[SAP] HTTP Whitelist 관리

안녕하세요 페일오버입니다.

 

오늘은 SAML2 구성을 위해 SAML2 T-CODE를 호출하였을 때 이유모를 에러가 갑자기 발생하여 해당 오류를 풀어나가는 순서를 공유 드립니다.

 

T-CODE : SAML2

 

이미 SAML2를 활성화 한 후 구성한 상태 였습니다. (SAML2 구성 방법은 향후 포스팅 예정)

 

 

 

노츠를 참고해 보니 https://me.sap.com/notes/2667053

 

CX_HTTP_WHITELIST 가 발생하여 URL에 대한 요청이 reject 되었다는 증상이라고 합니다.

 

Whitelist를 관리해야 한다는 말인데 왜 이런 증상이 발생했는지 근본적인 원인을 찾을 수 없었습니다. 어떤 액션도 취하지 않았거든요..

UCON HTTP Allowlist가 작동을 한다는 말인데 별도로 해당 기능을 활성화 한 적은 없었습니다. 원인이 어찌됐던 해결은 해야 하기에 개념들을 살펴 보기로 합니다.

 

https://help.sap.com/docs/SAP_NETWEAVER_750/1ca554ffe75a4d44a7bb882b5454236f/ad6340c911164f639877e2dfb51d4b49.html?locale=en-US&version=7.5.22

 

위의 참고 문서를 보면 화이트리스트가 작동하는 방식이 설명되어져 있습니다.

 

T-CODE : UCON_CHW에 들어가면 UCON HTTP Allowlist가 활성화 되어 있는지 확인 할 수 있습니다.

Mode의 값에 따라 뜻하는 바가 있습니다. 총 세 가지 옵션이 존재합니다.

 

 

Logging : Check 없이 로깅만 한다는 뜻 입니다.

Simulated Check : URL이 Whitelist의 패턴이 포함되는지 확인만 하고 오류는 발생 시키지 않습니다.

Activate Check : Whitelist 기능이 작동하여 포함되지 않으면 오류를 일으킵니다.

 

 

Mode가 Active Check 인 것으로 보아 활성화 되어 있는 것이고.

 

ot cov. by Allowlist에 3건이 감지된 것을 보니 무언가 막힌 리스트가 존재한다는 확신이 생겼으며

 

해당 컬럼값이 의미 하는 것이 상세를 들어가 보면 Not Covered by Allowlist (Blocked)라는 것을 확인 할 수 있습니다.

 

아래 3개의 Path가 White List에 없어 막혔다는 현황을 볼 수 있습니다.

 

 

위의 Blocked 된 리스트를 문제없이 사용하기 위해서는 두 가지 방법이 있어 보입니다.

 

1. MODE를 변경한다
2. Whitelist에 추가한다.

 

Mode 변경은 앞서 보여드린 MODE를 원하는 방식으로 변경하면 될 것이고 check 필요없이 logging만 하면 잘 될 것입니다.

 

 

 

Whitelist 추가는 좌측 위에 Display/Change를 선택하면 우측 Allowlist 하단에 추가 버튼이 활성화 되며 rule을 작성 할 수 있습니다.

 

 

아래와 같이 값을 입력하여 주면 /sap/bc* 이 포함된 URL을 호출하면 허용하겠다 정도가 되겠습니다.

 

 

해당 표현식이 whitelist로 필터링 되면 왼쪽에 있던 Blocked 된 URL 주소는 사라집니다.

 

 

 

 

 

조정 후에 SAML2를 다시 호출 하니

 

 

브라우저에 잘 표현되는 것을 확인 할 수 있습니다.

 

해당 기능이 갑자기 활성화 된 것 같은데 누가 활성화 하였는지는 확인을 해봐야 할 것 같습니다.

 

과거에는 HTTP_WHITELIST라는 테이블에 직접 URL을 입력하여 관리를 하였다고 하는데 이는 Old한 방식 입니다.

 

T-CODE : UCON_CHW 에서 위에 HTTP Allowlist를 선택하면 아래와 같이 Back to Maint. 라고 나오는데,

 

 

해당 메뉴를 선택하면 classical database 테이블 HTTP_WHITELIST를 사용할래? 라고 묻네요.

 

 

 

https://me.sap.com/notes/0002578665

 

위의 노트에 테이블에서 관리하는 방법이 상세히 나와 있습니다. 복잡하고 어려워서 저는 일단 새로운 기능을 사용하는 것으로 하겠습니다.

 

T-CODE: UCON_CHW 를 진입하는 방법은 지금까지 파악된 바로는 두가지 방법이 있습니다.

 

1. UCON_CHW를 입력한다.

 

1. T-CODE: UCONCOCKPIT로 진입하여 아래와 같이 선택한다.

 

 

해당 UCONCOCKPIT 이라는 개념 자체가 많이 알려지진 않은 것으로 보이는데.. 제 자신이 우물안 개구리라 확신은 없네요.

 

아무튼 오늘도 새로운 개념에 대해 살펴 보았습니다.

 

좋은 하루되세요!