Configuración de la Autenticación de la API OData de SuccessFactors
SuccessFactors admite el flujo de aserción de portador SAML de OAuth 2.0. Este flujo proporciona una autorización restringida por el usuario, intercambiando aserciones SAML por tokens de acceso, como se describe en la siguiente especificación:
https://tools.ietf.org/html/draft-ietf-oauth-saml2-bearer-23
Este documento cubre las siguientes tareas:
- Registrar App Builder como una aplicación cliente OAuth2 de SuccessFactors
- Registre SuccessFactors como an App Builder proveedor de seguridad.
- Registre el servidor de origen de datos del servicio SAP Servicio OData.
Requisitos
Para continuar, necesitará lo siguiente:
- Una cuenta de SuccessFactors existente.
- Acceso de administrador a la cuenta de SuccessFactors.
- Acceso de administrador a App Builder.
Registro App Builder como una Aplicación Cliente OAuth2 de SuccessFactors
App Builder deberá registrarse en SuccessFactors como una aplicación cliente OAuth2. Para registrarse App Builder como aplicación cliente OAuth2, necesitará la siguiente información:
| | Ejemplo | Notas | | ---------------- | -------------------------- | -------------------------------------------------- -------------------------------------------------- -------------------------------------- |TABLEROWEND
| Nombre de la aplicación | App Builder| El nombre de la aplicación es arbitrario. Si se registran varias instancias de App Builder como aplicaciones cliente OAuth2, asigne a cada una un nombre distintivo. | | URL de la aplicación | https://example.com/App Builder/ | Este es el App Builder raíz web. La URL debe incluir la barra diagonal final. | | Nombre común | example.com | Esta es la parte del nombre de alojar de la raíz web. |
Para registrarse App Builder como aplicación cliente OAuth2 de SuccessFactors:
- Inicie sesión en SuccessFactors como administrador
- Vaya al Centro de administración
- Seleccione Configuración de la empresa → Administrar aplicaciones cliente OAuth 2
- Haga clic en el botón Registrar aplicación de cliente
- Proporcione el Nombre de la aplicación y la URL de la aplicación
- Haga clic en el botón Generar certificado X.509
- Proporcione el Nombre común (CN)
- Haga clic en el botón Generar
- Haga clic en el botón Descargar para guardar el certificado.
- Haga clic en el botón Registrarse
Una vez registrado, SuccessFactors le asignará una clave API. La clave API, junto con el certificado, será necesaria para completar los procedimientos restantes.
Convertir Certificado
SuccessFactors genera un certificado con formato PEM; App Builder requiere un certificado codificado en base64 y con formato PKCS#12. Una discusión completa de este tema queda fuera del alcance de este documento. Sin embargo, a modo de ejemplo, la utilidad de línea de comandos OpenSSL se puede utilizar para convertir un certificado de PEM a PKCS#12:
openssl pkcs12 -in certificate.pem -export -out certificate.pfx
Tenga en cuenta que se le solicitará que proporcione una contraseña. Registre la contraseña, ya que la necesitará más adelante.
Para codificar el certificado en base64:
openssl base64 -in certificate.pfx -out certificate.txt -A
Para obtener información adicional sobre los certificados de aplicación cliente OAuth2 de SuccessFactors, consulte el siguiente documento:
http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf
Nota
En el momento de redactar este artículo, SuccessFactors no genera un certificado compatible con OpenSSL. Para que el certificado sea compatible, ábralo en un editor de texto y realice los siguientes cambios:
Reemplace ambas ocurrencias de "CLAVE PRIVADA CIFRADA" con "CLAVE PRIVADA".
Inserte saltos de línea de modo que ninguna línea tenga más de 76 caracteres. Tenga en cuenta que deben ser saltos de línea de estilo Unix (saltos de línea), no saltos de línea de estilo Windows o de Internet (pares salto de línea/retorno de carro).
Registre SuccessFactors Como an App Builder proveedor de Seguridad
Para registrar SuccessFactors como an App Builder proveedor de seguridad, necesitará la siguiente información:
Ejemplo | Notas | |
---|---|---|
Clave API | La clave API la asigna SuccessFactors al registrar la aplicación cliente OAuth2 (ver arriba). | |
Certificado de firma | El certificado de firma debe ser un certificado PKCS#12 codificado en base64 que contenga la clave privada. El certificado se puede generar manualmente o durante el proceso de registro de la aplicación cliente OAuth2 de SuccessFactors (consulte más arriba). | |
Identificación de la empresa | El identificador de la empresa de SuccessFactors. | |
URL de la API de instancia | https://api8.successfactors.com/ | URL de la API de SuccessFactors: " Las URLs de los extremo para acceder a las APIs de OData dependen del centro de datos que aloja su instancia de SuccessFactors". Consulte http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf para obtener información adicional. |
Nota
La URL no contiene la ruta /odata/v2. App Builder agregará la ruta.
