Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Diese Dokumentation gilt für Version 4 und höher von App Builder, dem neuen Namen für Vinyl. Hier gelangen Sie zur Vinyl-Dokumentation.

Sicherheitsanbieter für SAP OData-Dienste im Jitterbit App Builder

Der Sicherheitsprovider von SAP OData Services authentifiziert Anforderungen an einen SAP NetWeaver Gateway OData-Dienst Endpoint. Der Sicherheitsprovider von SAP OData Services unterstützt die folgenden Authentifizierungstypen:

  • HTTP-Basisauthentifizierung
  • OAuth SAML 2.0-Bearer-Assertion

Konfiguration

Authentifizierungstypen

HTTP-Basisauthentifizierung

Siehe HTTP-Sicherheitsanbieter für Details zur Konfiguration der HTTP-Basisauthentifizierung.

OAuth SAML 2.0-Träger-Assertion

Siehe OAuth-Sicherheitsanbieter für Einzelheiten zum Konfigurieren der * SAML 2.0 Bearer Assertion*-Berechtigung.

Bereiche

Der Sicherheitsanbieter von SAP OData Services kann Bereiche dynamisch basierend auf der Benutzergruppenmitgliedschaft generieren. Wenn der Benutzer Mitglied einer App Builder Sicherheitsgruppe ist und diese Sicherheitsgruppe einer Sicherheitsanbietergruppe zugeordnet ist, fügt App Builder die Kennung der Sicherheitsanbietergruppe an die Liste der Bereiche an.

Eigenschaften

Der Sicherheitsanbieter von SAP OData Services definiert die folgenden zusätzlichen Parameter:

Parameter Standard Beschreibung
UseCsrfToken False Gibt an, dass unsichere HTTP-Anfragen (nicht GET) ein CSRF-Synchronisierungstoken (Cross-Site Request Forgery) erfordern. Beachten Sie, dass App Builder standardmäßig CSRF-Token verwendet, wenn eine Datenquelle keinem Sicherheitsanbieter zugeordnet ist.

Protokollunterstützung

Cross-Site Request Forgery (CSRF)-Token

Cross-Site Request Forgery (CSRF)-Synchronisierungstoken sind ein nützlicher Sicherheitsmechanismus im Browserkontext bei Verwendung eines cookiebasierten Authentifizierungsmechanismus oder der HTTP-Basisauthentifizierung. CSRF-Token sind im Server-zu-Server-Kontext nicht anwendbar. Da CSRF-Token die Komplexität und den Overhead erhöhen, machen sie das System anfälliger. CSRF-Token werden daher nicht empfohlen. Die Unterstützung für CSRF-Token ermöglicht Szenarien, in denen browserbasierte Clients dieselben OData-Dienst Endpoints wie App Builder nutzen.

Fehlerbehebung

Zusätzliche HTTP-Anfragen

Die Überwachung des Netzwerkverkehrs kann zusätzliche HTTP-Anfragen aufdecken, die sich aus Folgendem ergeben: 302 Redirect Antworten. Dies tritt auf, wenn die URL des Datenquellenservers keinen abschließenden Schrägstrich enthält. Wenn die URL beispielsweise so aussieht:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME

Ändern Sie die URL in:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Fehler: Das Metadatendokument konnte nicht aus dem Nachrichteninhalt gelesen werden.

Beim Testen einer SAP OData-Dienst Verbindung kann der folgende Fehler auftreten:

Das Metadatendokument konnte nicht aus dem Nachrichteninhalt gelesen werden. UnexpectedXmlElement: Das Element „app:service“ war für das Stammelement unerwartet. Das Stammelement sollte Edmx sein.

Dies tritt auf, wenn die URL des Datenquellenservers eine Abfrage enthält. Die URL könnte beispielsweise wie folgt aussehen:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100

Um das Problem zu beheben, entfernen Sie die Abfrage:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Fehler: Der angeforderte OAuth 2.0-Bereich überschreitet den vom Ressourcenbesitzer oder OAuth 2.0-Client gewährten Bereich.

Möglicherweise wird die folgende Fehlermeldung angezeigt:

"error":"invalid_scope","error_description":"Der angeforderte OAuth 2.0-Bereich überschreitet den vom Ressourcenbesitzer oder OAuth 2.0-Client gewährten Bereich. Stellen Sie sicher, dass beide Zugriff auf die angeforderten Bereiche haben. Weitere Informationen finden Sie in den Kernel-Traces oder im SAP Hinweis 1688545 zur OAuth 2.0-Fehlerbehebung.

Dies bedeutet, dass die Bereiche für den aktuellen Benutzer ungültig sind. Dies kann Folgendes bedeuten:

  1. Die aufgeführten Bereiche sind falsch.
  2. Der Benutzer ist nicht korrekt zugeordnet. Dies passiert häufig, wenn ein Administrator (mit dem Benutzernamen „admin“) die Verbindung testet. Ist der Benutzer nicht dem richtigen SAP Benutzernamen zugeordnet, versucht App Builder, sich mit den angegebenen Scopes als Administrator zu authentifizieren.

Der Benutzer wird beim Abfragen einer Tabelle zum Anmeldeformular umgeleitet

App Builder leitet einen Benutzer zum Anmeldeformular weiter, wenn App Builder eine 401 Unauthorized Antwort von SAP NetWeaver Gateway. Wenn der Benutzer bereits angemeldet ist, deutet dies darauf hin, dass SAP NetWeaver Gateway die Bearer Autorisierungsschema. Vorausgesetzt, die Endpoint URL ist korrekt, deutet dies auf ein Konfigurationsproblem im SAP NetWeaver Gateway hin, beispielsweise:

  • OAuth wurde auf dem Endpoint nicht konfiguriert. Der Endpoint antwortet auf die Anfrage, weiß aber nicht, wie er Anfragen authentifizieren soll, die ein OAuth-Bearer-Token enthalten.
  • Der Endpoint wurde nicht erstellt. In diesem Fall antwortet möglicherweise ein anderer, übergeordneter Endpoint auf die Anforderung.