Zum Inhalt springen

SAP OData-Dienste Sicherheitsanbieter im Jitterbit App Builder

Der SAP OData-Dienste Sicherheitsanbieter authentifiziert Anfragen, die an einen SAP NetWeaver Gateway OData-Dienstendpunkt gerichtet sind. Der SAP OData-Dienste Sicherheitsanbieter unterstützt die folgenden Authentifizierungstypen:

  • HTTP Basic Authentication
  • OAuth SAML 2.0 Bearer Assertion

Konfiguration

Authentifizierungstypen

HTTP-Basisauthentifizierung

Siehe den HTTP-Sicherheitsanbieter für Details zur Konfiguration der HTTP-Basisauthentifizierung.

OAuth SAML 2.0 Bearer Assertion

Siehe den OAuth-Sicherheitsanbieter für Details zur Konfiguration des SAML 2.0 Bearer Assertion-Grants.

Scopes

Der SAP OData-Dienste Sicherheitsanbieter kann Scopes dynamisch basierend auf der Mitgliedschaft in Benutzergruppen generieren. Wenn der Benutzer Mitglied einer App Builder-Sicherheitsgruppe ist und diese Sicherheitsgruppe einer Sicherheitsanbietergruppe zugeordnet ist, fügt App Builder die Kennung der Sicherheitsanbietergruppe zur Liste der Scopes hinzu.

Eigenschaften

Der SAP OData-Dienste Sicherheitsanbieter definiert die folgenden zusätzlichen Parameter:

Parameter Standard Beschreibung
UseCsrfToken False Gibt an, dass unsichere HTTP-Anfragen (nicht-GET) ein Cross-Site Request Forgery (CSRF)-Synchronisationstoken erfordern. Beachten Sie, dass App Builder standardmäßig CSRF-Token verwendet, wenn eine Datenquelle nicht mit einem Sicherheitsanbieter verbunden ist.

Protokollunterstützung

Cross-Site-Request-Forgery (CSRF) Tokens

Cross-Site-Request-Forgery (CSRF) Synchronisationstokens sind ein nützliches Sicherheitsmechanismus im Browser-Kontext, wenn ein cookie-basiertes Authentifizierungsmechanismus oder HTTP Basic-Authentifizierung verwendet wird. CSRF-Tokens sind im Server-zu-Server-Kontext nicht anwendbar. Da CSRF-Tokens Komplexität und Overhead hinzufügen, machen sie das System fragiler. CSRF-Tokens werden daher nicht empfohlen. Die Unterstützung für CSRF-Tokens ist enthalten, um Szenarien zu ermöglichen, in denen browserbasierte Clients dieselben OData-Service-Endpunkte wie der App Builder konsumieren.

Fehlersuche

Zusätzliche HTTP-Anfragen

Die Überwachung des Netzwerkverkehrs kann zusätzliche HTTP-Anfragen offenbaren, die aus 302 Redirect-Antworten resultieren. Dies tritt auf, wenn die URL des Datenquellenservers keinen abschließenden Schrägstrich enthält. Wenn die URL beispielsweise so aussieht:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME

Ändern Sie die URL in:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Fehler: Das Metadokument konnte nicht aus dem Nachrichteninhalt gelesen werden.

Der folgende Fehler kann auftreten, wenn eine Verbindung zu einem SAP OData-Service getestet wird:

Das Metadokument konnte nicht aus dem Nachrichteninhalt gelesen werden. UnexpectedXmlElement : Das Element 'app:service' war für das Wurzelelement unerwartet. Das Wurzelelement sollte Edmx sein.

Dies tritt auf, wenn die URL des Datenquellenservers eine Abfragezeichenfolge enthält. Beispielsweise kann die URL so aussehen:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100

Um das Problem zu lösen, entfernen Sie die Abfragezeichenfolge:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Fehler: Der angeforderte OAuth 2.0-Bereich überschreitet den Bereich, der vom Ressourcenbesitzer oder OAuth 2.0-Client gewährt wurde.

Sie können den folgenden Fehler erhalten:

"error":"invalid_scope","error_description":"Der angeforderte OAuth 2.0-Bereich überschreitet den Bereich, der vom Ressourcenbesitzer oder OAuth 2.0-Client gewährt wurde. Stellen Sie sicher, dass beide Zugriff auf die angeforderten Bereiche haben. Weitere Informationen finden Sie in den Kernel-Trace oder in der OAuth 2.0-Fehlerbehebung SAP-Hinweis 1688545" }

Dies bedeutet, dass die Scopes für den aktuellen Benutzer nicht gültig sind. Es könnte bedeuten, dass entweder:

  1. Die aufgeführten Scopes falsch sind.
  2. Der Benutzer nicht richtig zugeordnet ist. Dies geschieht häufig, wenn ein Administrator (mit dem Benutzernamen "admin") die Verbindung testet. Wenn der Benutzer nicht dem richtigen SAP-Benutzernamen zugeordnet ist, versucht der App Builder, sich mit den angegebenen Scopes als Administrator zu authentifizieren.

Benutzer wird beim Abfragen einer Tabelle zum Anmeldeformular umgeleitet

Der App Builder leitet einen Benutzer zum Anmeldeformular um, wenn der App Builder eine 401 Unauthorized-Antwort von SAP NetWeaver Gateway erhält. Wenn der Benutzer bereits angemeldet ist, deutet dies darauf hin, dass SAP NetWeaver Gateway das Bearer-Autorisierungsschema nicht erkennt. Vorausgesetzt, dass die Endpunkt-URL korrekt ist, deutet dies auf ein Konfigurationsproblem beim SAP NetWeaver Gateway hin, wie zum Beispiel:

  • OAuth wurde nicht am Endpunkt konfiguriert. Der Endpunkt reagiert auf die Anfrage, weiß jedoch nicht, wie er Anfragen authentifizieren kann, die ein OAuth-Bearer-Token enthalten.
  • Der Endpunkt wurde nicht erstellt. In diesem Fall könnte ein anderer, höherer Endpunkt auf die Anfrage reagieren.