Para registrar SuccessFactors como an App Builder proveedor de seguridad:
- Inicie sesión App Builder como administrador
- Navegue hasta el IDE
- Haga clic en el botón Proveedores de seguridad
- Desde el panel Autenticación de fuente de datos, haga clic en el botón + Autenticación de fuente de datos
-
Proporcione lo siguiente:
- Nombre: Un nombre de proveedor de seguridad único.
- Ejemplo: SuccessFactors
- Tipo: OData de SuccessFactors
-
Prioridad: Un entero único entre 10 y 100. Tenga en cuenta que este valor debe ser único.
Ejemplo: 40
-
Haga clic en el botón Guardar
-
Establezca las siguientes propiedades (en el panel Propiedades, haga clic en el botón + Propiedad → Seleccione el Parámetro → Proporcione el Valor → Haga clic en el icono Guardar):
- Tipo de autenticación: Saml
- ID de empresa: ID de empresa
- ApiKey: Clave API
- InstanceApiUrl: URL de la API de instancia
- Certificado de firma: Certificado de firma
- ContraseñaDeCertificadoDeFirma: Contraseña de certificado de firma
-
Haga clic en el botón Editar en el panel Proveedores
- Marque la opción Habilitado
- Haga clic en el botón Guardar
Registrar el Servidor de Origen de Datos del Servicio SAP OData
Para registrar SuccessFactors como an App Builder servidor de origen de datos, necesitará la siguiente información:
Ejemplo | Notas | |
---|---|---|
Extremo de OData | https://api8.successfactors.com/odata/v2/ | URL de la API de SuccessFactors: " Las URLs de los extremo para acceder a las APIs de OData dependen del centro de datos que aloja su instancia de SuccessFactors". Consulte http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf para obtener información adicional. |
Nota
A partir de marzo de 2016, el Extremo de OData parece requerir una barra diagonal final.
Para registrar SuccessFactors como an App Builder servidor de origen de datos:
- Inicie sesión App Builder como administrador
- Navegue hasta el IDE
- Seleccione el botón Servidores de datos
- En el panel Servidores de datos, haga clic en el botón + Servidor
-
Proporcione lo siguiente:
- Nombre: Un nombre de servidor único y lógico.
- Ejemplo: SuccessFactors
- Tipo: Factores de éxito
-
URL:
{OData Endpoint}
Example: https://api8.successfactors.com/odata/v2
-
Ejemplo:
https://api8.successfactors.com/odata/v2
- Proveedor de seguridad:
{Security Provider Name}
-
Haga clic en el botón Guardar
Una vez que se haya registrado el servidor de origen de datos, haga clic en el botón Probar conexión para asegurarse de que todo esté configurado correctamente. Es posible que se le solicite que inicie sesión en Okta en este momento.
Solución de Problemas
En la siguiente página se encuentra disponible una lista de respuestas de error de OAuth 2.0 de SuccessFactors:
http://help.sap.com/saphelpiis_cloud4hr/EN/SuccessFactors_HCM_Suite_OData_API_Handbook_en.pdf
El siguiente apéndice "Mensajes de error relacionados con OAuth 2.0" contiene errores adicionales:
Consulte lo siguiente para obtener información adicional sobre solución de problemas:
Proveedor de seguridad - successfactors OData
"El servidor no está disponible o la información de conexión es incorrecta" al probar la conexión
Asegúrese de que la URL del servidor de origen de datos termine con una barra diagonal final. Por ejemplo:
https://api8.successfactors.com/odata/v2/
A partir de marzo de 2016, SuccessFactors requiere una barra diagonal final.
"Está prohibido acceder a la API de OData mediante autenticación básica u OAuth externo en servidores que no sean API " al probar la conexión
Es posible que el extremo de la API haya sido reemplazado por un nuevo extremo. Por ejemplo, se han reemplazado los siguientes extremos:
- En noviembre de 2015, el extremo de la API
https://salesdemo4.successfactors.com/
fue reemplazado conhttps://apisalesdemo4.successfactors.com/
. - En marzo de 2016, el extremo de la API
https://hcm8preview.sapsf.com/
fue reemplazado conhttps://api8preview.sapsf.com/
.