点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

您好专家

我们有一个移动应用程序（使用Xamarin开发工具），并希望使用来自受Azure应用程序代理保护的SAP服务器的Odata服务。 我们在通过代理服务器预身份验证并到达SAP服务器时遇到了一些问题。 我需要一些意见/建议，我们如何才能通过？

这是一个非常复杂的环境，所以请允许我在开始时提供一些背景知识。

涉及的系统

• SAP FEX是SAP Fiori服务器。 它提供了一些Odata服务。 SAP OAuth令牌也从此处发出。 它接受来自ADFS的SAML身份验证。
• ADFS – SAP FEX的IDP。 信任关系建立在FEX和ADFS之间。 浏览器SSO工作正常。
• Azure AD – Azure AD，提供用于从Internet访问的身份验证服务，例如MFA（多因素身份验证）。 它使用ADFS作为身份验证代理。
• Azure应用程序代理–保护SAP资源的代理服务。 它接受Azure AD身份验证结果，即Azure AD JWT access_token。

内部网场景

Internet场景

我们遵循下面链接中的SAP文档。 而且，我们能够在Intranet中获得Odata服务，该服务在图片中没有Azure AD和Azure应用程序代理。

https://help.sap.com/查看器/e815bb97839a4d83be6c4fca48ee5777/7.51.6/zh-CN/01043cc6765b48cfbc1564a9839a29ee.html

我们还能够通过Microsoft ADAL库从Azure AD获取访问令牌，并且代理服务器可以接受该令牌。 我们在http请求的授权标头中添加了access_token，然后该请求到达了SAP系统，并且由于该请求未带有SAP要求的身份验证，因此我们从SAP系统中收到了HTTP 401错误。

但是，如果我们将SAP身份验证携带到http请求的授权标头中，则无法通过代理身份验证。 我们也不能在同一请求中携带两个授权标头，因为它不允许我这样做。

所以问题是我们如何在互联网场景中同时通过代理身份验证和SAP身份验证并到达Odata服务？ 是否有人曾经有过类似的经历并与我分享一些想法？

顺便说一句，浏览器对Odata服务的访问似乎可以从Internet正常运行。 因此，我相信必须有一种方法可以使其在移动应用中正常工作。

谢谢

沉阳