Konfigurieren der Authentifizierung für die SuccessFactors OData API im Jitterbit App Builder
SuccessFactors unterstützt den OAuth 2.0 SAML Bearer Assertion Flow. Dieser Flow bietet benutzereingeschränkte Autorisierung, indem SAML-Assertions gegen Zugriffstoken ausgetauscht werden, wie in der folgenden Spezifikation beschrieben:
https://tools.ietf.org/html/draft-ietf-oauth-saml2-bearer-23
Dieses Dokument behandelt die folgenden Aufgaben:
- Registrieren Sie den App Builder als SuccessFactors OAuth2-Clientanwendung.
- Registrieren Sie SuccessFactors als Sicherheitsanbieter für den App Builder.
- Registrieren Sie den SAP OData Service-Datenquellenserver.
Anforderungen
Um fortzufahren, benötigen Sie Folgendes:
- Ein bestehendes SuccessFactors-Konto.
- Administratorzugriff auf das SuccessFactors-Konto.
- Administratorzugriff auf den App Builder.
Registrieren Sie den App Builder als SuccessFactors OAuth2-Clientanwendung
Der App Builder muss innerhalb von SuccessFactors als OAuth2-Clientanwendung registriert werden. Um den App Builder als OAuth2-Clientanwendung zu registrieren, benötigen Sie die folgenden Informationen:
Beispiel | Hinweise | |
---|---|---|
Anwendungsname | App Builder | Der Anwendungsname ist willkürlich. Wenn mehrere Instanzen des App Builders als OAuth2-Clientanwendungen registriert werden, geben Sie jeder einen unterscheidbaren Namen. |
Anwendungs-URL | https://example.com/Vinyl/ | Dies ist das Web-Root des App Builders. Die URL muss den abschließenden Schrägstrich enthalten. |
Gemeinsamer Name | example.com | Dies ist der Hostname-Teil des Web-Roots. |
Um den App Builder als OAuth2-Clientanwendung für SuccessFactors zu registrieren:
- Melden Sie sich als Administrator bei SuccessFactors an.
- Navigieren Sie zum Admin Center.
- Wählen Sie Unternehmens Einstellungen → OAuth 2-Clientanwendungen verwalten.
- Klicken Sie auf die Schaltfläche Clientanwendung registrieren.
- Geben Sie den Anwendungsnamen und die Anwendungs-URL an.
- Klicken Sie auf die Schaltfläche X.509-Zertifikat generieren.
- Geben Sie den Common Name (CN) an.
- Klicken Sie auf die Schaltfläche Generieren.
- Klicken Sie auf die Schaltfläche Herunterladen, um das Zertifikat zu speichern.
- Klicken Sie auf die Schaltfläche Registrieren.
Nach der Registrierung weist SuccessFactors einen API-Schlüssel zu. Der API-Schlüssel sowie das Zertifikat werden benötigt, um die verbleibenden Verfahren abzuschließen.
Zertifikat konvertieren
SuccessFactors generiert ein Zertifikat im PEM-Format; der App Builder benötigt ein im PKCS#12-Format kodiertes, base64-kodiertes Zertifikat. Eine vollständige Diskussion zu diesem Thema liegt außerhalb des Rahmens dieses Dokuments. Als Beispiel kann jedoch das OpenSSL-Befehlszeilenprogramm verwendet werden, um ein Zertifikat von PEM nach PKCS#12 zu konvertieren:
openssl pkcs12 -in certificate.pem -export -out certificate.pfx
Beachten Sie, dass Sie aufgefordert werden, ein Passwort anzugeben. Notieren Sie das Passwort, da es später benötigt wird.
Um das Zertifikat base64 zu kodieren:
openssl base64 -in certificate.pfx -out certificate.txt -A
Für weitere Informationen zu den Zertifikaten der OAuth2-Clientanwendungen von SuccessFactors konsultieren Sie bitte das folgende Dokument:
http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf
Hinweis
Zum Zeitpunkt des Schreibens generiert SuccessFactors kein OpenSSL-kompatibles Zertifikat. Um das Zertifikat kompatibel zu machen, öffnen Sie das Zertifikat in einem Texteditor und nehmen Sie die folgenden Änderungen vor:
Ersetzen Sie beide Vorkommen von "ENCRYPTED PRIVATE KEY" durch "PRIVATE KEY".
Fügen Sie Zeilenumbrüche ein, sodass keine Zeile länger als 76 Zeichen ist. Beachten Sie, dass dies Unix-ähnliche Zeilenumbrüche (Zeilenumbruch) sein müssen, nicht Windows- oder Internet-ähnliche Zeilenumbrüche (Zeilenumbruch / Wagenrücklauf-Paare).
Registrieren von SuccessFactors als Sicherheitsanbieter für App Builder
Um SuccessFactors als Sicherheitsanbieter für App Builder zu registrieren, benötigen Sie die folgenden Informationen:
Beispiel | Hinweise | |
---|---|---|
API-Schlüssel | Der API-Schlüssel wird von SuccessFactors bei der Registrierung der OAuth2-Clientanwendung zugewiesen (siehe oben). | |
Signaturzertifikat | Das Signaturzertifikat muss ein base64-kodiertes PKCS#12-Zertifikat enthalten, das den privaten Schlüssel enthält. Das Zertifikat kann manuell oder während des Registrierungsprozesses der OAuth2-Clientanwendung von SuccessFactors generiert werden (siehe oben). | |
Passwort für das Signaturzertifikat | Das Passwort für das Signaturzertifikat wird bei der Erstellung des im PKCS#12-Format vorliegenden Zertifikats zugewiesen. | |
Unternehmens-ID | Der Unternehmensidentifikator von SuccessFactors. | |
API-URL der Instanz | https://api8.successfactors.com/ | API-URL von SuccessFactors: "Ihre Endpunkt-URLs zum Zugriff auf die OData-APIs hängen vom Rechenzentrum ab, das Ihre SuccessFactors-Instanz hostet." Weitere Informationen finden Sie in http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf. |
Hinweis
Die URL enthält nicht den /odata/v2-Pfad. App Builder wird den Pfad anhängen.
Um SuccessFactors als Sicherheitsanbieter für App Builder zu registrieren:
- Melden Sie sich als Administrator bei App Builder an.
- Navigieren Sie zum IDE.
- Klicken Sie auf die Schaltfläche Sicherheitsanbieter.
- Klicken Sie im Panel zur Datenquellenauthentifizierung auf die Schaltfläche + Datenquellenauthentifizierung.
-
Geben Sie Folgendes an:
- Name: Ein eindeutiger Name für den Sicherheitsanbieter.
- Beispiel: SuccessFactors
- Typ: SuccessFactors OData
-
Priorität: Eine eindeutige Ganzzahl zwischen 10 und 100. Beachten Sie, dass dieser Wert eindeutig sein muss.
Beispiel: 40
-
Klicken Sie auf die Schaltfläche Speichern.
-
Setzen Sie die folgenden Eigenschaften (Im Eigenschaften-Panel klicken Sie auf die Schaltfläche + Eigenschaft → Wählen Sie den Parameter → Geben Sie den Wert an → Klicken Sie auf das Speichern-Symbol):
- AuthenticationType: Saml
- CompanyID: Unternehmens-ID
- ApiKey: API-Schlüssel
- InstanceApiUrl: Instanz-API-URL
- SigningCertificate: Signaturzertifikat
- SigningCertificatePassword: Passwort für das Signaturzertifikat
-
Klicken Sie auf die Schaltfläche Bearbeiten im Panel der Anbieter.
- Aktivieren Sie die Option Aktiviert.
- Klicken Sie auf die Schaltfläche Speichern.
Registrieren Sie den SAP OData-Dienstdatenquellenserver
Um SuccessFactors als Datenquellenserver für App Builder zu registrieren, benötigen Sie die folgenden Informationen:
Beispiel | Hinweise | |
---|---|---|
OData-Endpunkt | https://api8.successfactors.com/odata/v2/ | SuccessFactors API-URL: "Ihre Endpunkt-URLs für den Zugriff auf die OData-APIs hängen vom Rechenzentrum ab, das Ihre SuccessFactors-Instanz hostet." Weitere Informationen finden Sie in http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf. |
Name des Sicherheitsanbieters | SuccessFactors | Der oben angegebene Name des Sicherheitsanbieters. |
Hinweis
Ab März 2016 scheint der OData-Endpunkt einen abschließenden Schrägstrich zu erfordern.
Um SuccessFactors als App Builder-Datenquellenserver zu registrieren:
- Melden Sie sich als Administrator im App Builder an
- Navigieren Sie zum IDE
- Wählen Sie die Schaltfläche Datenserver aus
- Klicken Sie im Datenserver-Bereich auf die Schaltfläche + Server
-
Geben Sie Folgendes an:
- Name: Ein eindeutiger, logischer Servername.
- Beispiel: SuccessFactors
- Typ: SuccessFactors
-
URL:
{OData Endpoint}
Beispiel: https://api8.successfactors.com/odata/v2
-
Beispiel:
https://api8.successfactors.com/odata/v2
- Sicherheitsanbieter:
{Security Provider Name}
-
Klicken Sie auf die Schaltfläche Speichern
Sobald der Datenquellenserver registriert ist, klicken Sie auf die Schaltfläche Verbindung testen, um sicherzustellen, dass alles korrekt konfiguriert ist. Möglicherweise werden Sie zu diesem Zeitpunkt aufgefordert, sich mit Okta anzumelden.
Fehlerbehebung
Eine Liste der OAuth 2.0-Fehlerantworten von SuccessFactors ist auf der folgenden Seite verfügbar:
http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf
Der folgende Anhang "OAuth 2.0 Bezogene Fehlermeldungen" enthält zusätzliche Fehler:
Siehe Folgendes für zusätzliche Informationen zur Fehlerbehebung:
Security provider - successfactors OData
"Entweder ist der Server nicht verfügbar oder die Verbindungsinformationen sind falsch." beim Testen der Verbindung
Stellen Sie sicher, dass die URL des Datenquellenservers mit einem abschließenden Schrägstrich endet. Zum Beispiel:
https://api8.successfactors.com/odata/v2/
Ab März 2016 erfordert SuccessFactors einen abschließenden Schrägstrich.
"Der Zugriff auf die OData-API mit Basis-Authentifizierung oder externem OAuth auf Nicht-API-Servern ist verboten." beim Testen der Verbindung
Es ist möglich, dass der API-Endpunkt durch einen neuen Endpunkt ersetzt wurde. Zum Beispiel wurden die folgenden Endpunkte ersetzt:
- Im November 2015 wurde der API-Endpunkt
https://salesdemo4.successfactors.com/
durchhttps://apisalesdemo4.successfactors.com/
ersetzt. - Im März 2016 wurde der API-Endpunkt
https://hcm8preview.sapsf.com/
durchhttps://api8preview.sapsf.com/
ersetzt.