Show TOC

Anwendungsbeispiel für den Zugriff auf Ressourcen mit OAuth 2.0 mithilfe einer SAML-2.0-Inhaber-AssertionLocate this document in the navigation structure

Verwendung

Sie wollen in einem Geschäftsbereich den Zugriff beschränken, damit Benutzer nur auf bestimmte Ressourcen zugreifen können. In OAuth 2.0 können Sie Zugriffsberechtigungen je nach Benutzer, der Anwendung und dem OAuth-2.0-Scope unterschiedlich definieren.

Voraussetzungen

  • Sie haben Ihren OAuth-2.0-Client beim OAuth-2.0-Autorisierungsserver registriert.

  • Der Client muss den Tokenendpunkt kennen.

  • Der Ressourcenverantwortliche hat den Client so konfiguriert, dass er die Ressourcen, auf die er zugreifen will und die zugehörigen Scopes kennt.

  • Dem Benutzer muss es erlaubt sein, den Zugriff auf diese Scopes für den entsprechenden OAuth-2.0-Client zu delegieren.

Beispiel

In einem Vertrieb greifen Vertriebsbeauftragte auf eine Anwendung im AS ABAP zu, die es ihnen ermöglicht, Rechnungen für Geschäftspartner in ihrer Vertriebsregion zu erstellen. Wenn diese Vertriebsbeauftragten die Rechnungen bearbeiten, sollten Sie keinen Zugriff auf die Stammdaten von Geschäftspartner anderer Vertriebsregionen haben oder ändern können. Aus diesem Grund schränkt der Ressourcenverantwortliche den Zugriff auf die Ressourcen ein, indem er unterschiedliche OAuth-2.0-Clients und Scopes für Vertriebsbeauftragte verschiedener Vertriebsbereiche einrichtet.

Sie arbeiten als regionaler Vertriebsbeauftragter in der Cloud-Anwendung, und diese Anwendung muss Projektdaten (das heißt, Ressourcen wie Rechnungen, Vertragsdaten und Stammdaten der Geschäftspartner) von einem AS-ABAP-Backend-System abrufen. Sie wollen sich nicht direkt am AS ABAP authentifizieren, sondern den OAuth-2.0-Zugriff im Auftrag von Ihnen verwenden.

Die Cloud-Anwendung greift auf SAP NetWeaver Gateway über das OData-Protokoll zu. SAP NetWeaver Gateway verwendet die OAuth-2.0-Serverrolle. Ihr OAuth-2.0-Scope enthält die Ressourcen A (Rechnungen), B (Vertragsdaten) und C (Geschäftspartnerstammdaten). Diese Daten, mit denen Sie häufig arbeiten müssen, sind auf Ihren Vertriebsbereich beschränkt.

Sie verwenden einen OAuth-2.0-Client, um der Cloud-Anwendung den Zugriff auf die Ressourcen zu ermöglichen. Sie geben dem Client einen Namen, der auf die vom Client verwendete Cloud-Anwendung hinweist (zum Beispiel OA2_ClApp). Dieser Client wird für die Anforderung eines Zugriffstoken, die Authentifizierung und die Übertragung Ihres Scope (Ressourcen A (Rechnungen), B (Vertragsdaten) und C (Geschäftspartnerstammdaten)) an den Autorisierungsserver im AS ABAP verwendet.

Bei der Authentifizierung fordert ein Identity-Provider vom Autorisierungsserver einen Zugriffstoken an und erhält ihn anschließend (in diesem Fall eine SAML-2.0-Inhaber-Assertion) . Der Autorisierungsserver sendet die SAML-2.0-Inhaber-Assertion an den Ressourcenserver. Der Ressourcenserver prüft, ob Sie berechtigt sind, auf die Ressourcen A (Rechnungen), B (Vertragsdaten) und C (Geschäftspartnerstammdaten) mit OAuth 2.0 zuzugreifen. Wenn dies der Fall ist, genehmigt das AS-ABAP-Backend Ihre Anforderung und macht die Ressourcen A (Rechnungen), B (Vertragsdaten) und C (Geschäftspartnerstammdaten) für Ihre Vertriebsregion verfügbar.

Hinweis

Sowohl der Authorisierungsserver als auch der Ressourcenserver befinden sich auf dem AS ABAP, obwohl sie separate Komponenten sind.

Weitere Informationen

Weitere Informationen finden Sie unter OAuth 2.0 konfigurieren.