Show TOC

Berechtigungscode-Flow für OAuth 2.0Locate this document in the navigation structure

Voraussetzungen

Wenn Sie den Berechtigungscode-Flow für OAuth 2.0 verwenden möchten, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Der OAuth-2.0-Ressourcenverantwortliche ist ein Benutzer des Typs Dialog im AS ABAP.

  • Der Ressourcenverantwortliche verfügt über die erforderlichen Berechtigungen für den Zugriff auf die geschützten Ressourcen, auf die ein OAuth-2.0-Client zugreifen soll.

  • In der Konfiguration des OAuth-2.0-Clients haben Sie OAuth-2.0-Scopes in Scope-Zuordnung zugewiesen.

  • Sie haben dem Ressourcenverantwortlichen die Berechtigung zum Delegieren des Zugriffs auf den OAuth-2.0-Client erteilt.

  • Der OAuth-2.0-Client muss identisch mit einem Benutzer des Typs System sein.

  • Sie haben die Erteilungsart Berechtigungscode in der OAuth-2.0-Client-Konfiguration aktiviert.

  • Sie haben einen Endpunkt Ihrer OAuth-2.0-Client-Web-Anwendung als Umleitungs-URI in der OAuth-2.0-Client-Konfiguration registriert.

  • Sie haben eine Anwendung wie SAP NetWeaver Gateway installiert, die OData auf AS ABAP unterstützt.

Weitere Informationen finden Sie im SAP-Hinweis 1688545 Auf SAP-Site veröffentlichte Informationen und unter OAuth 2.0 konfigurieren.

Vorgehensweise

Sie möchten eine Browser-basierte Web-Anwendung, die als OAuth-2.0-Client agiert, für den Zugriff einer Auswahl auf einem AS ABAP gehosteter geschützter Ressourcen zulassen. Die Web-Anwendung selbst kann entweder on-premise oder in der Cloud gehostet werden. OAuth 2.0 erlaubt Ressourcenverantwortlichen, eine Teilmenge Ihrer Berechtigungen an einen OAuth-2.0-Client zu delegieren, ohne ihre Credentials wie Benutzername und Kennwort offenzulegen. Der Client kann anschließend auf diese Ressourcen im Auftrag des Ressourcenverantwortlichen zugreifen.

Damit der Zugriff auf die Ressourcen zugelassen wird, interagieren der OAuth-2.0-Client und der Autorisierungsserver, um den Ressourcenverantwortlichen zu authentifizieren und die erforderlichen Berechtigungen an den OAuth-2.0-Client innerhalb des Berechtigungscode-Flow zu delegieren.

Abbildung 1:OAuth-2.0-Erteilungsart: Berechtigungscode

  1. Der Ressourcenverantwortliche ruft die geschützten Ressourcen mithilfe des OAuth-2.0-Clients auf.

  2. Der OAuth-2.0-Client hat keinen Zugriffstoken für das Zielsystem und leitet den Browser auf den Berechtigungsendpunkt des Autorisierungsservers um. Diese Umleitung wird Berechtigungscode-Anforderung genannt. Der Ressourcenverantwortliche wird am Autorisierungsserver authentifiziert und kann den Zugriff weiter beschränken oder den Zugriff auf vorausgewählte Scopes erteilen.

  3. Der Autorisierungsserver sendet den Berechtigungscode zurück an den OAuth-2.0-Client, indem er den User-Agenten des Ressourcenverantwortlichen zurück zur Umleitungs-URI leitet, der während der OAuth-2.0-Client-Registrierung festgelegt wurde.

  4. Der OAuth-2.0-Client sendet eine Zugriffstokenanforderung an den Tokenendpunkt des Autorisierungsservers. Diese Zugriffstokenanforderung enthält den Berechtigungscode.

  5. Der Autorisierungsserver erhält die Zugriffstokenanforderung an seinem Tokenendpunkt und validiert den Berechtigungscode. Nach erfolgreicher Validierung gibt der Autorisierungsserver einen Zugriffstoken an den OAuth-2.0-Client zurück.

  6. Der OAuth-2.0-Client verwendet den Zugriffstoken für das Anfordern von Ressourcen.

  7. Der Ressourcenserver erteilt dem OAuth-2.0-Client entsprechend dem Zugriffstoken Zugriff auf geschützte Ressourcen.

Ergebnis

Bei Verwendung des OAuth-2.0-Clients brauchen Sie keine Credentials mitzuteilen und können auf zulässige Ressourcen mit eingeschränkten Berechtigungen zugreifen.

Weitere Informationen

Weitere Informationen finden Sie in folgenden Abschnitten: