Spring Security 如何使用SAP S4 SDK/CAPM为用户分配角色？

wd2eg0qa 于 2023-06-29 发布在 Spring

关注(0)|答案(1)|浏览(116)

我正在使用SAP S/4 HANA Cloud SDK（S4 SDK）和云应用程序编程模型（CAPM）。我在Neo中有工作流和Fiori工件，它们使用在Cloud Foundry（CF）中运行的S4 SDK服务。然后，S4 SDK服务使用系统用户调用S/4 HANA（公共）云。我已经按照以下链接设置了从Neo到CF的Principle Propagation：
Principal Propagation from the Neo to the Cloud Foundry Environment
我已经开发我的项目几个月了。现在是时候设置对OData服务的基于角色的访问了。例如，我需要确保我有后端验证，以检查只有批准者才能将我的请求的状态设置为“已批准”。
我计划通过在my-service.cds文件中声明多个OData服务来实现这一点。然后使用spring-security，我将只给予那些拥有approvers role-collection的人访问approvers服务的权限。
我在关注这个博客：
Step 7 with SAP S/4HANA Cloud SDK: Secure your Application on SAP Cloud Platform, CloudFoundry
我的xs-security.json看起来像这样：

{
  "xsappname": "s4projectcreate",
  "tenant-mode": "dedicated",
  "description": "Security profile of called application",
  "scopes": [
    {
      "name": "uaa.user",
      "description": "UAA"
    },
    {
      "name": "$XSAPPNAME.AdminApprove",
      "description": "UAA"
    },
    {
      "name": "$XSAPPNAME.RiskApprove",
      "description": "UAA"
    }
  ],
  "role-templates": [
    {
      "name": "Token_Exchange",
      "description": "UAA",
      "scope-references": [
        "uaa.user"
      ]
    },
    {
      "name": "Admin_Approver",
      "description": "Request Admin Approver",
      "scope-references": [
        "$XSAPPNAME.AdminApprove"
      ]
    },
    {
      "name": "Risk_Approver",
      "description": "Request Risk Approver",
      "scope-references": [
        "$XSAPPNAME.RiskApprove"
      ]
    }
  ]
}

我在我的spring-security.xml中做了以下条目（其他如博客所述）：

<sec:intercept-url pattern="/odata/v2/ProjCreateApprover/**" access="#oauth2.hasScope('${xs.appname}.AdminApprove')" method="GET" />
<sec:intercept-url pattern="/odata/v2/**" access="isAuthenticated()" method="GET" />

当我去CF驾驶舱（org。级别）并导航到“安全性/角色”部分，我可以创建一个新的角色集合并向其中添加两个角色模板。
然后，我导航到信任配置，在那里我看到SCIA（也称为SAP Cloud Identity）和“Neo”部分。后者是我在设置从Neo到CF的主要传播时配置的。我可以进入任何一个帐户并输入我的用户电子邮件地址。然后，我可以将我的角色集合分配给用户（我）。

问题是，无论我在这里做什么，似乎都无法通过新的安全检查。当我尝试访问受保护的路径时，总是收到以下消息：访问被拒绝access_denied

我应该如何分配这个角色？我是否使用电子邮件地址，因为这通常是CF中的ID？我应该在空间甚至应用程序层面做些什么吗？我需要重新绑定XSUAA服务或其他什么吗？
我在浏览器中测试。如果我还没有会话，它会让我登录。未受保护的服务仍然工作正常。
附录：这是JWT的有效负载。看起来我确实有角色的作用域：

{
  "jti": "aa4f13c4c456429ab7d7f**218b1ef86",
  "ext_attr": {
    "enhancer": "XSUAA",
    "zdn": "test**n"
  },
  "given_name": "P0000**",
  "xs.user.attributes": {},
  "family_name": "unknown.org",
  "sub": "123526eb-fda8-49cf-a507-506**d28efba",
  "scope": [
    "s4projectcreate!t23.AdminApprove",
    "openid",
    "s4projectcreate!t23.RiskApprove",
    "uaa.user"
  ],
  "client_id": "sb-s4projectcreate!t23",
  "cid": "sb-s4projectcreate!t23",
  "azp": "sb-s4projectcreate!t23",
  "grant_type": "urn:ietf:params:oauth:grant-type:saml2-bearer",
  "user_id": "1235**eb-fda8-49cf-a507-506b8d28efba",
  "origin": "httpsap1.hana.ondemand.comc3d8**a55",
  "user_name": "p0000**",
  "email": "P0000**@unknown.org",
  "rev_sig": "8f**7376",
  "iat": 1552347533,
  "exp": 1552390733,
  "iss": "http://test**n.localhost:8080/uaa/oauth/token",
  "zid": "382217ca-6332-4b03-85ee-8f**85fd903a",
  "aud": []
}

spring-security

来源：https://stackoverflow.com/questions/55099865/how-do-i-assign-roles-to-my-user-with-sap-s4sdk-capm