Sicherheitsanbieter für SAP OData-Dienste im Jitterbit App Builder
Der Sicherheitsanbieter für SAP OData Services authentifiziert Anforderungen, die an einen SAP NetWeaver Gateway OData-Dienst Endpoint gestellt werden. Der Sicherheitsanbieter für SAP OData Services unterstützt die folgenden Authentifizierungstypen:
HTTP-Basisauthentifizierung - OAuth SAML 2.0-Bearer-Assertion
Konfiguration
Authentifizierungstypen
HTTP-Basisauthentifizierung
Siehe HTTP-Sicherheitsanbieter für Einzelheiten zur Konfiguration der HTTP-Basisauthentifizierung.
OAuth SAML 2.0-Trägerbehauptung
Siehe OAuth-Sicherheitsanbieter für Einzelheiten zum Konfigurieren der Berechtigung SAML 2.0 Bearer Assertion.
Bereiche
Der Sicherheitsanbieter von SAP OData Services kann Bereiche dynamisch basierend auf der Benutzergruppenmitgliedschaft generieren. Wenn der Benutzer Mitglied von an App Builder Sicherheitsgruppe und diese Sicherheitsgruppe wird einer Sicherheitsanbietergruppe zugeordnet, App Builder fügt die Gruppenkennung des Sicherheitsanbieters an die Liste der Bereiche an.
Eigenschaften
Der Sicherheitsanbieter von SAP OData Services definiert die folgenden zusätzlichen Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| UseCsrfToken | False | Gibt an, dass unsichere HTTP-Anfragen (nicht GET) ein Cross-Site Request Forgery (CSRF)-Synchronisierungstoken erfordern. Beachten Sie, dass, wenn eine Datenquelle keinem Sicherheitsanbieter zugeordnet ist, App Builder verwendet standardmäßig CSRF-Token. |
Protokollunterstützung
Cross-Site-Request-Forgery-Token (CSRF)
Cross-Site Request Forgery (CSRF)-Synchronisierungstoken sind ein nützlicher Sicherheitsmechanismus in einem Browserkontext, wenn ein Cookie-basierter Authentifizierungsmechanismus oder eine HTTP-Basisauthentifizierung verwendet wird. CSRF-Token sind in einem Server-zu-Server-Kontext nicht anwendbar. Da CSRF-Token die Komplexität und den Overhead erhöhen, machen sie das System anfälliger. CSRF-Token werden daher nicht empfohlen. Die Unterstützung für CSRF-Token ist enthalten, um Szenarien zu ermöglichen, in denen browserbasierte Clients dieselben OData-Dienst Endpoints verwenden wie App Builder.
Fehlerbehebung
Zusätzliche HTTP-Anfragen
Die Überwachung des Netzwerkverkehrs kann zusätzliche HTTP-Anfragen aufdecken, die sich aus Folgendem ergeben: 302 Redirect Antworten. Dies tritt auf, wenn die URL des Datenquellenservers keinen abschließenden Schrägstrich enthält. Wenn die URL beispielsweise wie folgt aussieht:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME
Ändern Sie die URL in:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Fehler: Das Metadatendokument konnte nicht aus dem Nachrichteninhalt gelesen werden.
Beim Testen einer SAP OData-Dienst Verbindung kann der folgende Fehler auftreten:
Das Metadatendokument konnte nicht aus dem Nachrichteninhalt gelesen werden. UnexpectedXmlElement: Das Element „app:service“ war für das Stammelement unerwartet. Das Stammelement sollte Edmx sein.
Dies tritt auf, wenn die URL des Datenquellenservers eine Abfrage enthält. Die URL kann beispielsweise folgendermaßen aussehen:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100
Um das Problem zu beheben, entfernen Sie die Abfrage:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Fehler: Der angeforderte OAuth 2.0-Umfang überschreitet den vom Ressourcenbesitzer oder OAuth 2.0-Client gewährten Umfang.
Möglicherweise wird die folgende Fehlermeldung angezeigt:
"error":"invalid_scope","error_description":"Der angeforderte OAuth 2.0-Bereich überschreitet den vom Ressourcenbesitzer oder OAuth 2.0-Client gewährten Bereich. Stellen Sie sicher, dass beide Zugriff auf die angeforderten Bereiche haben. Weitere Informationen finden Sie in den Kernel-Traces oder im SAP Hinweis 1688545 zur OAuth 2.0-Fehlerbehebung." }
Dies bedeutet, dass die Bereiche für den aktuellen Benutzer nicht gültig sind. Dies kann Folgendes bedeuten:
- Die aufgeführten Bereiche sind falsch.
- Der Benutzer ist nicht richtig zugeordnet. Dies passiert häufig, wenn ein Administrator (mit dem Benutzernamen „admin“) die Verbindung testet. Wenn der Benutzer nicht dem richtigen SAP Benutzernamen zugeordnet ist, App Builder versucht, sich unter Verwendung der angegebenen Bereiche als Administrator zu authentifizieren.
Der Benutzer wird beim Abfragen einer Tabelle zum Anmeldeformular weitergeleitet
App Builder leitet den Benutzer zum Anmeldeformular weiter, wenn App Builder erhält eine 401 Unauthorized Antwort von SAP NetWeaver Gateway. Wenn der Benutzer sich bereits angemeldet hat, deutet dies darauf hin, dass SAP NetWeaver Gateway den Bearer Autorisierungsschema. Vorausgesetzt, die Endpoint URL ist korrekt, deutet dies auf ein Konfigurationsproblem auf dem SAP NetWeaver Gateway hin, beispielsweise:
- OAuth wurde auf dem Endpoint nicht konfiguriert. Der Endpoint antwortet auf die Anfrage, weiß aber nicht, wie er Anfragen authentifizieren soll, die ein OAuth-Bearer-Token enthalten.
- Der Endpoint wurde nicht erstellt. In diesem Fall antwortet möglicherweise ein anderer Endpoint auf höherer Ebene auf die Anforderung.