Добрый день, коллеги!

Если сталкивались с настройкой веб диспетчера, пожалуйста, подскажите:
можно ли сделать через него переадресацию протоколов с https\http на http при том, чтобы аутентификация (проверка подлинности сертификата) шла через протокол входа в систему, а все последующие действия пользователя переадресовывались только на http?

Для наглядности пример:
1) Пользователь входит через https, система проверяет его сертификат по https ссылке, после прохождения проверки система переадресует пользователя на http.
2) Пользователь входит через http, система проверяет его login ID\password по http ссылке, после прохождения проверки система продолжает работать по http протоколу.

Спасибо.

R1919,
Не нужно отсылать на help, он уже прочитан. Вопрос был по аутентификации при первом входе. Переадрессация (стандарт) с одного протокола на другой уже работает, но идет сразу же. Мне нужно, чтобы аутентификация шла по протоколу входа, а затем шла переадресация на другой протокол\порт.
Если знаете, как это сделать, то объясните, пожалуйста.

Tilia
а объясните пожалуйста смысл этого действа?

я сейчас вижу ситуацию, исходя из Ваших слов: пользователь набирает в браузере адрес, как правило http, ибо лень...ему выдается форма ввода логина и пароля, он их вбивает и попадает на https страницу, ТАК?
в таком случае - для чего вообще использовать https в этой связке? логин и пароль и так уже будут переданы в открытом виде, и дальнейшее использование https какбэ...большого смысла не имеет.
это я вот к чему - если Вам не важны условия безопасности на этом сегменте, зачем вообще настраивать https?

шрам,
Дело в том, что есть такая штука - Аppraisal (или формуляр оценки работы сотрудников), который работает только по одному протоколу (либо http либо https) - это официальное ограничение САП'а.
У нас SSO (https) должно использоваться для внутренних содрудников с сертификатами, а вход по login\pass (http) для подрядчиков. Обе категории обязаны заполнять формуляры (которые работают только по одному протоколу).

Единственное решение (кроме программирования), которое я вижу - это переадресация https (после авторизации сотрудника) на http. Однако, на текущий момент, веб диспетчер при входе через https категорически отказывается принимать сертификаты (он их просто не видит и не читает), а сразу переадресует на страницу входа по паролю.
В литературе я не нашла информации по поводу прохождения авторизации и дальнейшей переадресации.

Поэтому вопрос задала практикам на форуме. Если у кого-то это работает, то есть смыл продолжать дальше копать стандарт. Если нет, то просто отдать программистам, чтобы поправили par файл.

Так а почему бы не использовать везде только https ?
Внутренние сотрудники, допустим, ходят с сертификатами напрямую мимо вебдиспетчера.
Внешние - по паролю, через вебдисп и тоже https

А как тогда внешние будут авторизироваться? При входе по https необходимо ввести сертификат (это SSO), для внешних это сделать нельзя.
Вход по паролю идет только по http протоколу.

А что тогда это означает:


Вот и пусть внешние вводят пароль и вперед

Веб диспетчер переадресует c https на http (где и осуществляется вход по паролю).
Смысл использования веб диспетчера - сделать переадресацию с обоих протоколов на один (например, http), но чтобы отрабатывалась авторизация по тому методу, по которому осуществился вход в систему (если https, то через сертификаты, если http, то по паролю).
на текущий момент, все переадресуется на http, но авторизация тоже идет только по паролю.

А за WD у вас что? И какой версии WD?

опишите подробнее что куда прикручиваете

пока на ум такое приходит: поднимаете два сервиса - один http, один https на разных портах например
для внутренних отменяете re-encryption и делаете https->http , а для внешних http->http

но чтобы разобраться - надо видеть как сделали настройку, даите нам ваш профил без имен серверов и портов. Нужно больше информации - как организовано SSO etc

но, конечно, это немного анекдотично - для внешних передавать пароль в открытом виде

а вы сертификат купили-импортировали в фаилы client PSE for WD?

