Текущее время: Чт, авг 05 2021, 08:28

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ!

Вопросы по SAP Query и Quick View - сюда



Начать новую тему Ответить на тему  [ Сообщений: 3 ] 
Автор Сообщение
 Заголовок сообщения: Обращение ServiceConsumer к External WebService with Kerberos authentication  Тема решена
СообщениеДобавлено: Чт, апр 08 2021, 10:05 
Начинающий
Начинающий

Зарегистрирован:
Вт, окт 27 2015, 10:14
Сообщения: 7
Добрый день, коллеги!

Имею неприятную проблему, суть которой заключается в возврате ошибки "SOAP:1032 SRT: Wrong Content-Type and empty HTTP-Body received: ("HTTP Code 401 : Unauthorized")" при запуске ServiceConsumer из ABAP.

Дано:
1. Внешний вебсервис с аутентификацией Kerberos, подготовленный доменный пользователь для обращения к веб-сервису. Подрядчик, выполняющий настройки внешнего вебсервиса и способа аутентификации, утверждает, что у них всё тип-топ. Допустим, что так.
2. На стороне ERP - ServiceConsumer, сгенерированный на основе WSDL-файла, присланного подрядчиком; настроенный логический порт в SOAMANAGER; для логического порта определен доменный пользователь с его паролем, остальные настройки - по умолчанию.
3. Есть успешный опыт вызова внешнего веб-сервиса сторонней системы, где тип аутентификации, скорее всего, BASIC, и в разделе "Безопасность клиента" не указаны данные пользователя и пароля для авторизации - всё по-простому.

Странности:
1. Что происходит при попытке вызова сервиса из ABAP: при запуске прокси получаю модальное окно с предложением авторизоваться, пытаюсь использовать данные доменного пользователя - три безуспешных попытки и возврат ошибки "SOAP:1032 SRT: Wrong Content-Type and empty HTTP-Body received: ("HTTP Code 401 : Unauthorized")".

Вопросы:
1. В SOAMANGER в разделе "Безопасность клиента" присутствует поле Authentication Method со значением sapsp:HTTPBasic. Не должно ли это поле содержать что-то типа "Kerberos"?
2. Какие предположения у коллег в связи с описанной ситуацией?

Немного по версиям компонентов:
SAP_BASIS 740 0011 SAPKB74011 SAP - базисная система
SAP_ABA 740 0011 SAPKA74011 Компоненты, общие для всех приложений

P.S. Если нужны ещё какие-то дополнительные сведения, напишите, постараюсь узнать.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Обращение SeviceConsumer к External WebService with Kerberos authentication
СообщениеДобавлено: Пт, апр 09 2021, 08:44 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 780
Откуда: Novosibirsk
Пол: Мужской
aap написал(а):
Дано:
1. Внешний вебсервис с аутентификацией Kerberos, подготовленный доменный пользователь для обращения к вебсервису.
2. На стороне ERP - настроенный логический порт в SOAMANAGER; для логического порта определен доменный пользователь с его паролем, остальные настройки - по умолчанию.
3. Есть успешный опыт вызова внешнего вебсервиса сторонней системы, где тип аутентификации скорее всего BASIC и в разделе "Безопасность клиента" не указаны данные пользователя и пароля для авторизации - всё по-простому.
Вопросы:
1. В SOAMANGER в разделе "Безопасность клиента" присутствует поле Authentication Method со значением sapsp:HTTPBasic. Не должно ли это поле содержать что-то типа "Kerberos"?

ну, это как на той стороне настроены параметры для генерации тикета
только сертификат, только логин-пароль, или и то и то в приоритете использования
если зашла речь о Kerberos, теоретически речь идет о мультидомене
SNC Error Code A2210233 in a Multi-Domain Environment
правда я не видел практической реализации


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Обращение SeviceConsumer к External WebService with Kerberos authentication
СообщениеДобавлено: Пт, май 07 2021, 13:34 
Начинающий
Начинающий

Зарегистрирован:
Вт, окт 27 2015, 10:14
Сообщения: 7
В общем, пообщавшись с поддержкой SAP, выяснили, что SAP не может быть клиентом для веб-сервисов с аутентификацией по протоколу kerberos.
Сервером быть может, а клиентом - нет. Чтобы являться сервером и поддерживать SSO, SAP должен быть накормлен деньгами за лицензии...
Также интеграционные шины XI, PI, PO не имеют возможностей аутентифицироваться где-либо по Kerberos.

Для того, чтобы ваш ServiceConsumer смог достучаться до сторонних не-SAP систем, можно использовать три способа аутентификации:
1. HTTP + BASIC - работает по умолчанию при создании логического порта в SOAMANAGER
2. HTTPS + BASIC - требует загрузки сертификатов в базисную транзакцию strust* и определения HTTPS в качестве протокола в SOAMANAGER. Этим способом мы и воспользовались в итоге.
3. Использование сертификата X.509. Вариант рассматривался в приоритете, но подрядчик отказался поднимать у себя этот протокол, т.к. трудозатраты и влияние на другие интеграции были слишком велики.

* загрузка сертификата, полученного от центра сертификации, была сделана так (это уже передаю со слов наших доблестных базисников):
1. Сконвертировали PFX-файл в PSE-файл
2. Распотрошили PSE его на отдельные сертификаты
3. В strust проимпортировали pse + отдельно промежуточный и корневой сертификат

На этом всё. Надеюсь, что кому-то это окажется полезным.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 3 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Ahrefs [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB