提问
Identity Provisioning SAP Cloud Platform SAP Cloud Platform Connectivity Identity Authentication OData SAP Cloud Platform Portal cloud connector principal propagation identity provider trust

将SCP用户ID(IdP)从UI5应用安全转移到SAP后端系统

2020-09-03 11:25发布

站内问答 / Others
2443 9 5

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我们当前在SAP Cloud Platform环境Neo中开发SAPUI5应用程序。 我们面临的问题不是很普遍,但尚未解决。 我们做了很多研究,却发现几乎没有。

申请要求:

来自不同地点的员工需要通过Web应用程序进行交互以创建一些反馈,这些反馈将被传输到SAP后端系统中。 每天对数量和库存的响应。

员工没有SAP后端用户,他们不应该得到一个后端用户,因为他们在后端系统中根本没有任何其他任务。 这是我无法改变的决定。

因此,每位员工都应在SAP IdP(SAP Cloud Platform Identity Provider)中获得一个SCP用户。 SCP和后端之间的通信将通过SAP接口用户(非对话)完成。 但是我们需要知道哪个SCP IdP用户已登录 并向我们发送了请求。 在开发过程中,我们通过OData服务发送了SCP IdP用户ID,该ID未保存并且可以进行操作,例如 通过Chrome开发工具等。

我们尝试了以下设置,以使用逐步指南 Cloud Platform Connectivity主体传播,练习B1-B3。 我只在这里提到主要步骤。

  1. 通过IdP建立信任
  2. 导出系统证书(云连接器)以使其与后端熟悉
  3. 配置Cloud Connector的CA证书
  4. 配置SAP后端以信任Cloud Connector(事务STRUST)
  5. 在SAP后端中导入证书以进行用户映射(Transaction CERTRULE)
  6. 创建SCP目标以将用户凭据传播到SAP后端

但是我们仍然会看到一个登录对话框,在这里我们需要使用SAP后端用户进行登录。 我们还尝试了在SCIF服务中使用不同的登录模式。 没有成功。

我想我一直需要一个SAP后端用户,因此我们需要存储技术。 SAP用户进入SCP目标或进入SICF服务。 还是我设置的主体传播没有正确完成,所以SAP后端通过显示登录对话框来回答我的错误设置?

总而言之,我有两个问题:

  1. 如果我正确配置了SCP,Cloud Connector和SAP后端之间的主要传播,是否可以在没有SAP后端用户的情况下将Web应用程序连接到SAP后端?
  2. 是否有可能将SCP IdP用户ID从SCP Web应用安全转移到SAP后端?

第二个问题最困扰我们。 据我所知,SCP目的地或SICF服务中的技术SAP用户可以"绕过"第一个问题。

关于您的H.P。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我们当前在SAP Cloud Platform环境Neo中开发SAPUI5应用程序。 我们面临的问题不是很普遍,但尚未解决。 我们做了很多研究,却发现几乎没有。

申请要求:

来自不同地点的员工需要通过Web应用程序进行交互以创建一些反馈,这些反馈将被传输到SAP后端系统中。 每天对数量和库存的响应。

员工没有SAP后端用户,他们不应该得到一个后端用户,因为他们在后端系统中根本没有任何其他任务。 这是我无法改变的决定。

因此,每位员工都应在SAP IdP(SAP Cloud Platform Identity Provider)中获得一个SCP用户。 SCP和后端之间的通信将通过SAP接口用户(非对话)完成。 但是我们需要知道哪个SCP IdP用户已登录 并向我们发送了请求。 在开发过程中,我们通过OData服务发送了SCP IdP用户ID,该ID未保存并且可以进行操作,例如 通过Chrome开发工具等。

我们尝试了以下设置,以使用逐步指南 Cloud Platform Connectivity主体传播,练习B1-B3。 我只在这里提到主要步骤。

  1. 通过IdP建立信任
  2. 导出系统证书(云连接器)以使其与后端熟悉
  3. 配置Cloud Connector的CA证书
  4. 配置SAP后端以信任Cloud Connector(事务STRUST)
  5. 在SAP后端中导入证书以进行用户映射(Transaction CERTRULE)
  6. 创建SCP目标以将用户凭据传播到SAP后端

但是我们仍然会看到一个登录对话框,在这里我们需要使用SAP后端用户进行登录。 我们还尝试了在SCIF服务中使用不同的登录模式。 没有成功。

我想我一直需要一个SAP后端用户,因此我们需要存储技术。 SAP用户进入SCP目标或进入SICF服务。 还是我设置的主体传播没有正确完成,所以SAP后端通过显示登录对话框来回答我的错误设置?

总而言之,我有两个问题:

  1. 如果我正确配置了SCP,Cloud Connector和SAP后端之间的主要传播,是否可以在没有SAP后端用户的情况下将Web应用程序连接到SAP后端?
  2. 是否有可能将SCP IdP用户ID从SCP Web应用安全转移到SAP后端?

第二个问题最困扰我们。 据我所知,SCP目的地或SICF服务中的技术SAP用户可以"绕过"第一个问题。

关于您的H.P。

付费偷看设置
发送
9条回答
黑丝骑士
1楼 · 2020-09-03 11:26.采纳回答

嗨,

要通过Cloud Connector或SAPAssertionSSO使用主体传播,后端系统中也必须存在用户ID,因此无法解决此问题,这就是为什么要获得2 nd 在测试期间来自后端系统的身份验证请求。 您只需使用技术用户在SAP Cloud Platform中进行目标配置来回答自己的问题。

关于第二个 nd 问题,我想我知道您要做什么,但我不建议您这样做。 您正在尝试绕过后端系统的身份验证方法,这存在很高的安全风险。

宇峰Kouji
2楼-- · 2020-09-03 11:37

大家好,

对此有什么解决方案吗? 我有完全相同的要求,也不想在UI5应用程序中使用User-API并冒被篡改请求的风险。

此致

Daniel

吹牛啤
3楼-- · 2020-09-03 11:46

大家好,

我有类似的要求,我正在构建一个完整堆栈的SAPUI5应用程序,以HTML 5应用程序的形式部署在Neo Stack上。

1。 我的子帐户已配置为SF扩展帐户

2。 我已将子帐户设置为针对SF的服务提供商,这是我的IdP

3。 子帐户触发的所有资源都会受到SuccessFactors登录页面的挑战

4。 输入我的SF凭证

5。 瞧,我可以查看我的SAPUI5应用程序。

6。 从现在开始,我喜欢阅读SAPUI5应用程序中的SAML断言属性,我们是否知道如何实现此目的。 在配置SSO期间,是否需要在SuccessFactors设置登录中进行设置。

非常感谢您的经验。

此致

RL

上一页 1 2

一周热门 更多>

点击此处---> EasySAP.com 一起学习S4 HANA ...