Proveedor de Seguridad - Servicios SAP OData¶
El proveedor de seguridad de Servicios SAP OData autentica las solicitudes realizadas a un extremo del Servicio OData de SAP NetWeaver Gateway. El proveedor de seguridad de SAP OData Services admite los siguientes tipos de autenticación:
- Autenticación básica HTTP
- Afirmación de portador de OAuth SAML 2.0
Configuración¶
Tipos de Autenticación¶
Autenticación Básica HTTP¶
Consulte el proveedor de seguridad HTTP para obtener detalles sobre cómo configurar la Autenticación básica HTTP.
Afirmación de Portador de OAuth SAML 2.0¶
Consulte el proveedor de seguridad OAuth para obtener detalles sobre cómo configurar la concesión * SAML 2.0 Bearer Assertion*.
Alcances¶
El proveedor de seguridad de SAP OData Services puede generar ámbitos dinámicamente según la pertenencia al grupo de usuarios. Si el usuario es miembro de un grupo de seguridad de Vinyl y ese grupo de seguridad está asignado a un grupo de proveedores de seguridad, Vinyl agregará el identificador del grupo de proveedores de seguridad a la lista de ámbitos.
Propiedades¶
El proveedor de seguridad de SAP OData Services define los siguientes parámetros adicionales:
| Parámetro | Predeterminado | Descripción |
|---|---|---|
| UsarCsrfToken | Falso | Indica que las solicitudes HTTP inseguras (no GET) requieren un token de sincronización de falsificación de solicitudes entre sitios (CSRF). Tenga en cuenta que, si una fuente de datos no está asociada con un proveedor de seguridad, Vinyl usa tokens CSRF de forma predeterminada. |
Soporte de Protocolo¶
Tokens de Falsificación de Solicitudes Entre Sitios (csrf)¶
Los tokens de sincronización de falsificación de solicitudes entre sitios (CSRF) son un mecanismo de seguridad útil en el contexto del navegador cuando se utiliza un mecanismo de autenticación basado en cookies o autenticación básica HTTP. Los tokens CSRF no se aplican en un contexto de servidor a servidor. Dado que los tokens CSRF añaden complejidad y gastos generales, hacen que el sistema sea más frágil. Por lo tanto, no se recomiendan los tokens CSRF. Se incluye compatibilidad con tokens CSRF para habilitar escenarios en los que los clientes basados en navegador consumen los mismos extremos del Servicio OData que Vinyl.
Solución de Problemas¶
Solicitudes HTTP Adicionales¶
La supervisión del tráfico de la red puede revelar solicitudes HTTP adicionales resultantes de 302 Redirect respuestas. Esto ocurre cuando la URL del servidor de origen de datos no incluye una barra diagonal. Por ejemplo, si la URL tiene este aspecto:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME
Cambie la URL a:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Error: No Se Pudo Leer el Documento de Metadatos a Partir del Contenido del Mensaje.¶
El siguiente error puede ocurrir al probar una conexión del servicio SAP Servicio OData:
No se pudo leer el documento de metadatos a partir del contenido del mensaje. UnexpectedXmlElement: el elemento 'app:service' era inesperado para el elemento raíz. El elemento raíz debe ser Edmx.
Esto ocurre cuando la URL del servidor de origen de datos incluye una cadena de consultar. Por ejemplo, la URL puede verse así:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100
Para resolver el problema, elimine la cadena de consultar:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Error: el Alcance de OAuth 2.0 Solicitado Excede el Alcance Otorgado por el Propietario del Recurso o el Cliente de OAuth 2.0.¶
Es posible que reciba el siguiente error:
"error":"invalid_scope","error_description":"El alcance de OAuth 2.0 solicitado excede el alcance otorgado por el propietario del recurso o el cliente de OAuth 2.0. Asegúrese de que ambos tengan acceso a los alcances solicitados. Para obtener más información, consulte los seguimientos del kernel o la nota de SAP de solución de problemas de OAuth 2.0 1688545" }
Esto significa que los ámbitos no son válidos para el usuario actual. Podría significar que:
- Los ámbitos enumerados son incorrectos.
- El usuario no está asignado correctamente. Esto suele ocurrir cuando un administrador (con el nombre de usuario "admin") prueba la conexión. Si el usuario no está asignado al nombre de usuario de SAP correcto, Vinyl intentará autenticarse como administrador utilizando los ámbitos proporcionados.
El Usuario Es Redirigido al Formulario de Inicio de Sesión Cuando Consulta una Tabla¶
Vinyl redirigirá al usuario al formulario de inicio de sesión si Vinyl recibe un 401 Unauthorized respuesta de SAP NetWeaver Gateway. Si el usuario ya ha iniciado sesión, esto sugiere que SAP NetWeaver Gateway no reconoce el Bearer esquema de autorización. Suponiendo que la URL del extremo sea correcta, esto sugiere un problema de configuración en SAP NetWeaver Gateway, como por ejemplo:
- OAuth no se ha configurado en el extremo. El extremo responde a la solicitud, pero no sabe cómo autenticar solicitudes que incluyen un token de portador de OAuth.
- El extremo no ha sido creado. En cuyo caso, es posible que un extremo diferente de nivel superior esté respondiendo a la solicitud.