Provedor de segurança de serviços OData SAP no Jitterbit App Builder
O provedor de segurança de Serviços OData SAP autentica solicitações feitas a um endpoint de Serviço OData do SAP NetWeaver Gateway. O provedor de segurança de Serviços OData SAP suporta os seguintes tipos de autenticação:
- Autenticação Básica HTTP
- Assertiva Bearer SAML 2.0 OAuth
Configuração
Tipos de autenticação
Autenticação básica HTTP
Consulte o provedor de segurança HTTP para detalhes sobre como configurar a Autenticação Básica HTTP.
Assertiva Bearer SAML 2.0 OAuth
Consulte o provedor de segurança OAuth para detalhes sobre como configurar a concessão de Assertiva Bearer SAML 2.0.
Escopos
O provedor de segurança de Serviços OData SAP pode gerar escopos dinamicamente com base na associação a grupos de usuários. Se o usuário for membro de um grupo de segurança do App Builder e esse grupo de segurança estiver mapeado para um grupo de provedor de segurança, o App Builder adicionará o identificador do grupo de provedor de segurança à lista de escopos.
Propriedades
O provedor de segurança de Serviços OData SAP define os seguintes parâmetros adicionais:
| Parâmetro | Padrão | Descrição |
|---|---|---|
| UseCsrfToken | Falso | Indica que solicitações HTTP inseguras (não-GET) requerem um token de sincronização de Cross-Site Request Forgery (CSRF). Observe que, se uma fonte de dados não estiver associada a um provedor de segurança, o App Builder usa tokens CSRF por padrão. |
Suporte a protocolo
Tokens de solicitação entre sites (csrf)
Tokens de sincronização de Solicitação entre Sites (CSRF) são um mecanismo de segurança útil em um contexto de navegador ao usar um mecanismo de autenticação baseado em cookie ou autenticação HTTP Básica. Tokens CSRF não são aplicáveis em um contexto de servidor para servidor. Como os tokens CSRF adicionam complexidade e sobrecarga, eles tornam o sistema mais frágil. Portanto, os tokens CSRF não são recomendados. O suporte para tokens CSRF é incluído para habilitar cenários onde clientes baseados em navegador estão consumindo os mesmos endpoints de Serviço OData que o App Builder.
Solução de problemas
Solicitações HTTP extras
Monitorar o tráfego de rede pode revelar solicitações HTTP extras resultantes de respostas 302 Redirect. Isso ocorre quando a URL do servidor de origem de dados não inclui uma barra final. Por exemplo, se a URL parecer com isto:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME
Altere a URL para:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Erro: O documento de metadados não pôde ser lido do conteúdo da mensagem.
O seguinte erro pode ocorrer ao testar uma conexão de Serviço OData SAP:
O documento de metadados não pôde ser lido do conteúdo da mensagem. UnexpectedXmlElement : O elemento 'app:service' foi inesperado para o elemento raiz. O elemento raiz deve ser Edmx.
Isso ocorre quando a URL do servidor de origem de dados inclui uma string de consulta. Por exemplo, a URL pode parecer com isto:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100
Para resolver o problema, remova a string de consulta:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Erro: O escopo OAuth 2.0 solicitado excede o escopo concedido pelo proprietário do recurso ou cliente OAuth 2.0.
Você pode receber o seguinte erro:
"error":"invalid_scope","error_description":"O escopo OAuth 2.0 solicitado excede o escopo concedido pelo proprietário do recurso ou cliente OAuth 2.0. Certifique-se de que ambos tenham acesso aos escopos solicitados. Para mais informações, consulte os rastros do kernel ou a nota de solução de problemas do OAuth 2.0 SAP nota 1688545" }
Isso significa que os escopos não são válidos para o usuário atual. Isso pode significar que:
- Os escopos listados estão incorretos.
- O usuário não está mapeado corretamente. Isso acontece comumente quando um administrador (com o nome de usuário "admin") testa a conexão. Se o usuário não estiver mapeado para o nome de usuário SAP correto, o App Builder tentará autenticar-se como o administrador usando os escopos fornecidos.
O usuário é redirecionado para o formulário de login ao consultar uma tabela
O App Builder redirecionará um usuário para o formulário de login se receber uma resposta 401 Unauthorized do SAP NetWeaver Gateway. Se o usuário já estiver conectado, isso sugere que o SAP NetWeaver Gateway não reconhece o esquema de autorização Bearer. Supondo que a URL do endpoint esteja correta, isso sugere um problema de configuração no SAP NetWeaver Gateway, como:
- OAuth não foi configurado no endpoint. O endpoint está respondendo à solicitação, mas não sabe como autenticar solicitações que incluem um token de portador OAuth.
- O endpoint não foi criado. Nesse caso, um endpoint diferente e de nível superior pode estar respondendo à solicitação.