cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

403 Forbidden

Former Member

on ‎06-09-2009 2:08 PM

0 Kudos

Amigos,

Estou recebendo NF no GRC e ao enviar para o PI para efetuar a assinatura digital, está dando erro 403 Forbidden.

Importamos o certificado digital no servidor através do Visual Administrator, foi instalado no WebBrowser também. O usuário está está com as seguintes roles:

SAP_BC_JSF_COMMUNICATION, SAP_BC_JSF_COMMUNICATION_RO, SAP_BC_SRV_USER

SAP_BC_USER_ADMIN, SAP_J2EE_ADMIN, SAP_J2EE_GUEST, SAP_XI_ADMINISTRATOR_J2EE

SAP_XI_CONFIGURATOR_J2EE, SAP_XI_CONTENT_ORGANIZER_J2EE, SAP_XI_DEVELOPER_J2EE

SAP_XI_DISPLAY_USER_J2EE, SAP_XI_MONITOR_J2EE, SAP_XI_RWB_SERV_USER.

Agradeço a ajuda fornecida.

Att Cláudio Argolo

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>

- <!-- Call Adapter

-->

- <SAP:Error xmlns:SAP="http://sap.com/xi/XI/Message/30" xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" SOAP:mustUnderstand="">

<SAP:Category>XIServer</SAP:Category>

<SAP:Code area="INTERNAL">HTTP_RESP_STATUS_CODE_NOT_OK</SAP:Code>

<SAP:P1>403</SAP:P1>

<SAP:P2>Forbidden</SAP:P2>

<SAP:P3 />

<SAP:P4 />

<SAP:ApplicationFaultMessage namespace="" />

<SAP:Stack>HTTP response contains status code 403 with the description Forbidden Error while sending by HTTP (error code: 403, error text: Forbidden)</SAP:Stack>

<SAP:Retry>N</SAP:Retry>

</SAP:Error>

Show replies
Show replies
Answer

Accepted Solutions (0)

Answers (4)

Answers (4)

Former Member
‎07-28-2009 6:25 PM
0 Kudos

Amigos,

o problema foi resolvido com a eliminação de toda SLD e a criação novamente.

Obrigado a todos.

Show replies
Show replies
marcos_souza
Explorer
‎06-25-2009 2:45 PM
0 Kudos

Amigos,

Estou também com este problema, porém o erro ocorre na comunicação com a SEFAZ.

- <SAP:Error xmlns:SAP="http://sap.com/xi/XI/Message/30" xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" SOAP:mustUnderstand="1">

<SAP:Category>XIAdapterFramework</SAP:Category>

<SAP:Code area="MESSAGE">GENERAL</SAP:Code>

<SAP:P1 />

<SAP:P2 />

<SAP:P3 />

<SAP:P4 />

<SAP:AdditionalText>com.sap.aii.af.ra.ms.api.DeliveryException: invalid content type for SOAP: TEXT/HTML; HTTP 403 Forbidden</SAP:AdditionalText>

<SAP:ApplicationFaultMessage namespace="" />

<SAP:Stack />

<SAP:Retry>M</SAP:Retry>

</SAP:Error>

Já é a terceira implantação com GRC que realizo e ainda não tinha tido este problema. Vocês tem noção do que pode causar isto?

Abraços

Show replies
Show replies
henrique_pinto
Active Contributor
‎06-25-2009 3:57 PM
0 Kudos

Marcos,

abra outra thread, pois é outro problema.

No seu caso, muito provavelmente é o certificado.

Abs,

Henrique.

Former Member
‎06-09-2009 5:28 PM
0 Kudos

Não resolvido ainda

Show replies
Show replies
Former Member
‎06-15-2009 5:28 PM
0 Kudos

Pessoal,

Ainda não consegui resolver este problema.

Caso alguém tenha mais uma dica, será de grande ajuda.

Atenciosamente,

Cláudio Argolo

former_member182114
Active Contributor
‎06-15-2009 5:32 PM
0 Kudos

Bom dia Claudio,

O último erro postado "Error signing input XML: Error accessing Keystore", é quando o aplicativo assinador não consegue acessar o certificado, que deve estar armazenado no Keystore.

Você disse que teve problemas de criar/setar a permissão porém não disse que problema é esse. Você seguiu os passos do link ? O que está acontecendo ? Que parte você não conseguiu fazer ? Fez com o usuário correto ?

Atenciosamente, Fernando Da Ró

Former Member
‎06-15-2009 7:34 PM
0 Kudos

Oi Fernando,

Estava fazendo um passo errado, mas consegui seguir o link e setar as permissões.

O erro que eu estou tendo agora é o seguinte:

Atenciosamente,

Cláudio Argolo

former_member182114
Active Contributor
‎06-15-2009 7:55 PM
0 Kudos

Parece que ele está tentando fazer uma comunicação segura com o serviço assinador, porém esta comunicação não é via SSL.

