Notwendige Ergänzungen für SAP ARIBA

Da SAP ARIBA den Online-Shop in einem IFRAME anzeigt, benötigen neuere Browser Engines zusätzliche Header Felder, damit sie die Session Cookies für die Shop Session nicht wegwerfen. Dazu bitte diese Elemente in das system.webServer Segment der web.config einfügen:

UrlRewrite muss dafür nachinstalliert werden (IIS): https://www.iis.net/downloads/microsoft/url-rewrite

CODE

        <httpProtocol>
            <customHeaders>
                <add name="Content-Security-Policy" value="frame-ancestors *" />
            </customHeaders>
        </httpProtocol>
		
		<rewrite>
        <outboundRules>
        <rule name="Add HttpOnly" preCondition="No HttpOnly">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; HttpOnly" />
            <conditions>
        </conditions>
        </rule>
        <rule name="Add SameSite" preCondition="No SameSite">
            <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
            <action type="Rewrite" value="{R:0}; SameSite=None; Secure" />
        </rule>
        <preConditions>
            <preCondition name="No HttpOnly">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
            </preCondition>
            <preCondition name="No SameSite">
                <add input="{RESPONSE_Set_Cookie}" pattern="." />
                <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=None; Secure" negate="true" />
            </preCondition>
        </preConditions>
    </outboundRules>
    </rewrite>

ARIBA hat ein Problem mit SNI - der Möglichkeit mehrere HTTPS Server auf einer IP Adresse zu betreiben. Deshalb sollte für jeden Kunden (genauer für jede Domäne) für TEST und PROD eine IP Adresse bereitstehen. Auf diese wird über das Bindung der IIS Management Console ein Default SSL konfiguriert.