Teilen über


Sicherheit zwischen dem SAP-System und dem Adapter

Der Microsoft BizTalk-Adapter für mySAP Business Suite unterstützt entweder SAP Secure Network Communications (SNC) oder Kennwortanmeldeinformationen für Benutzernamen, um die Kommunikation zwischen dem Server und dem SAP-Server zu schützen. Anmeldeinformationen für Benutzernameskennwörter ermöglichen nur die Autorisierung für die Verbindung mit dem SAP-System. sie bieten keine Sicherheit für die über die Verbindung ausgetauschten Daten. Sie können nicht gleichzeitig SNC- und Benutzernamenkennwortanmeldeinformationen verwenden.

SICHERE NETZWERKKOMMUNIKATION VON SAP

Secure Network Communications (SNC) ist eine Softwareebene in der SAP-Systemarchitektur, die dazu beitragen kann, sicherheit auf Anwendungsebene für Daten bereitzustellen, die zwischen dem SAP-Client und einem SAP-Anwendungsserver ausgetauscht werden.

SNC bietet die folgenden Vorteile:

  • SNC zielt auf End-to-End-Sicherheit auf Anwendungsebene ab. SNC trägt dazu bei, die gesamte Kommunikation zwischen zwei SNC-geschützten Komponenten (z. B. zwischen der SAPgui und einem SAP-Systemanwendungsserver) zu schützen.

  • Sie können zusätzliche Sicherheitsfeatures implementieren, die das SAP-System nicht direkt bereitstellt (z. B. Einzelne Sign-On oder die Verwendung von Smartcards für die Authentifizierung).

  • Sie können Ihre SNC-Implementierung anpassen. Sie können das Sicherheitsprodukt Ihrer Wahl verwenden und die Algorithmen auswählen, die Sie verwenden möchten.

  • Sie können das Sicherheitsprodukt jederzeit ändern, ohne dass sich dies auf geschäftsanwendungen des SAP-Systems auswirkt.

    Um SNC zu verwenden, müssen Sie sowohl den SAP-Server als auch den Client konfigurieren, auf dem der SAP-Adapter ausgeführt wird.

  • Konfigurieren Sie Secure Network Communications (SNC) auf dem SAP-Server. Anleitungen finden Sie in der SAP-Dokumentation.

  • Auf dem Computer, auf dem die SAP-Client-DLLs und der SAP-Adapter installiert sind, müssen Sie auch über die SNC-bezogenen DLLs verfügen. Weitere Informationen zu diesen DLLs finden Sie unter Voraussetzungen für das BizTalk-Adapterpaket.

  • Um den Adapter für die Verwendung von SNC zu konfigurieren, müssen Sie den UseSnc-Parameter im SAP-Verbindungs-URI festlegen. Weitere Informationen zum SAP-Verbindungs-URI finden Sie unter Konfigurieren des Verbindungs-URI für den SAP-Adapter. Außerdem müssen Sie die Bindungseigenschaften SncLibrary und SncPartnerName festlegen. Weitere Informationen zu den Eigenschaften der SAP-Adapterbindung finden Sie unter Informationen zu Den Bindungseigenschaften des BizTalk-Adapters für mySAP Business Suite.

Kennwortanmeldeinformationen für Benutzername

Sie können dem Adapter im Verbindungs-URI Anmeldeinformationen für benutzernameskennworte angeben. Der Adapter verwendet diese Anmeldeinformationen, um den Benutzer auf dem SAP-System zu authentifizieren, wenn er die Verbindung öffnet. Diese Anmeldeinformationen bieten eine Autorisierungsebene für die Verbindung mit dem SAP-System. Sie bieten jedoch keine Authentifizierung auf Nachrichten- oder Transportebene (oder Autorisierung) für Daten, die über das Netzwerk übertragen werden.

Aus diesem Grund müssen Sie einen Sicherheitsmechanismus bereitstellen, um angemessene Autorisierungs-, Authentifizierungs-, Datenschutz- und Datenintegrität für den Datenaustausch zwischen dem Adapter und dem SAP-System sicherzustellen.

Wichtig

Der SAP-Adapter zeigt die AcceptCredentialsInUri-Bindungseigenschaft an. Diese Eigenschaft bestimmt, ob SAP-Systemanmeldeinformationen im Verbindungs-URI zulässig sind. Standardmäßig ist AcceptCredentialsInUri false, und der SAP-Adapter löst eine Ausnahme aus, wenn Anmeldeinformationen im URI enthalten sind. Weitere Informationen finden Sie unter Informationen zu Den Bindungseigenschaften des BizTalk-Adapters für mySAP Business Suite.

Ein möglicher Mechanismus, um mehr Sicherheit im gesamten Netzwerk zu gewährleisten, ist internet protocol security (IPsec). IPsec ist ein Framework offener Standards zum Schutz der Kommunikation über IP-Netzwerke (Internet Protocol).

Der Benutzername und das Kennwort werden im Verbindungs-URI als Klartext angegeben. Der SAP-Adapter bietet eine Reihe von Methoden, mit denen Sie diese Anmeldeinformationen sicherer bereitstellen können.

Sicherheitsbedenken für eingehende Szenarien

Jeder Listener, der Zugriff auf eine SAP-Programm-ID hat, kann möglicherweise alle SAP-Artefakte (RFCs, IDOCs und tRFCs) empfangen, die an diese Programm-ID gesendet werden. Wenn mehr als ein Listener für die Programm-ID registriert ist, weist SAP einem der Listener nach dem Zufallsprinzip Artefakte zu, die an dieser Programm-ID ankommen. Sie sollten daher garantieren, dass nur Listener, die Mithilfe einer bestimmten Programm-ID Nachrichten empfangen möchten, Zugriff auf diese Programm-ID haben. Da SAP außerdem zufällig Artefakte an Listener sendet, die an eine Programm-ID angefügt sind, empfiehlt es sich, Programm-IDs einem einzelnen Listener zu widmen.

Weitere Informationen

Bewährte Methoden zum Schützen des SAP-Adapters
Sichern Ihrer SAP-Anwendung