BOXI4 – configuration du SSO

Pour activer le mode "TrustedUserPrincipal" et donc du SSO derrière un reverse proxy authentifié par exemple.

Pour activer le mode « TrustedUserPrincipal » et donc du SSO derrière un reverse proxy authentifié par exemple.

Paramétrage CMC

Allez dans la CMC > Authentification > Enterprise et cochez « L’authentification sécurisée est activée ».

Enregistrement du secret partagé

Cliquez sur « Télécharger le secret partagé », fichier TrustedPrincipal.conf et le copier dans :

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x86

N’oubliez pas ensuite de cliquer sur « Mettre à jour » ! Afin de bien prendre en compte la nouvelle configuration.

Modification configuration Tomcat

Ensuite modifiez la configuration tomcat dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\webapps\BOE\WEB-INF\config\custom en y adaptant les fichiers suivant selon votre configuration :

global.properties

trusted.auth.user.param=remote-user
sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADER

BILaunchpad.properties

authentication.default=secLDAP
authentication.visible=true
cms.default=BOREFERENTIAL:6400
cms.visible=false

OpenDocument.properties

authentication.default=secEnterprise
cms.visible=false
cms.default=BOREFERENTIAL:6400
sso.types.and.order=sapLogonToken,trustedParameter,trustedHeader

Alternatives en fonction du service pack de BOXI4

global.properties

sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADER
trusted.auth.user.param=remote-user

BILaunchpad.properties

sso.types.and.order=trustedUserPrincipal

Modification du serveur

Dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\conf\ :

server.xml

<!-- CONFIG POUR ENTETES HTTP TROP GROS -->
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" compression="on" enableLookups="false"maxHttpHeaderSize="65536" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,text/json,application/json"/>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<!-- CONFIG AVEC AJOUTS POUR ENTETES TROP GROS -->    
<Connector URIEncoding="UTF-8" enableLookups="false" port="8009" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" packetSize="65536" connectionTimeout="600000"/>

Relancer tomcat

Le plus simple est de lancer services.msc et de redémarrer le service « Apache Tomcat for BI 4 » ou en ligne de commande :

sc stop BOEXI40Tomcat
sc start BOEXI40Tomcat

Configuration du reverse proxy Apache

Installation de mod_jk

apt-get install libapache2-mod-jk
yum install mod_jk-ap24

workers.properties

## liste des workers (1 par application)
worker.list=boxi3,boebi

# Pour BO XI
worker.boxi3.port=8006
worker.boxi3.host=boxi3.domain.local
worker.boxi3.type=ajp13
worker.boxi3.max_packet_size=65536
worker.boxi3.connection_pool_timeout=600

# Pour BOE BI
worker.boebi.port=8009
worker.boebi.host=boxi4.domain.local
worker.boebi.type=ajp13
worker.boebi.max_packet_size=65536
worker.boebi.connection_pool_timeout=600

mod_jk.conf

RewriteEngine On 
RewriteRule ^/boe/bi /BOE/BI [R] 
<IfModule !mod_jk.c> 
LoadModule jk_module modules/mod_jk.so 
</IfModule> 

JkLogFile /var/log/httpd/mod_jk_boe_bi.log 
JkLogLevel error 
<Location /BOE/BI>         
	# SI PROTECTION PAR RSA CLEARTRUST          
	<IfModule ct_apache_mod.c>              
	AuthType Basic             
	Require valid-user              
	AuthName CT          
	</IfModule> 
</Location> 
JkMount /BOE boebi 
JkMount /BOE/* boebi 
JkMount /BOE/BI boebi 
JkMount /BOE/BI/* boebi

Relancer Apache

Modifier la configuration d’apache pour inclure mod_jk.conf dans /etc/httpd/conf/httpd.conf :

Include conf/boxi/*.conf

Redémarrer ensuite apache :

apachectl -t
apachectl graceful