OAuth 2.0是云环境中用于安全访问REST API的最广泛使用的授权协议之一。SAP云平台业务规则现在支持OAuth 2.0身份验证协议来访问其运行时和设计时API。对于那些不打算在应用程序中使用基本授权来调用业务规则的人来说,大数据网,这确实是个好消息。现在,通过一些简单的安全和目标配置,您可以在访问任何业务规则API时启用OAuth 2.0授权。
在本博客中,我将解释如何使用OAuth 2.0授权访问业务规则API。首先,
按照此官方指南注册新客户
转到SAP云平台驾驶舱的子帐户在左侧面板中,bi大数据分析,单击Security–>OAuth选项在右侧网页上,切换到"客户"选项卡
点击"注册新客户"按钮如下面的屏幕截图所示填写详细信息姓名:订阅:从选项中选择一个具有:/bpmrulesruntime(如果要访问运行时API)/bpmrulesrepository子账户技术名称(如果要访问设计时API)ID:这是用于授权的客户端ID授权授予:客户端凭据秘密:输入任何密码(这将是用于访问API的客户机机密)令牌生存期:将其默认为60分钟,或者您可以根据需要更改它
保存新创建的客户端
将业务规则服务的必要角色分配给通过注册新客户端创建的命名用户:oauth\u client\uuuuu
转到SAP云平台驾驶舱的子帐户在左侧面板中,单击服务在正确的网页上,搜索业务规则服务单击互动程序以配置业务规则服务
从页面底部的选项中,选择configure business rules Runtime(如果已为bpmrulesruntime创建客户端),或者选择configure business rules Repository(配置业务规则库)。从左侧面板中,选择角色如下面的屏幕截图所示,将oauth\u client \uuuu clientID>(其中clientID是您在步骤1中创建的oauth客户端的ID)user分配给RuleSuperUser角色。
要通过oauth 2.0客户端凭据类型访问API,我们将创建两个目标。一个目的地将用于获取访问令牌(因为客户端凭据具有令牌生存期,这意味着令牌可以使用到给定的生存期,例如:60分钟),另一个目的地将用于访问实际的运行时/存储库API。
在下面的示例中,我已经有了一个名为BUSINESS\u RULES的基本身份验证类型的目标,在oauth2.0发布之前,我一直使用它来访问BUSINESS RULES运行时api。现在,我创建了两个新的目的地BUSINESS\u RULES\u UAA和BUSINESS\u RULES\u OAUTH,大数据应用,分别访问令牌和api。
注意:您也可以选择替换您的基本身份验证目的地(例如此屏幕截图中的BUSINESS\u RULES),人工智能大数据,这样您的应用程序逻辑就不需要更改,并且可以轻松地从基本身份验证切换到OAUTH2.0
让我们看看您需要为此提供哪些参数。
获取访问令牌URL在驾驶舱,开放安全–>OAuth在右边的页面中,您将看到一个名为Branding的选项卡从OAuth url中,Token Endpoint的url是获取访问令牌的url,如
Create Destination for Token Endpoint所示在驾驶舱中,开放连接–>目的地在右侧的页面中,单击New Destination以使用以下参数值创建新的目的地:名称:您选择的任何目的地名称类型:HTTPURL:如上复制的令牌终结点代理类型:Internet身份验证:基本身份验证User:oAuth客户机的客户机id密码:OAuth客户端密码
保存目的地创建/更新访问API的目标您可以选择创建新的目标或使用以下值更新现有的BasicAuth目标:类型:HTTP代理类型:Internet网址:https://bpmrulesruntime-。内景sap.hana.ondemand.com/规则-服务(注意:此URL将根据您的数据中心和子帐户名称而有所不同。您可以从bpmrulesruntime目的地获取此URL)(注意:根据您要调用的API,您需要设置bpmrulesruntime或bpmrulesrepository的URL)
身份验证:无身份验证其他属性:bpm.oauth.token.destination:
(当您在additional properties部分添加新属性时,您可能在下拉列表中找不到此属性。只需在文本框中复制/粘贴给定的键和值)
保存目的地
如果您想在任何支持基于目的地的连接(如SAP cloud Platform Workflow)的现有云服务中使用业务规则API,那么您所需要做的就是使用此目的地(无身份验证),如示例中的业务规则上图。
您获得的访问令牌将用于调用API,企业软件平台,如图所示。
与基本授权的唯一区别是使用授权头的头:Bearer
Rest一切保持不变。例如:在postman的这个屏幕截图中,我调用ShoppingCartPromotionRules项目的业务规则,该项目具有给定头和主体的DiscountRuleservice。更多信息,请阅读博客
使用安全认证系统对于确保通过云计算平台访问的应用程序接口的安全至关重要。OAuth 2.0已成为任何使用REST API的本地应用程序开发的基本安全协议。通过OAuth2.0协议的支持,我们弥补了使用基本身份验证方法不安全地访问业务规则API的缺陷。在这个博客中,我已经解释了如何使用客户端凭据授予类型,我将很快发布另一个带有其他授予类型(如授权授予)的博客。
