Provedor de Segurança - Serviços SAP OData¶
O provedor de segurança SAP OData Services autentica solicitações feitas a um endpoint do SAP NetWeaver Gateway Serviço OData. O provedor de segurança SAP OData Services oferece suporte aos seguintes tipos de autenticação:
- Autenticação básica HTTP
- Asserção do portador OAuth SAML 2.0
Configuração¶
Tipos de Autenticação¶
Autenticação Básica HTTP¶
Consulte o provedor de segurança HTTP para obter detalhes sobre como configurar a Autenticação básica HTTP.
Asserção do Portador OAuth SAML 2.0¶
Consulte o provedor de segurança OAuth para obter detalhes sobre como configurar a concessão * SAML 2.0 Bearer Assertion*.
Escopos¶
O provedor de segurança SAP OData Services pode gerar escopos dinamicamente com base na associação ao grupo de usuários. Se o usuário for membro de um grupo de segurança do Vinyl e esse grupo de segurança estiver mapeado para um grupo de provedores de segurança, o Vinyl anexará o identificador do grupo de provedores de segurança à lista de escopos.
Propriedades¶
O provedor de segurança SAP OData Services define os seguintes parâmetros adicionais:
| Parâmetro | Padrão | Descrição |
|---|---|---|
| UsarCsrfToken | Falso | Indica que solicitações HTTP inseguras (não GET) exigem um token de sincronização Cross-Site Request Forgery (CSRF). Observe que, se uma fonte de dados não estiver associada a um provedor de segurança, o Vinyl usa tokens CSRF por padrão. |
Suporte a Protocolo¶
Tokens de Falsificação de Solicitação Entre Sites (csrf)¶
Os tokens de sincronização Cross-Site Request Forgery (CSRF) são um mecanismo de segurança útil em um contexto de navegador ao usar um mecanismo de autenticação baseado em cookie ou autenticação HTTP básica. Os tokens CSRF não são aplicáveis em um contexto de servidor para servidor. Como os tokens CSRF acrescentam complexidade e sobrecarga, eles tornam o sistema mais frágil. Os tokens CSRF, portanto, não são recomendados. O suporte para tokens CSRF está incluído para permitir cenários em que clientes baseados em navegador consomem os mesmos endpoints do Serviço OData que o Vinyl.
Solução de Problemas¶
Solicitações HTTP Extras¶
O monitoramento do tráfego de rede pode revelar solicitações HTTP extras resultantes de 302 Redirect respostas. Isso ocorre quando o URL do servidor de origem de dados não inclui uma barra final. Por exemplo, se o URL for assim:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME
Altere o URL para:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Erro: o Documento de Metadados Não Pôde Ser Lido a Partir do Conteúdo da Mensagem.¶
O seguinte erro pode ocorrer ao testar uma conexão do SAP Serviço OData:
O documento de metadados não pôde ser lido no conteúdo da mensagem. UnexpectedXmlElement: o elemento 'app:service' foi inesperado para o elemento raiz. O elemento raiz deve ser Edmx.
Isso ocorre quando a URL do servidor de origem de dados inclui uma string de consultar. Por exemplo, o URL pode ser assim:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/?sap-client=100
Para resolver o problema, remova a string de consultar:
https://example.com/sap/opu/odata/IWBEP/SERVICE_NAME/
Erro: o Escopo do OAuth 2.0 Solicitado Excede o Escopo Concedido pelo Proprietário do Recurso Ou pelo Cliente OAuth 2.0.¶
Você pode receber o seguinte erro:
"error":"invalid_scope","error_description":"O escopo do OAuth 2.0 solicitado excede o escopo concedido pelo proprietário do recurso ou pelo cliente OAuth 2.0. Certifique-se de que ambos tenham acesso aos escopos solicitados. Para obter mais informações, consulte os rastreamentos do kernel ou a solução de problemas do OAuth 2.0, nota SAP 1688545" }
Isto significa que os escopos não são válidos para o usuário atual. Isso pode significar que:
- Os escopos listados estão incorretos.
- O usuário não está mapeado corretamente. Isso geralmente acontece quando um administrador (com o nome de usuário “admin”) testa a conexão. Se o usuário não estiver mapeado para o nome de usuário SAP correto, o Vinyl tentará se autenticar como administrador usando os escopos fornecidos.
O Usuário é Redirecionado para o Formulário de Login ao Consultar uma Tabela¶
O Vinyl redirecionará um usuário para o formulário de login se o Vinyl receber um 401 Unauthorized resposta do SAP NetWeaver Gateway. Se o usuário já tiver feito login, isso sugere que o SAP NetWeaver Gateway não reconhece o Bearer regime de autorização. Supondo que o URL do endpoint esteja correto, isso sugere um problema de configuração no SAP NetWeaver Gateway, como:
- OAuth não foi configurado no endpoint. O endpoint está respondendo à solicitação, mas não sabe como autenticar solicitações que incluem um token de portador OAuth.
- O endpoint não foi criado. Nesse caso, um endpoint diferente e de nível superior pode estar respondendo à solicitação.