Catégories
Business Objects

BOXI4 – configuration du SSO

Pour activer le mode « TrustedUserPrincipal » et donc du SSO derrière un reverse proxy authentifié par exemple.

white and red happy birthday greeting card
Photo by cottonbro on Pexels.com

Pour activer le mode « TrustedUserPrincipal » et donc du SSO derrière un reverse proxy authentifié par exemple.

Paramétrage CMC

Allez dans la CMC > Authentification > Enterprise et cochez « L’authentification sécurisée est activée ».

Enregistrement du secret partagé

Cliquez sur « Télécharger le secret partagé », fichier TrustedPrincipal.conf et le copier dans :

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x86

N’oubliez pas ensuite de cliquer sur « Mettre à jour » ! Afin de bien prendre en compte la nouvelle configuration.

Modification configuration Tomcat

Ensuite modifiez la configuration tomcat dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\webapps\BOE\WEB-INF\config\custom en y adaptant les fichiers suivant selon votre configuration :

global.properties

trusted.auth.user.param=remote-user
sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADER

BILaunchpad.properties

authentication.default=secLDAP
authentication.visible=true
cms.default=BOREFERENTIAL:6400
cms.visible=false

OpenDocument.properties

authentication.default=secEnterprise
cms.visible=false
cms.default=BOREFERENTIAL:6400
sso.types.and.order=sapLogonToken,trustedParameter,trustedHeader

Alternatives en fonction du service pack de BOXI4

global.properties

sso.enabled=true
trusted.auth.user.retrieval=HTTP_HEADER
trusted.auth.user.param=remote-user

BILaunchpad.properties

sso.types.and.order=trustedUserPrincipal

Modification du serveur

Dans C:\Program Files (x86)\SAP BusinessObjects\tomcat\conf\ :

server.xml

<!-- CONFIG POUR ENTETES HTTP TROP GROS -->
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" compression="on" enableLookups="false"maxHttpHeaderSize="65536" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,text/json,application/json"/>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<!-- CONFIG AVEC AJOUTS POUR ENTETES TROP GROS -->    
<Connector URIEncoding="UTF-8" enableLookups="false" port="8009" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" packetSize="65536" connectionTimeout="600000"/>

Relancer tomcat

Le plus simple est de lancer services.msc et de redémarrer le service « Apache Tomcat for BI 4 » ou en ligne de commande :

sc stop BOEXI40Tomcat
sc start BOEXI40Tomcat

Configuration du reverse proxy Apache

Installation de mod_jk

apt-get install libapache2-mod-jk
yum install mod_jk-ap24

workers.properties

## liste des workers (1 par application)
worker.list=boxi3,boebi

# Pour BO XI
worker.boxi3.port=8006
worker.boxi3.host=boxi3.domain.local
worker.boxi3.type=ajp13
worker.boxi3.max_packet_size=65536
worker.boxi3.connection_pool_timeout=600

# Pour BOE BI
worker.boebi.port=8009
worker.boebi.host=boxi4.domain.local
worker.boebi.type=ajp13
worker.boebi.max_packet_size=65536
worker.boebi.connection_pool_timeout=600

mod_jk.conf

RewriteEngine On 
RewriteRule ^/boe/bi /BOE/BI [R] 
<IfModule !mod_jk.c> 
LoadModule jk_module modules/mod_jk.so 
</IfModule> 

JkLogFile /var/log/httpd/mod_jk_boe_bi.log 
JkLogLevel error 
<Location /BOE/BI>         
	# SI PROTECTION PAR RSA CLEARTRUST          
	<IfModule ct_apache_mod.c>              
	AuthType Basic             
	Require valid-user              
	AuthName CT          
	</IfModule> 
</Location> 
JkMount /BOE boebi 
JkMount /BOE/* boebi 
JkMount /BOE/BI boebi 
JkMount /BOE/BI/* boebi

Relancer Apache

Modifier la configuration d’apache pour inclure mod_jk.conf dans /etc/httpd/conf/httpd.conf :

Include conf/boxi/*.conf

Redémarrer ensuite apache :

apachectl -t
apachectl graceful

Laisser un commentaireAnnuler la réponse.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Quitter la version mobile