Illustration du service SAP Authorization and Trust Management (XSUAA)

Le service XSUAA, dans SAP BTP, gère le flux d'autorisations entre les utilisateurs, les fournisseurs d'identités et les applications ou services. Le service XSUAA est un développement interne de SAP dédié à SAP BTP. Dans le projet Cloud Foundry, il existe une composante open source appelée UAA. UAA est un fournisseur OAuth qui prend en charge l'authentification et l'autorisation. SAP a utilisé la base d'UAA et l'a étendue avec des fonctionnalités spécifiques à SAP à utiliser dans SAP BTP.

Le service XSUAA prend en charge l'authentification et l'autorisation dans SAP BTP, Cloud Foundry pour accorder aux utilisateurs fonctionnels l'autorisation via des rôles utilisateur. Le service XSUAA ne stocke pas les données utilisateur ou les enregistrements utilisateur. Le service XSUAA requiert une connexion de confiance à un fournisseur d'identités. Il peut s'agir du service SAP ID ou d'un autre fournisseur d'identités d'entreprise intégré à SAP BTP. Cette opération peut être effectuée via SAP Cloud Identity Services - Identity Authentication Service (IAS).

Le service XSUAA agit comme la composante d'infrastructure centrale de l'environnement Cloud Foundry dans SAP BTP pour l'authentification et l'autorisation des utilisateurs fonctionnels. SAP a amélioré l'UAA Cloud Foundry en ajoutant un courtier de services, des fonctions multi-locataires, des fonctions d'API de gestion et quelques améliorations mineures. XSUAA utilise OAuth pour s'authentifier entre plusieurs services et se connecter au fournisseur d'identités.

OAuth est une norme ouverte permettant aux applications et aux sites Web de gérer l'autorisation. OAuth ne partage pas de données de mot de passe, mais utilise à la place des jetons d'autorisation pour prouver une identité entre les consommateurs et les fournisseurs de services. Il s'agit d'un protocole d'authentification qui vous permet d'approuver une application interagissant avec une autre en votre nom sans donner votre mot de passe. Les jetons utilisés à partir d'OAuth sont appelés jetons JWT. Le JWT (prononcé « jot ») est une norme ouverte qui définit un moyen compact et autonome de transmettre des informations en toute sécurité entre les parties. JWT est largement utilisé dans OAuth pour transmettre en toute sécurité les informations utilisateur et les droits d'accès.

Lorsqu'une application de gestion est constituée de plusieurs applications différentes (micro-services), le routeur d'application est utilisé pour fournir un point d'entrée unique à l'application de gestion. Techniquement, un routeur d'application est une application basée sur Node.js, disponible dans le registre public NPM. Un routeur d'application a démarré sur la base d'un fichier de configuration appelé xs-app.json. Dans ce fichier, il est défini quelles routes sont desservies par ce routeur d'application et quelle instance de service XSUAA est limitée au routeur d'application pour gérer les demandes d'authentification.

Un routeur d'application est utilisé pour :

• Servir du contenu statique ou des fichiers.
• Authentifiez les utilisateurs.
• Répartissez la demande vers les applications backend (micro-services).

En conclusion: Le routeur d'application transfère les demandes d'authentification au service XSUAA, le routage entre les applications ou les micro-services, et s'il existe dans le projet, le routeur d'application sert également des ressources statiques comme des documents ou des images dans une structure de système de fichiers.

Le service XSUAA est la connexion entre les applications et les fournisseurs d'identités pour garantir la sécurité et accorder l'accès via des rôles sans stocker de données utilisateur ou d'enregistrements utilisateur. Il utilise OAuth pour s'authentifier entre plusieurs services et pour se connecter au fournisseur d'identités. En outre, vous disposez du routeur d'application qui sert de point d'entrée central et de passerelle entre les applications, les utilisateurs et le service XSUAA.