Proveedor de seguridad de servicios OData de SAP en Jitterbit App Builder
El proveedor de seguridad de servicios OData de SAP autentica las solicitudes realizadas a un punto final de servicio OData de SAP NetWeaver Gateway. El proveedor de seguridad de servicios OData de SAP admite los siguientes tipos de autenticación:
- Autenticación básica HTTP
- Afirmación portadora OAuth SAML 2.0
Configuración
Tipos de autenticación
Autenticación básica HTTP
Consulte el proveedor de seguridad HTTP para obtener detalles sobre cómo configurar la Autenticación Básica HTTP.
Afirmación portadora OAuth SAML 2.0
Consulte el proveedor de seguridad OAuth para obtener detalles sobre cómo configurar el grant de Afirmación Portadora SAML 2.0.
Alcances
El proveedor de seguridad de servicios OData de SAP puede generar alcances dinámicamente en función de la membresía del grupo de usuarios. Si el usuario es miembro de un grupo de seguridad de App Builder y ese grupo de seguridad está mapeado a un grupo de proveedor de seguridad, App Builder agregará el identificador del grupo de proveedor de seguridad a la lista de alcances.
Propiedades
El proveedor de seguridad de servicios OData de SAP define los siguientes parámetros adicionales:
| Parámetro | Predeterminado | Descripción |
|---|---|---|
| UseCsrfToken | Falso | Indica que las solicitudes HTTP inseguras (no GET) requieren un token de sincronización de Cross-Site Request Forgery (CSRF). Tenga en cuenta que, si una fuente de datos no está asociada con un proveedor de seguridad, App Builder utiliza tokens CSRF por defecto. |
Soporte de protocolo
Tokens de solicitud de falsificación entre sitios (csrf)
Los tokens de sincronización de Solicitud de Falsificación entre Sitios (CSRF) son un mecanismo de seguridad útil en un contexto de navegador cuando se utiliza un mecanismo de autenticación basado en cookies o autenticación HTTP Básica. Los tokens CSRF no son aplicables en un contexto de servidor a servidor. Dado que los tokens CSRF añaden complejidad y sobrecarga, hacen que el sistema sea más frágil. Por lo tanto, no se recomiendan los tokens CSRF. El soporte para los tokens CSRF se incluye para habilitar escenarios donde los clientes basados en navegador consumen los mismos puntos finales del Servicio OData que App Builder.
Solución de problemas
Solicitudes HTTP adicionales
Monitorear el tráfico de red puede revelar solicitudes HTTP adicionales resultantes de respuestas de 302 Redirect. Esto ocurre cuando la URL del servidor de origen de datos no incluye una barra diagonal al final. Por ejemplo, si la URL se ve así:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME
Cambia la URL a:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Error: No se pudo leer el documento de metadatos del contenido del mensaje.
El siguiente error puede ocurrir al probar una conexión de Servicio OData de SAP:
No se pudo leer el documento de metadatos del contenido del mensaje. UnexpectedXmlElement : El elemento 'app:service' fue inesperado para el elemento raíz. El elemento raíz debería ser Edmx.
Esto ocurre cuando la URL del servidor de origen de datos incluye una cadena de consulta. Por ejemplo, la URL puede verse así:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100
Para resolver el problema, elimina la cadena de consulta:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Error: El alcance de OAuth 2.0 solicitado excede el alcance otorgado por el propietario del recurso o el cliente de OAuth 2.0.
Puede recibir el siguiente error:
"error":"invalid_scope","error_description":"El alcance de OAuth 2.0 solicitado excede el alcance otorgado por el propietario del recurso o el cliente de OAuth 2.0. Asegúrese de que ambos tengan acceso a los alcances solicitados. Para más información, consulte los rastros del núcleo o la nota de SAP sobre la solución de problemas de OAuth 2.0 1688545" }
Esto significa que los alcances no son válidos para el usuario actual. Podría significar que:
- Los alcances listados son incorrectos.
- El usuario no está mapeado correctamente. Esto ocurre comúnmente cuando un administrador (con el nombre de usuario "admin") prueba la conexión. Si el usuario no está mapeado al nombre de usuario de SAP correcto, App Builder intentará autenticarse como el administrador utilizando los alcances dados.
El usuario es redirigido al formulario de inicio de sesión al consultar una tabla
App Builder redirigirá a un usuario al formulario de inicio de sesión si App Builder recibe una respuesta 401 Unauthorized de SAP NetWeaver Gateway. Si el usuario ya ha iniciado sesión, esto sugiere que SAP NetWeaver Gateway no reconoce el esquema de autorización Bearer. Suponiendo que la URL del endpoint es correcta, esto sugiere un problema de configuración en SAP NetWeaver Gateway, como:
- OAuth no ha sido configurado en el endpoint. El endpoint está respondiendo a la solicitud, pero no sabe cómo autenticar las solicitudes que incluyen un token de portador OAuth.
- El endpoint no ha sido creado. En cuyo caso, un endpoint diferente y de nivel superior puede estar respondiendo a la solicitud.