Это профайл Веб диспетчера
SAPSYSTEMNAME = WDP
SAPGLOBALHOST = HOSTNAME
SAPGLOBALHOSTFULL = HOSTNAME
SAPSYSTEM = 01
INSTANCE_NAME = W01
DIR_CT_RUN = $(DIR_EXE_ROOT)\$(OS_UNICODE)\NTAMD64
DIR_EXECUTABLE = $(DIR_CT_RUN)
#-----------------------------------------------------------------------
# Accesssability of Message Server
#-----------------------------------------------------------------------
rdisp/mshost = HOSTNAME
ms/http_port = 81**
#-----------------------------------------------------------------------
# Configuration for medium scenario
#-----------------------------------------------------------------------
icm/max_conn = 500
icm/max_sockets = 1024
icm/req_queue_len = 500
icm/min_threads = 10
icm/max_threads = 50
mpi/total_size_MB = 80
#-----------------------------------------------------------------------
# SAP Web Dispatcher Ports
#-----------------------------------------------------------------------
icm/HTTPS/trust_client_with_issuer = *
icm/HTTPS/trust_client_with_subject = *

icm/server_port_0 = PROT=HTTP,PORT=80
icm/server_port_1 = PROT=HTTPS,PORT=443, TIMEOUT=900
ssl/ssl_lib=D:\usr\sap\WDP\SYS\exe\nuc\NTAMD64\sapcrypto.dll
wdisp/ssl_encrypt=2
wdisp/ssl_host=HOSTNAME
#wdisp/ssl_certhost = HOSTNAME
wdisp/ssl_ignore_host_mismatch = TRUE
icm/HTTPS/verify_client=2
wdisp/ssl_auth=2
ssl/server_pse=D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLS.pse
ssl/client_pse=D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLC.pse
wdisp/ssl_cred=D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLC.pse
icm/HTTPS/forward_ccert_as_header = true

DIR_INSTANCE=D:\usr\sap\SNB\DVEBMGS00

icm/HTTP/redirect_0 = PREFIX=/irj/portal*, FROMPROT=https, PROT=http, HOST=*
icm/HTTP/redirect_0 = PREFIX=/irj/portal, TO=/bc/bsp/demo/default.html
icm/HTTP/redirect_0 = PREFIX=/irj/portal, TO=/nwa
icm/HTTP/redirect_0 = PREFIX=*, FROM=/irj/servlet/prt/portal/prtroot/com.sap.portal.navigation.portallauncher.default*,FOR=*domain*,HOST=*, PORT=80
icm/HTTP/redirect_0 = PREFIX=/, FROM=/irj/servlet/prt/portal/prtroot/com.sap.portal.navigation.portallauncher.default*, FROMPROT=http, PROT=https, HOST=****

Это трассировочный файл WD (версия 701, с 25 патчем)
trc file: "dev_webdisp", trc level: 1, release: "701"
---------------------------------------------------
sysno 01
sid WDP
systemid 562 (PC with Windows NT)
relno 7010
patchlevel 0
patchno 25
intno 20020600
make: multithreaded, ASCII, 64 bit, optimized
pid 9808

[Thr 10724] started security log to file dev_icm_sec
[Thr 10724] SAP Web Dispatcher running on: HOSTNAME
[Thr 10724] MtxInit: 30001 0 2
[Thr 10724] IcmInit: listening to admin port: 64999
[Thr 10724] IcrCoreInitSessionTable: Session table initialized
[Thr 8444] HttpExtractArchive: files from archive \\HOSTNAME\sapmnt\WDP\SYS\exe\nuc\NTAMD64/wdispadmin.SAR in directory D:/usr/sap/SNB/DVEBMGS00/data/icmanroot are up to date
[Thr 8444] HttpSubHandlerAdd: Added handler HttpAdminHandler(slot=0, flags=4101) for /sap/admin:0
[Thr 8444] CsiInit(): Initializing the Content Scan Interface
[Thr 8444] PC with Windows NT (mt,ascii,SAP_CHAR/size_t/void* = 8/64/64)
[Thr 8444] CsiInit(): CSA_LIB = "\\HOSTNAME\sapmnt\WDP\SYS\exe\nuc\NTAMD64\sapcsa.dll"
[Thr 8444] HttpSubHandlerAdd: Added handler HttpAuthHandler(slot=1, flags=12293) for /:0
[Thr 8444] HttpSubHandlerAdd: Added handler HttpWebDispHandler(slot=2, flags=28677) for /:0
[Thr 8444] Started service 80 for protocol HTTP on host "HOSTNAME"(on all adapters) (processing timeout=60, keep_alive_timeout=30)
[Thr 8444] =================================================
[Thr 8444] = SSL Initialization on PC with Windows NT
[Thr 8444] = (701_REL,Feb 24 2009,mt,ascii,SAP_UC/size_t/void* = 8/64/64)
[Thr 8444] profile param "ssl/ssl_lib" = "D:\usr\sap\WDP\SYS\exe\nuc\NTAMD64\sapcrypto.dll"
resulting Filename = "D:\usr\sap\WDP\SYS\exe\nuc\NTAMD64\sapcrypto.dll"
[Thr 8444] profile param "ssl/server_pse" = "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLS.pse"
resulting Filename = "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLS.pse"
[Thr 8444] profile param "ssl/client_pse" = "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLC.pse"
resulting Filename = "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLC.pse"
[Thr 8444] = found SAPCRYPTOLIB 5.5.5C pl32 (Apr 2 2011) MT-safe
[Thr 8444] = current UserID: SAP-HCM\snpadm
[Thr 8444] = found SECUDIR environment variable
[Thr 8444] = using SECUDIR=D:\usr\sap\SNB\DVEBMGS00\sec
[Thr 8444] = secudessl_Create_SSL_CTX(): PSE "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLA.pse" not found,
[Thr 8444] = using PSE "D:\usr\sap\SNB\DVEBMGS00\sec\SAPSSLC.pse" as fallback
[Thr 8444] = Success -- SapCryptoLib SSL ready!
[Thr 8444] =================================================