Verifique se no communication channel para o serviço assinador você informou os dados de keystore (opções do certificado), se informou retire.

Atenciosamente, Fernando Da Ró

henrique_pinto
Active Contributor
‎06-15-2009 8:05 PM
0 Kudos

Claudio,

quais dados vc colocou na HTTP Destination que vai no campo "Corresponding Integration Server" na SXMB_ADM -> Integration Engine Configuration?

Verifique se está utilizando a porta HTTP do stack ABAP (80xx) e nao do stack Java (5xx00).

Abs,

Henrique.

Former Member
‎06-15-2009 8:22 PM
0 Kudos

Fernando,

Verifiquei o communication channel e não está passando as informações do keystore.

Estou passando as seguintes informações:

Adapter Type = SOAP

Receiver = X

Connection Parameters

Target URL = http://euro21:50100/DigitalSignature/ws?style=document

Configure user authentication = X

User = j2ee_admin e senha

Adapter Status

Status Active.

Atencisoamente,

Cláudio Argolo

Former Member
‎06-15-2009 8:27 PM
0 Kudos

Oi Henrique,

Dentro do PI na SXMB_ADM -> Integration Engine Configuration, está a seguinte configuração:

Função Business System = HUB Servidor de integração

Serv.integração correspondente = dest://XI_INTEGRATION_SERVER

XI_INTEGRATION_SERVER

Host Destino = euro21 nº serviço 8003

Pref/Caminho = /sap/xi/engine/?type=entry

Atenciosamente,

Cláudio Argolo

henrique_pinto
Active Contributor
‎06-15-2009 8:43 PM
0 Kudos

Claudio,

se o path prefix está exatamente como vc mandou, então está errado.

Está com uma barra a mais, antes da interrogacao.

Verifique aqui o valor certo: http://help.sap.com/saphelp_nw70/helpdata/en/85/78af1bf407434796aaf8dbd6d4e7b7/frameset.htm

Abs,

Henrique.

Former Member
‎06-16-2009 2:14 PM
0 Kudos

Henrique,

Eliminei a barra que estava a mais, ficando da seguinte forma: /sap/xi/engine?type=entry

Efetuei o refresh do CPAcache, enviei outra nota e continua dando a mesma mensagem.

Uma pergunta o Adapter Type do communication channel tem que ser do tipo SOAP?

Atenciosamente,

Cláudio Argolo

Former Member
‎06-25-2009 5:09 PM
0 Kudos

Bom tarde Claudio,

O problema já foi resolvido?

Tive um erro parecido com o seu, no meu caso, o XI não estava conseguindo enviar respostar ao GRC, e o problema estava na configuração do Adapter do tipo XI.

O Adapter do tipo XI precisa ser configurado para o Adressing Type = HTTP Destination e no HTTP Destination = .

Se não for seu caso, favor desconsidere ok.

Esta dica está no Blog do Henrique.

Abs

Marco

former_member182503
Active Contributor
‎06-09-2009 2:31 PM
0 Kudos

Qual usuário você está usando?

O usuário que deve ser usado para configuração do canal de comunicação acima é o

J2EE_ADMIN com sua respectiva senha.

Show replies
Show replies
Former Member
‎06-09-2009 2:42 PM
0 Kudos

Estou usando esse mesmo, o J2EE_ADMIN.

No canal de comunicação do tipo SOAP, estou informando esse usuário

para o seguinte caminho http://

:

/DigitalSignature/ws?style=document.

No canal de comunicação é necessário configurar "Configure Certificate Authentication", infomando o

Keystore Entry e Keystore View?

Abs,

Cláudio Argolo

former_member182503
Active Contributor
‎06-09-2009 2:51 PM
0 Kudos

O KeyStore é parametrizado na transação SPRO no GRC, no caminho "SAP GRC Nota Fiscal Eletronica, Configure System Response for Each Tax Number (CNPJ)".

No canal de comunicação você não precisa informar o KeyStore.

Edited by: Jose Nunes on Jun 9, 2009 3:52 PM

Conseguiu resolver o problema? Qual foi a solução?

henrique_pinto
Active Contributor
‎06-09-2009 2:57 PM
0 Kudos

Claudio,

esse problema já foi resolvido?

De qq maneira, vc nao tem q ter configuracao do certificado no CC de assinatura nao.

É estranho dar erro 403 nessa comunicacao; vc configurou alguma coisa de SSO (single-sign on) nessa instancia Java?

J2EE_ADMIN com user/senha deveria ser suficiente. A senha está correta?

Não é problema de role, senão daria o erro 401 Unauthorized. De qq maneira, a unica role necessária é a SAP_J2EE_ADMIN.

