SAP 系统和适配器之间的安全性
适用于 mySAP Business Suite 的 Microsoft BizTalk 适配器支持 SAP 安全网络通信 (SNC) 或用户名密码凭据,以帮助保护它与 SAP 服务器之间的通信。 用户名密码凭据仅为与 SAP 系统的连接提供授权;它们不会对通过连接交换的数据提供任何安全性。 不能同时使用 SNC 和用户名密码凭据。
SAP 安全网络通信
安全网络通信 (SNC) 是 SAP 系统体系结构中的一个软件层,可帮助为 SAP 客户端和 SAP 应用程序服务器之间交换的数据提供应用程序级安全性。
SNC 具有以下优点:
SNC 面向应用程序级别的端到端安全性。 SNC 可帮助保护两个受 SNC 保护的组件之间的所有通信 (例如,SAPgui 和 SAP 系统应用程序服务器) 。
可以实现 SAP 系统不直接提供的其他安全功能 (,例如单 Sign-On 或使用智能卡进行身份验证) 。
可以自定义 SNC 实现。 可以使用所选的安全产品,并选择要使用的算法。
可以随时更改安全产品,而不会影响 SAP System 业务应用程序。
若要使用 SNC,必须配置 SAP 服务器和运行 SAP 适配器的客户端。
在 SAP 服务器上配置安全网络通信 (SNC) 。 有关指南,请参阅 SAP 文档。
在安装了 SAP 客户端 DLL 和 SAP 适配器的计算机上,还必须具有与 SNC 相关的 DLL。 有关这些 DLL 的详细信息,请参阅 BizTalk 适配器包 软件先决条件。
若要将适配器配置为使用 SNC,必须在 SAP 连接 URI 中设置 UseSnc 参数。 有关 SAP 连接 URI 的详细信息,请参阅 配置 SAP 适配器的连接 URI。 此外,必须设置 SncLibrary 和 SncPartnerName 绑定属性。 有关 SAP 适配器绑定属性的详细信息,请参阅 阅读适用于 mySAP Business Suite 绑定属性的 BizTalk 适配器。
用户名密码凭据
可以在连接 URI 中向适配器提供用户名密码凭据。 适配器在打开连接时使用这些凭据对 SAP 系统上的用户进行身份验证。 这些凭据为与 SAP 系统的连接提供授权级别;但是,它们不为通过网络传输的数据提供消息级或传输级身份验证 (或授权) 。
出于此原因,必须提供安全机制来帮助确保适配级别的授权、身份验证、数据隐私和数据完整性,以便在适配器和 SAP 系统之间进行数据交换。
重要
SAP 适配器显示 AcceptCredentialsInUri 绑定属性。 此属性确定是否允许在连接 URI 中使用 SAP 系统凭据。 默认情况下, AcceptCredentialsInUri 为 false,如果 URI 中包含凭据,SAP 适配器将引发异常。 有关详细信息,请参阅 阅读有关 mySAP Business Suite 绑定属性的 BizTalk 适配器的信息。
帮助在整个网络中提供更多安全性的一种可能机制是 Internet 协议安全 (IPsec) 。 IPsec 是一个开放标准的框架,用于通过 Internet 协议 (IP) 网络保护通信。
用户名和密码在连接 URI 中指定为明文。 SAP 适配器提供了许多方法,通过这些方法可以更安全地提供这些凭据。
有关如何在 BizTalk 解决方案中更安全地提供 SAP 系统凭据的信息,请参阅 SAP 适配器的安全性和BizTalk Server。
有关如何在编程解决方案中更安全地提供 SAP 系统凭据的信息,请参阅 使用 SAP 适配器进行安全编程。
入站方案的安全注意事项
有权访问 SAP 程序 ID 的任何侦听器都可能接收发送到该程序 ID 的所有 SAP 项目, (RFC、IDOC 和 tFFC) 。 如果多个侦听器注册到程序 ID,SAP 会将到达该程序 ID 的项目随机分配给其中一个侦听器。 因此,应保证只有希望使用特定程序 ID 接收消息的侦听器才有权访问该程序 ID。 此外,由于 SAP 将项目随机发送到附加到程序 ID 的侦听器,因此最佳做法是将程序 ID 专用于单个侦听器。