules/mod_jk.so
</IfModule>
JkLogFile /var/log/httpd/mod_jk_boe_bi.log
JkLogLevel error
<Location /BOE/BI>
# SI PROTECTION PAR RSA CLEARTRUST
<IfModule ct_apache_mod.c>
AuthType Basic
Require valid-user
AuthName CT
</IfModule>
</Location>
JkMount /BOE boebi
JkMount /BOE/* boebi
JkMount /BOE/BI boebi
JkMount /BOE/BI/* boebiRelancer Apache
Modifier la configuration d’apache pour inclure mod_jk.conf dans /etc/httpd/conf/httpd.conf :
Include conf/boxi/*.confRedémarrer ensuite apache :
apachectl -t
apachectl graceful
