Authentifizierung und Aufrufkonventionen

Im Folgenden werden die Konventionen beschrieben, welche bei allen Aufrufen der Conigma REST API zu beachten sind.

Authentifizierung

Die Authentifizierung erfolgt über SAP Benutzerkennungen und die Ausführung des API Codings erfolgt im Kontext der hierbei verwendeten Benutzer. Soll die Anmeldung auf einem anderen Mandanten als dem Standardmandanten des entsprechenden SAP Systems erfolgen, so kann der gewünschte Mandant als Query Parameter "sap-client" in der URL mitgeliefert werden. Auch die explizite Angabe der gewünschten Anmeldesprache ist möglich. Verwenden Sie hierfür den Query Parameter "langu" und den SAP-internen (einstelligen) Sprachschlüssel.

Beispiel:

Zur Authentifizierung wird Basic Authentication verwendet. Somit muss jeder an die API gesendete Request ein entsprechendes base64 codiertes Header-Feld mit dem Benutzernamen und dem Passwort enthalten. Aus diesem Grund ist es wichtig, das die Kommunikation zwischen dem API client und dem serverseitigen Endpoint stets über das HTTPS-Protokoll erfolgt, andernfalls können die Anmeldeinformationen von einem Angreifer im Netzwerk problemlos mitgelesen und decodiert werden. Weitere Informationen zum Thema Basic Authentication finden Sie in folgenden externen Artikel: Basic Authentication.

CSRF/XSRF Token

Zur Vermeidung von nicht autorisierten Zugriffen mithilfe von zwischengespeicherten Anmeldeinformationen müssen alle HTTP-Requests für die HTTP-Methoden POST, PUT und DELETE ein CSRF/XSRF Token enthalten. Dieses wird bei vorangehenden autorisierten GET-Requests im Header zurück geliefert. Soll ein POST-, PUT- oder DELETE-Request ohne einen vorangehenden GET-Request ausgeführt werden, so kann der Endpoint PING verwendet werden, um gültiges ein CSRF/XSRF-Token zu beziehen.