SAP Analytics Cloud (SAC) aprovecha el marco OAuth 2.0 para proporcionar acceso seguro a sus recursos divulgados a través de API REST, por ejemplo, API de escenario. SAC proporciona soporte para flujos OAuth de dos y tres pies.
Ambos flujos involucran los siguientes roles:
Propietario del recurso: usuario
El propietario del recurso es el usuario que autoriza una solicitud para acceder a su cuenta. El acceso de la aplicación a la cuenta de usuario está limitado al «alcance» de la autorización otorgada, por ejemplo, acceso de lectura o escritura.
Solicitud de cliente
El cliente es la aplicación que quiere acceder a la cuenta de usuario. Antes de que pueda hacerlo, el usuario debe autorizar el acceso y la API debe validar la autorización.
Recurso / servidor autorizado: API
El servidor de recursos aloja las cuentas de usuario protegidas. El servidor autorizado verifica la identidad del usuario y luego emite tokens de acceso en la aplicación.
OAuth 2.0 fluye a tres patas frente a dos patas
En el flujo de tres patas, los tres tienen un papel activamente en cuestión. Por ejemplo, el usuario debe autorizar explícitamente a la aplicación cliente para acceder a los recursos que posee el usuario.
Por otro lado, el flujo de dos pies no tiene participación activa. En cambio, la señal de confirmación del operador de SAML recibida durante el inicio de sesión de la aplicación del cliente se intercambia con la señal de SAP Analytic Cloud OAuth detrás de escena.
Un factor importante a considerar al elegir entre los flujos de tres pies y dos pies es el panorama del cliente. Por lo general, encuentra un IDP central en un panorama empresarial. El objetivo central de IDP dentro de una empresa es administrar una federación de ID y proporcionar una experiencia de SSO para los usuarios finales en una variedad de aplicaciones. Con este panorama, debe aplicar el flujo de dos pies para garantizar una experiencia OEM perfecta.
Resumen de flujo de dos tramos
El flujo de dos pies requiere una configuración pesada, por lo que antes de comenzar, revise el siguiente diagrama y descripción para tener una idea de lo que está tratando de lograr:
- Obtenga el letrero de confirmación del operador SAML.
- El usuario intenta acceder a la aplicación web de muestra. La aplicación web (o proveedor de servicios) redirige al usuario al IDP (proveedor de ID).
- El IDP proporciona una página de inicio de sesión donde el usuario ingresa sus credenciales de acceso. Una vez que se validan las credenciales, el IDP genera un token de confirmación de operador SAML y lo envía al proveedor de servicios.
- Reemplace la señal de declaración de portadora SAML con la señal OAuth.
- El proveedor de servicios que integra los recursos de SAP Analytics Cloud a través de la API REST actúa como Cliente OAuth y envía la señal de confirmación del operador SAML para recibir la señal OAuth.
- La aplicación web solicita el recurso protegido de SAP Analytics Cloud presentando el token de acceso. El SAC valida el token de acceso y, si es válido, responde a la solicitud. El token de acceso se envía en el campo de encabezado de la solicitud de autorización mediante un esquema de autenticación de operador.
Paso 1: crea una aplicación web
Paso 2: obtén la señal de confirmación del operador SAML
Paso 3: Reemplace la señal de confirmación con la señal OAuth