0

我将 SAP S/4HANA Cloud SDK (S4SDK) 与云应用程序编程模型 (CAPM) 结合使用。我在 Neo 中有工作流和 Fiori 工件,它们使用在 Cloud Foundry (CF) 中运行的 S4SDK 服务。然后,S4SDK 服务使用系统用户调用 S/4HANA(公共)云。我已经按照以下链接设置了从 Neo 到 CF 的原则传播:

从 Neo 到 Cloud Foundry 环境的主要传播

我已经开发我的项目几个月了。现在是时候设置对我的 OData 服务的基于角色的访问了。例如,我需要确保我有后端验证,以检查只有批准者才能将我的请求状态设置为“已批准”。

我计划通过在 my-service.cds 文件中声明多个 OData 服务来做到这一点。然后使用spring-security,我只会让那些拥有批准者角色集合的人访问批准者服务。

我正在关注这个博客:

使用 SAP S/4HANA Cloud SDK 的第 7 步:在 SAP Cloud Platform、CloudFoundry 上保护您的应用程序

我的 xs-security.json 看起来像这样:

{
  "xsappname": "s4projectcreate",
  "tenant-mode": "dedicated",
  "description": "Security profile of called application",
  "scopes": [
    {
      "name": "uaa.user",
      "description": "UAA"
    },
    {
      "name": "$XSAPPNAME.AdminApprove",
      "description": "UAA"
    },
    {
      "name": "$XSAPPNAME.RiskApprove",
      "description": "UAA"
    }
  ],
  "role-templates": [
    {
      "name": "Token_Exchange",
      "description": "UAA",
      "scope-references": [
        "uaa.user"
      ]
    },
    {
      "name": "Admin_Approver",
      "description": "Request Admin Approver",
      "scope-references": [
        "$XSAPPNAME.AdminApprove"
      ]
    },
    {
      "name": "Risk_Approver",
      "description": "Request Risk Approver",
      "scope-references": [
        "$XSAPPNAME.RiskApprove"
      ]
    }
  ]
}

我在我的 spring-security.xml 中做了以下条目(否则根据博客):

<sec:intercept-url pattern="/odata/v2/ProjCreateApprover/**" access="#oauth2.hasScope('${xs.appname}.AdminApprove')" method="GET" />
<sec:intercept-url pattern="/odata/v2/**" access="isAuthenticated()" method="GET" />

当我进入 CF 主控室(组织级别)并导航到 Security/Roles 部分时,我可以创建一个新的角色集合并向其中添加两个角色模板。

然后我导航到信任配置,在该配置中我看到了 SCIA(又名 SAP Cloud Identity)和“Neo”部分。后者是我在设置从 Neo 到 CF 的原理传播时配置的。我可以进入任一帐户并输入我的用户电子邮件地址。然后我可以将我的角色集合分配给用户(我)。

问题是,无论我在这里做什么,似乎都无法通过新的安全检查。当我尝试访问受保护的路径时,我总是收到以下消息:访问被拒绝access_denied

我应该如何分配这个角色?我是否使用电子邮件地址,因为那通常是 CF 中的 ID?我应该在空间甚至应用程序级别做些什么吗?我需要重新绑定 XSUAA 服务吗?

我在浏览器中测试。如果我还没有会话,它会让我登录。不受保护的服务仍然可以正常工作。

附录:这是 JWT 有效负载。看起来我确实有这个角色的范围:

{
  "jti": "aa4f13c4c456429ab7d7f**218b1ef86",
  "ext_attr": {
    "enhancer": "XSUAA",
    "zdn": "test**n"
  },
  "given_name": "P0000**",
  "xs.user.attributes": {},
  "family_name": "unknown.org",
  "sub": "123526eb-fda8-49cf-a507-506**d28efba",
  "scope": [
    "s4projectcreate!t23.AdminApprove",
    "openid",
    "s4projectcreate!t23.RiskApprove",
    "uaa.user"
  ],
  "client_id": "sb-s4projectcreate!t23",
  "cid": "sb-s4projectcreate!t23",
  "azp": "sb-s4projectcreate!t23",
  "grant_type": "urn:ietf:params:oauth:grant-type:saml2-bearer",
  "user_id": "1235**eb-fda8-49cf-a507-506b8d28efba",
  "origin": "httpsap1.hana.ondemand.comc3d8**a55",
  "user_name": "p0000**",
  "email": "P0000**@unknown.org",
  "rev_sig": "8f**7376",
  "iat": 1552347533,
  "exp": 1552390733,
  "iss": "http://test**n.localhost:8080/uaa/oauth/token",
  "zid": "382217ca-6332-4b03-85ee-8f**85fd903a",
  "aud": []
}
4

1 回答 1

0

去sap云平台,在你的子账户里,你将获得信任管理,只需启用它。您将在那里看到您的角色参考,通过这样做您将被授权访问该服务。

于 2019-11-16T07:08:08.840 回答