Erteilungsarterweiterung mit OAuth-2.0-SAML-Inhaber-Assertion konfigurieren

Bevor Sie sich authentifizieren können und und einen Zugriffstoken für den Zugriff auf Ressourcen mithilfe eines OAuth-2.0-Client erhalten, müssen Sie OAuth 2.0 für die Verwendung einer SAML-2.0-Inhabererteilungsart konfigurieren.

Voraussetzungen

Bevor Sie OAuth 2.0 mit einer SAML-2.0-Inhabererteilungsart konfigurieren können, müssen die folgenden Bedingungen erfüllt sein:

SSL muss auf dem AS ABAP eingerichtet sein (Details finden Sie unter AS ABAP für SSL-Unterstützung konfigurieren).
Ein vertrauenswürdiger SAML-Identity-Provider muss im Netzwerk verfügbar sein (siehe Vertrauenswürdigen Identity-Provider für OAuth 2.0 konfigurieren). Dieser Identity-Provider stellt die SAML-2.0-Assertion aus, die der OAuth-2.0-Client an den OAuth-2.0-Tokenendpunkt sendet.
Sie haben eine Vertrauensbeziehung zu diesem Identity-Provider konfiguriert.
Im AS ABAP gibt es einen Benutzer mit dem Typ System für jeden OAuth-2.0-Client. Weitere Informationen über das Einrichten von Benutzern dieses Typs finden Sie unter Funktionen der Benutzerverwaltung.

Vorgehensweise

Starten Sie die OAuth-2.0-Administration (Transaktion SOAUTH2).
Verwenden Sie im Unterabschnitt Authentifizierung des Ressourcenverantwortlichen die Option Erteilungsart SAML-2.0-Inhaber zulassen.
Hinweis Alternativ können Sie mehrere Authentifizierungsmethoden für Ressourcenverantwortliche, z.B. SAML-2.0-Inhaber-Assertion und Berechtigungscode, verwenden.
Wechseln Sie zum Feld Vertrauenswürdiger OAuth-2.0-IdP und wählen Sie den vertrauenswürdigen Identity-Provider über die Eingabehilfe.
(Optional) Um einen höheren Grad an Sicherheit in der SAML-Assertion zu gewährleisten, markieren Sie das Ankreuzfeld Erfordert Attribut "client_id".
(Optional) Markieren Sie zum Ausstellen weiterer Erneuerungstoken das Ankreuzfeld Aktualisierung erlaubt. Mit dem Parameter Erneuerungstoken läuft ab nach können Sie festlegen, wann der Erneuerungstoken ablaufen soll.
Wechseln Sie in die Spalte OAuth-2.0-Scope-ID im Unterabschnitt Scope-Zuordnung.
Verwenden Sie die Eingabehilfe für die Auswahl der OAuth-2.0-Scopes, auf die Sie zugreifen möchten.
Hinweis Die Scopes werden beispielsweise von SAP Gateway bereitgestellt. Weitere Informationen finden Sie unter OAuth-2.0-Scopes und SAP NetWeaver Gateway SAP NetWeaver Gateway Cookbooks .
Sichern Sie Ihre Änderungen.