Saltar al contenido

Proveedor de Seguridad: Servicios SAP OData

El proveedor de seguridad de SAP OData Services autentica las solicitudes realizadas a un extremo de SAP NetWeaver Gateway Servicio OData. El proveedor de seguridad de SAP OData Services admite los siguientes tipos de autenticación:

  • Autenticación básica HTTP
  • Aserción de portador OAuth SAML 2.0

Configuración

Tipos de Autenticación

Autenticación Básica HTTP

Consulte el proveedor de seguridad HTTP para obtener detalles sobre cómo configurar la Autenticación básica HTTP.

Afirmación de Portador OAuth SAML 2.0

Consulte el proveedor de seguridad OAuth para obtener detalles sobre cómo configurar la concesión de * SAML 2.0 Bearer Assertion*.

Ámbitos

El proveedor de seguridad de SAP OData Services puede generar ámbitos de forma dinámica en función de la pertenencia a un grupo de usuarios. Si el usuario es miembro de un grupo de usuarios, an App Builder grupo de seguridad y ese grupo de seguridad está asignado a un grupo de proveedores de seguridad, App Builder agregará el identificador del grupo del proveedor de seguridad a la lista de ámbitos.

Propiedades

El proveedor de seguridad de SAP OData Services define los siguientes parámetros adicionales:

Parámetro Predeterminado Descripción
UseCsrfToken False Indica que las solicitudes HTTP no seguras (no GET) requieren un token de sincronización de falsificación de solicitud entre sitios (CSRF). Tenga en cuenta que, si una fuente de datos no está asociada con un proveedor de seguridad, App Builder utiliza tokens CSRF de forma predeterminada.

Soporte de Protocolo

Tokens de Falsificación de Solicitudes Entre Sitios (csrf)

Los tokens de sincronización de falsificación de solicitud entre sitios (CSRF) son un mecanismo de seguridad útil en un contexto de navegador cuando se utiliza un mecanismo de autenticación basado en cookies o autenticación básica HTTP. Los tokens CSRF no son aplicables en un contexto de servidor a servidor. Dado que los tokens CSRF agregan complejidad y sobrecarga, hacen que el sistema sea más frágil. Por lo tanto, no se recomiendan los tokens CSRF. Se incluye soporte para tokens CSRF para habilitar escenarios en los que los clientes basados en navegador consumen los mismos extremos del Servicio OData que App Builder.

Solución de Problemas

Solicitudes HTTP Adicionales

El monitoreo del tráfico de red puede revelar solicitudes HTTP adicionales resultantes de 302 Redirect respuestas. Esto ocurre cuando la URL del servidor de origen de datos no incluye una barra diagonal final. Por ejemplo, si la URL se ve así:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME

Cambie la URL a:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Error: No Se Pudo Leer el Documento de Metadatos Desde el Contenido del Mensaje.

El siguiente error podría ocurrir al probar una conexión del servicio SAP Servicio OData:

No se pudo leer el documento de metadatos desde el contenido del mensaje. UnexpectedXmlElement: El elemento 'app:service' no era el esperado para el elemento raíz. El elemento raíz debería ser Edmx.

Esto ocurre cuando la URL del servidor de origen de datos incluye una cadena de consultar. Por ejemplo, la URL podría verse así:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100

Para resolver el problema, elimine la cadena de consultar:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Error: El Alcance de OAuth 2.0 Solicitado Excede el Alcance Otorgado por el Propietario del Recurso o el Cliente de OAuth 2.0.

Es posible que reciba el siguiente error:

"error": "invalid_scope", "error_description": "El alcance de OAuth 2.0 solicitado excede el alcance otorgado por el propietario del recurso o el cliente de OAuth 2.0. Asegúrese de que ambos tengan acceso a los alcances solicitados. Para obtener más información, consulte los rastros del kernel o la nota de SAP 1688545 sobre resolución de problemas de OAuth 2.0" }

Esto significa que los ámbitos no son válidos para el usuario actual. Esto podría significar que:

  1. Los alcances enumerados son incorrectos.
  2. El usuario no está asignado correctamente. Esto suele ocurrir cuando un administrador (con el nombre de usuario "admin") prueba la conexión. Si el usuario no está asignado al nombre de usuario SAP correcto, App Builder intentará autenticarse como administrador utilizando los ámbitos indicados.

El Usuario Es Redirigido al Formulario de Inicio de Sesión Cuando Consulta una Tabla

App Builder redirigirá a un usuario al formulario de inicio de sesión si App Builder recibe un 401 Unauthorized respuesta de SAP NetWeaver Gateway. Si el usuario ya ha iniciado sesión, esto sugiere que SAP NetWeaver Gateway no reconoce el Bearer esquema de autorización. Suponiendo que la URL del extremo sea correcta, esto sugiere un problema de configuración en SAP NetWeaver Gateway, como por ejemplo:

  • OAuth no se ha configurado en el extremo. El extremo responde a la solicitud, pero no sabe cómo autenticar las solicitudes que incluyen un token de portador de OAuth.
  • No se ha creado el extremo. En ese caso, es posible que un extremo diferente y de nivel superior esté respondiendo a la solicitud.