[Thr 8444] Started service 443 for protocol HTTPS on host "HOSTNAME"(on all adapters) (processing timeout=900, keep_alive_timeout=30)
[Thr 10724] IcmCreateWorkerThreads: created worker thread 0
[Thr 10724] IcmCreateWorkerThreads: created worker thread 1
[Thr 10724] IcmCreateWorkerThreads: created worker thread 2
[Thr 10724] IcmCreateWorkerThreads: created worker thread 3
[Thr 10724] IcmCreateWorkerThreads: created worker thread 4
[Thr 10724] IcmCreateWorkerThreads: created worker thread 5
[Thr 10724] IcmCreateWorkerThreads: created worker thread 6
[Thr 10724] IcmCreateWorkerThreads: created worker thread 7
[Thr 10724] IcmCreateWorkerThreads: created worker thread 8
[Thr 10724] IcmCreateWorkerThreads: created worker thread 9
[Thr 12984] IcmWatchDogThread: watchdog started

Это параметры icm\SSO установленные в инстанс профайле
icm/server_port_1 PROT=HTTPS,PORT=82$$
icm/server_port_0 PROT=HTTP,PORT=80$$
ms/server_port_0 PROT=HTTP,PORT=81$$
rdisp/wp_no_enq 1
icm/HTTP/j2ee_02 PREFIX=/, SSLENC=1,TYPE=1,HOST=HOSTNAME,CONN=5-1000,PORT=8200,CRED
icm/HTTP/j2ee_00 PREFIX=/, SSLENC=1,TYPE=1,HOST=HOSTNAME,CONN=5-1000,PORT=8000
icm/HTTPS/trust_client_with_subject *
icm/HTTPS/trust_client_with_issuer *
icm/host_name_full HOSTNAME
icm/HTTPS/verify_client 1
login/accept_sso2_ticket 1
login/create_sso2_ticket 2
_______
Сертификаты для WD мы получили.

Вы не написали что у вас прячется за диспетчером (я подозреваю портал а за порталом ЕССхх?) и как у вас работает SSO, кто у вас identity provider и по каким параметрам делаете аутентификацию. Для понимания ситуации нужно полное описание архитектуры и процесса аутентификации

Мои мысли глядя на ваш конфиг

я бы лучше взала версию 7.20 и выше - гораздо больше возможностей, особенно в случае связки портал-ЕСС
а параметры "icm/HTTP/redirect_0" разве не должны увеличиваться в номере?:) по-моему, у вас с ними несколько запутано
вы импортировали сертификат в WD PSE files и сгенерировали credentials? Нет ли у вас ошибки сертификата когда логинитесь по https?
параметеры wdisp/add_client_protocol_header=true и wdisp/ssl_encrypt = 0 могут решить часть проблемы

В общем, на вашем месте я бы скчала программку httpwatch, нарисовала бы полную картину вашей архитектуры - от юзера до приложения со всеми протоколами и протестила то что имеется на данный момент с помощью программки, сравнивая сертификаты и протоколы

если сможете сегодня написать архитектуру, какие стоят задачи и какая имеется проблема деталями, если сама не разберусь могу дополнительно спросить саперов - они у нас тут сегодня сидят