Ir para o conteúdo

Provedor de Segurança - Serviços SAP OData

O provedor de segurança do SAP OData Services autentica solicitações feitas a um endpoint do SAP NetWeaver Gateway Serviço OData. O provedor de segurança do SAP OData Services oferece suporte aos seguintes tipos de autenticação:

  • Autenticação básica HTTP
  • Asserção de portadora OAuth SAML 2.0

Configuração

Tipos de Autenticação

Autenticação Básica HTTP

Veja o provedor de segurança HTTP para detalhes sobre como configurar HTTP Basic Authentication.

Asserção de Portadora OAuth SAML 2.0

Veja o provedor de segurança OAuth para obter detalhes sobre como configurar a concessão * SAML 2.0 Bearer Assertion*.

Escopos

O provedor de segurança SAP OData Services pode gerar escopos dinamicamente com base na associação ao grupo de usuários. Se o usuário for um membro de an App Builder grupo de segurança e esse grupo de segurança é mapeado para um grupo de provedores de segurança, App Builder anexará o identificador do grupo do provedor de segurança à lista de escopos.

Propriedades

O provedor de segurança do SAP OData Services define os seguintes parâmetros adicionais:

Parâmetro Padrão Descrição
UseCsrfToken False Indica que solicitações HTTP inseguras (não GET) exigem um token de sincronização Cross-Site Request Forgery (CSRF). Observe que, se uma fonte de dados não estiver associada a um provedor de segurança, App Builder usa tokens CSRF por padrão.

Suporte de Protocolo

Tokens de Falsificação de Solicitação Entre Sites (csrf)

Os tokens de sincronização Cross-Site Request Forgery (CSRF) são um mecanismo de segurança útil em um contexto de navegador ao usar um mecanismo de autenticação baseado em cookie ou autenticação HTTP Basic. Os tokens CSRF não são aplicáveis em um contexto de servidor para servidor. Como os tokens CSRF adicionam complexidade e sobrecarga, eles tornam o sistema mais frágil. Os tokens CSRF, portanto, não são recomendados. O suporte para tokens CSRF é incluído para habilitar cenários em que clientes baseados em navegador estão consumindo os mesmos endpoints do Serviço OData que App Builder.

Solução de Problemas

Solicitações HTTP Extras

O monitoramento do tráfego de rede pode revelar solicitações HTTP extras resultantes de 302 Redirect respostas. Isso ocorre quando a URL do servidor de fonte de dados não inclui uma barra final. Por exemplo, se a URL se parece com isso:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME

Altere o URL para:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Erro: O Documento de Metadados Não Pôde Ser Lido a Partir do Conteúdo da Mensagem.

O seguinte erro pode ocorrer ao testar uma conexão do SAP Serviço OData:

O documento de metadados não pôde ser lido do conteúdo da mensagem. UnexpectedXmlElement : O elemento 'app:service' era inesperado para o elemento raiz. O elemento raiz deve ser Edmx.

Isso ocorre quando a URL do servidor de fonte de dados inclui uma string de consultar. Por exemplo, a URL pode se parecer com isto:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100

Para resolver o problema, remova a string de consultar:

https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/

Erro: O Escopo do OAuth 2.0 Solicitado Excede o Escopo Concedido pelo Proprietário do Recurso Ou pelo Cliente OAuth 2.0.

Você pode receber o seguinte erro:

"error":"invalid_scope","error_description":"O escopo do OAuth 2.0 solicitado excede o escopo concedido pelo proprietário do recurso ou pelo cliente do OAuth 2.0. Certifique-se de que ambos tenham acesso aos escopos solicitados. Para obter mais informações, consulte os rastreamentos do kernel ou a nota SAP 1688545 de solução de problemas do OAuth 2.0" }

Isso significa que os escopos não são válidos para o usuário atual. Pode significar que:

  1. Os escopos listados estão incorretos.
  2. O usuário não está mapeado corretamente. Isso geralmente acontece quando um administrador (com o nome de usuário "admin") testa a conexão. Se o usuário não estiver mapeado para o nome de usuário SAP correto, App Builder tentará autenticar como administrador usando os escopos fornecidos.

O Usuário é Redirecionado para o Formulário de Login ao Consultar uma Tabela

App Builder redirecionará um usuário para o formulário de login se App Builder recebe um 401 Unauthorized resposta do SAP NetWeaver Gateway. Se o usuário já tiver feito login, isso sugere que o SAP NetWeaver Gateway não reconhece o Bearer esquema de autorização. Supondo que a URL do endpoint esteja correta, isso sugere um problema de configuração no SAP NetWeaver Gateway, como:

  • OAuth não foi configurado no endpoint. O endpoint está respondendo à solicitação, mas não sabe como autenticar solicitações que incluem um token portador OAuth.
  • O endpoint não foi criado. Nesse caso, um endpoint diferente, de nível mais alto, pode estar respondendo à solicitação.