点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨
我目前正在一个项目上,该项目包含许多需要不同身份验证机制的应用程序,但仍要通过OData设置一直到SAP Cloud Connector。 方案包括:
1。 特定于用户的应用程序-通过OData Provisioning通过SAP Cloud Connector读写后端ERP系统->后端ERP系统。 这已成功使用,并且已建立完整的主体传播安全性,并且成功识别了所有用户。
此方案有用:
-子帐户级别的ApptoAppSSO目的地,指向gwaas应用程序(Odata设置)。
-使用Opremise和Principal Propagation设置指向特定于后端ERP系统的OData供应特定目的地
为此,我在SAP Cloud Connector中将访问控制设置设置为Principal Type = X509证书,并且还将一个短期证书从SCC加载到后端ERP系统中。
所有这些工作都很好。 此设置绝对没有问题。
2。 因此,仅从后端ERP系统读取的应用程序,所有用户都读取相同的内容,而我们无需根据用户ID读取任何不同的内容。 为此,我期望使用相同的设置。 完全如上所述,使用ApptoAppSSO在子帐户级别创建一个新目的地。 然后,这将指向OData设置目的地,但在这种情况下,它将使用基本身份验证而不是主体传播。
这意味着我需要SCC中的一个新访问控制条目,该条目没有将X509证书传递给ERP系统。
但是,我做了所有这一切,但没有用。 我在基本身份验证中使用的用户ID已分配了所有角色,但仍然无法使用。 我在OData设置故障排除功能中收到UNAUTHORIZED消息。
我很清楚,我仍然在后端运行CERTRULE,所以不确定使用"基本身份验证"选项如何工作-尤其是在没有证书通过的情况下。
因此,正在寻求帮助以使其正常工作。 我在线阅读了混合消息,试图找到答案,在某些情况下,我发现OData设置和基本身份验证不起作用的声明? 有人可以确认吗?
我已经检查了SICF中的/IWBEP服务,因此不确定是否需要调整登录过程,但是不必针对"主体传播"设置执行此操作,因此在这里更改此设置没有任何意义。
任何帮助都会得到很大的帮助。
谢谢! 和亲切的问候
菲尔·库利
(31.2 kB)
很高兴报告此问题,现已解决。 解决方法是更改SICF中的IWBEP服务,并将"登录数据->过程"设置更改为L-"替代登录过程"。
在"登录过程"列表中,我将"基本身份验证"选项移到了第一位置。
此问题已解决。
因此,总体设置包括:
-SAP Cloud Connector中的新访问控制设置。 主体类型设置应为"无"。
-具有AppToAppSSO设置的子帐户目标->指向ODP基本身份验证目标。
-具有基本身份验证的ODP目标,其登录ID具有GW_User角色+后端安全角色。
通过上述设置,效果很好!
@ Rehan Zaidi -请参阅我最近写的有关如何设置此内容的博客文章 充分地。
https://blogs.sap.com/2019/12/01/odata-provisioning-options-principal-propagation-and-basic-authentication/
希望这会有所帮助!
亲切问候
Phil Cooley
您好 Rehan Zaidi -请参阅我就此主题撰写的博客文章。 我已经使用了这种方法,并且成功了。
祝你好运! 如果这对您不起作用,请给我喊。
https://blogs.sap.com/2019/12/01/odata-provisioning-options-principal-propagation-and-basic-authentication/
亲切的问候
Phil Cooley
一周热门 更多>