Show TOC

SAML-2.0-Inhaber-Assertion-Flow für den OAuth-2.0-ClientLocate this document in the navigation structure

Es stehen von SAP ausgelieferte Service-Provider-Typen wie SAP JAM zur Verfügung, die SAML-2.0-Inhaber-Assertion-Flows verwenden, um dem OAuth-2.0-Client einen Zugriffstoken zu erteilen.

Für den Zugriff auf eine durch OAuth 2.0 geschützte Ressource muss sich ein OAuth-2.0-Client mit einem Zugriffstoken authentifizieren. Die Erteilungsart SAML-2.0-Inhaber-Assertion wird zur Beschaffung eines initialen Zugriffstokens von einem OAuth-2.0-Autorisierungsserver verwendet. Der AS ABAP löst den SAML-2.0-Inhaber-Assertion-Flow ohne Interaktion durch einen Benutzer aus. Voraussetzung dafür ist, dass zwischen dem Autorisierungsserver und dem AS ABAP eine Vertrauensbeziehung bestehen muss, damit SAML-2.0-Inhaber-Assertions vom AS ABAP ausgestellt und den Autorisierungsserver akzeptiert werden können.

Die Erteilungsart SAML-2.0-Inhaber-Assertion bezieht sich auf den IETF-Entwurf SAML-2.0-Profil zur OAuth-2.0-Client-Authentifizierung und für Berechtigungserteilungen. Weitere Informationen finden Sie auf der IETF-Website.

  1. Der OAuth-2.0-Client löst den SAML-2.0-Inhaber-Assertion-Flow durch das Ausstellen einer SAML-2.0-Inhaber-Assertion aus.
  2. Der AS ABAP bettet die SAML-2.0-Inhaber-Assertion in der Zugriffstokenanforderung ein und sendet sie an den Autorisierungsserver.
  3. Die SAML-2.0-Inhaber-Assertion wird durch den OAuth-2.0-Client authentifiziert und durch den Autorisierungsserver validiert. Der Autorisierungsserver sendet eine Zugriffstokenantwort, die den Zugriffstoken enthält. Dieser Schritt schließt den SAML-2.0-Inhaber-Assertion-Flow ab.
  4. Der OAuth-2.0-Client kann nun den im vorherigen Schritt erhaltenen Zugriffstoken für den Zugriff auf Ressourcen verwenden, die durch OAuth 2.0 geschützt sind und auf dem Ressourcenserver abgelegt wurden.

Führen Sie den SAML-2.0-Inhaber-Assertion-Flow aus, wenn im OAuth-2.0-Client kein Zugriffstoken verfügbar ist. Dieser Flow kann auch später ausgeführt werden, wenn die Zugriffstoken abgelaufen sind. Außerdem können Sie den Aktualisierungs-Flow verwenden, um Aktualisierungstoken auszustellen. Für diesen Flow ist keine Benutzerinteraktion erforderlich.