Teste ainda seu user/senha atráves do WebServices Navigator.

http://server:port/wsnavigator -> na lista de WSs, clique sobre o DigitalSignature, depois vá em Test e escolha o método Sign. Preencha os campos com valores de certificado corretamente, no campo xml use por exemplo o valor abaixo:

<a><b Id='12345'><data>dados de teste</data></b></a>

No campo referenceId, use 12345, que é o Id da tag b acima.

No campo checkCert, use o valor true.

Entre usuário e senha e verifique o retorno.

Abs,

Henrique.

Former Member
‎06-09-2009 2:57 PM
0 Kudos

Josê Nunes,

Está consta a configuração do KeyStore na transação SPRO no GRC.

Abs,

Cláudio Argolo

former_member182503
Active Contributor
‎06-09-2009 3:20 PM
0 Kudos

Conseguiu resolver o problema? A pergunta está marcada como resolvida.

Você tem certeza que a resposta 403 é oriunda do Assinador Digital e não da SEFAZ?

Você testou o WebService pelo WebServices Navigator?

Former Member
‎06-09-2009 3:27 PM
0 Kudos

Henrique,

Esse problema ainda não foi resolvido.

Em relação ao SSO nós temos alguns parâmetros habilitados no perfil da instância ABAP, porém nada foi configurado na instância J2EE.

Referente ao teste solicitado, obtive a seguinte resposta.

No campo Description(string) veio com a seguinte informação: Error signing input XML: Error accessing Keystore

HTTP/1.1 200 OK

Connection: close

Set-Cookie:

henrique_pinto
Active Contributor
‎06-09-2009 3:34 PM
0 Kudos

Vc configurou corretamente os parametros de seguranca do EJB de Assinatura Digital, conforme indicado na configuracao do GRC?

http://help.sap.com/saphelp_grcnfe10/helpdata/en/d1/f142ed96224be8aca04746abde48b2/frameset.htm

Ainda, o keystore element e view que vc informou no teste foram os corretos??

Vc instalou no PI e na instancia Java do assinador tb??

Abs,

Henrique.

Former Member
‎06-09-2009 4:19 PM
0 Kudos

Henrique,

Sim, estão corretos os keystore element e view.

Não entendi a sua pergunta "Vc instalou no PI e na instancia Java do assinador tb?" ?

Verificando o link da documentação do GRC, dentro da parte Configure service for digital signature

existem um ponto que não configuramos, que é o XiSecurityRuntimePermission.

"On tab page Protection Domains , you can select the domain of the digital signature service for SAP NFE under sap.com grcnfedsig .

By selecting EJBContaine applicationjars , you can select the bean entry sap.comgrcnfedsigdsigbean.jar and switch to edit mode for granting the XiSecurityRuntimePermission permission to the domain."

Em nosso sistema não tinha esse parâmetro, criamos, mas não estamos conseguindo atribuir.

Former Member
‎06-09-2009 4:20 PM
0 Kudos

Sim, tenho certeza. Porque estava testando o primeiro cenário.

SIGNN_WebAS_Outbound_SignNFe

Atenciosamente,

Cláudio Argolo

henrique_pinto
Active Contributor
‎06-09-2009 5:19 PM
0 Kudos

Claudio,

1o, desmarque o flag de "Mark your questions as answered" pois está confuso, parece q seu problema já foi resolvido.

2o, eu perguntei se vcs fizeram deploy do componente Java do GRC (SLL-NFE-JWS) no mesmo stack Java do XI ou se instalaram outro stack Java separado. E se foi outro separado, se vcs instalaram o certificado nos 2 ambientes.

3o, qual problema vcs estão tendo em atribuir o parametro ao EJB?

Att.

Henrique.

Former Member
‎10-09-2009 10:29 PM
0 Kudos

Claudio,

Gostaria de saber como vc resolveu este problema, pois estou parado na parte onde voce mencionou que o botão GRANT no Visual ADM Java nao estava habilitando, como vc conseguiu resolver isto pois estou tentando atribuir o campo XISecurityPermission.

Agradeço a ajuda.

Marcelo

Former Member
‎10-09-2009 10:30 PM
0 Kudos

Claudio,

Gostaria de saber como vc resolveu este problema, pois estou parado na parte onde voce mencionou que o botão GRANT no Visual ADM Java nao estava habilitando, como vc conseguiu resolver isto pois estou tentando atribuir o campo XISecurityPermission.

Agradeço a ajuda.

Marcelo

henrique_pinto
Active Contributor
‎10-13-2009 11:43 AM
0 Kudos

Marcelo,

abra outra thread, o assunto é diferente.

De qq maneira, vc entrou em modo de edicao antes de dar o Grant (clicou no Lapis)?

Henrique.

Former Member
‎10-13-2009 1:39 PM
0 Kudos

Henrique,

Obrigado pelo retorno e desculpe ter aberto esta mensagem com este erro nesta parte do forum.

O problema descrito ja se encontra ok.

Grato,

Marcelo

Ask a Question