Kontakt

Ansicht
Dokumentation

RS_RFC_TTACL_UI - Zugangskontrolle für Vertrauensbeziehungen (aus SMT1)

RS_RFC_TTACL_UI - Zugangskontrolle für Vertrauensbeziehungen (aus SMT1)

CL_GUI_FRONTEND_SERVICES - Frontend Services   CPI1466 during Backup  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Verwendung

SAP-Systeme können sogenannte Vertrauensbeziehungen zueinander aufbauen, um den Authentifizierungsaufwand bei der Anmeldung an einem entfernten System zu minimieren.

Wenn ein rufendes SAP-System dem gerufenen System als aufrufendes System bekannt ist, ist kein Passwort für die Anmeldung erforderlich.

Das aufrufende SAP-System (Trusted-System) muss im gerufenen System (Trusting-System) als aufrufendes System registriert sein. Das gerufene System wird als aufzurufendes System bezeichnet.

Vertrauensbeziehungen lassen sich in Destinationen des Typs 3 (ABAP-zu-ABAP RFC-Aufruf) oder H (ABAP-zu-ABAP HTTP-Request) nutzen.

Die Zugangskontrolle zur Benutzung von Vertrauensbeziehungen geschieht zur Laufzeit über die mandantenspezifische Zugangskontrolltabelle, welche in diesem Programm angezeigt und gepflegt wird. Im Gegensatz zur S_RFCACL Berechtigung, die den Zielbenutzern über Benutzerrollen zugewiesen wird, sind die Zugangsrestriktionen in der Zugangskontrolltabelle direkt an den individuellen Zielbenutzer geknüpft.

Integration

Der aktuelle Report lässt sich über Transaktion SMTACL aufrufen. Im Einstiegsbild erscheint eine Liste der Systeme, denen das aktuelle System vertraut. Durch Doppelklick auf eines dieser Systeme (bzw. durch Selektion des Systems und Klick auf die Anzeige- oder Änderungsikone) gelangt man zur Zugangskontrolltabelle der Vertrauensbeziehung zu diesem System. Auf anderem Wege gelangt man dorthin, indem man in Transaktion SMT1 in der Liste der Systeme, denen vertraut wird, eines selektiert und durch Betätigen des Druckknopfes "Zugangskontrolle"zur zugehörigen Zugangskontrolltabelle verzweigt. Dieser Absprung aus Transaktion SMT1 zur Zugangskontrolltabelle eines aufrufenden Systems ist auch aus der Anzeige bzw. Pflege dieses aufrufenden Systems heraus möglich, ebenfalls über den Druckknopf "Zugangskontrolle".

Voraussetzungen

Um die Zugangskontrollltabelle einer Vertrauensbeziehung für Kommunikation von einem Quellsystem (System, dem vertraut wird, Trusted-System) zum aktuellen, vertrauenden, System (Trusting-System) anzuzeigen und zu pflegen, muss die Vertrauensbeziehung mittels Transaktion SMT1 angelegt sein. Vertrauensbeziehungen sind mandantenübergreifend. Beim Löschen einer Vertrauensbeziehung werden die zugehörigen mandantenspezifischen Zugangskontrolltabellen in allen Mandanten gelöscht.

Das empfohlene Vorgehen zur Erstellung und Aktivierung der Zugangskontrolltabelle ist wie folgt in fünf Schritten:

1.,,Zugangskontrolltabelle für dedizierte Zielbenutzer initial befüllen. Diese Befüllung geschieht im Pflegemodus aus den vorhandenen Einträgen der Berechtigung S_RFCACL, bei denen das Feld RFC_EQUSER entweder mit "N" gefüllt ist oder fehlt. Vor der Befüllung wird in einem Dialogfenster die folgende Frage gestellt: "Auch unsichere Einträge mit generischem Mandanten * übernehmen?"Die generierten Einträge der Zugangskontrolltabelle werden sofort im Tabreiter "Dedizierte Zielbenutzer"angezeigt, wobei alle Felder ausser dem Zielbenutzer änderbar sind. Wenn die Frage nach Übernahme der unsicheren Einträge mit generischem Mandanten mit "Ja" beantwortet wurde, sind diese Einträge in der Zugangskontrolltabelle in der Spalte "Bewertung" mit einem Alert-Symbol gekennzeichnet. Achtung: Die in der Initialbefüllung generierten Einträge für dedizierte Zielbenutzer sind noch nicht in der Datenbank persistiert, sondern müssen im vierten Schritt explizit gespeichert werden. Für weitere Details zur Initialbefüllung siehe unten den Abschnitt "Zugangskontrolltabelle für dedizierte Zielbenutzer initial befüllen".

2.,,Zugangskontrolltabelle für gleiche Quell- und Zielbenutzer manuell erstellen im Tabreiter "Gleiche Quell- und Zielbenutzer".

3.,,Einträge, die mit einem Alert-Symbol versehen sind, wenn gewünscht manuell nachpflegen, um sie sicher zu machen. Das Alert-Symbol kennzeichnet potentiell unsichere Einträge, die den Wert * im "Mandant(von)" oder "Mandant(bis)" haben.

4.,,Zugangskontrolltabelle abspeichern.

5.,,Zugangskontrolltabelle aktivieren (und dadurch die S_RFCACL Berechtigung im aktuellen Mandanten ausser Kraft setzen), indem der Radiobutton "Berechtigungsprüfung für gleiche Quell- und Zielbenutzer, Prüfung der Zugangskontrolltabelle für dedizierte Zielbenutzer"oder der Radiobutton "Prüfung der Zugangskontrolltabelle"selektiert wird. Im letzteren Fall wird die Zugangskontrolltabelle sowohl für gleiche Quell- und Zielbenutzer als auch für dedizierte Zielbenutzer herangezogen. Für weitere Details siehe unten den Abschnitt "Zugangskontrollmethode ändern".

Funktionsumfang

Selektion

Standardvarianten

Ausgabe

Aktivitäten

Auswahl eines vertrauenden Systems

Im Eingangsbild des Programms wird eine Liste der vertrauenden Systeme dargestellt, charakterisiert durch System-Id und Installationsnummer (Lizenznummer). Durch Doppelklick auf eines dieser vertrauenden Systeme gelangen Sie zur Anzeige seiner Zugangskontrolltabelle für den aktuellen Mandanten.

Nach der Auswahl eines vertrauenden Systems kann man die Zugangskontrolltabelle im aktuellen Mandanten pflegen und aktivieren, und zwar in den folgenden Aktivitäten:

Zugangskontrollmethode ändern

Im Pflegemodus ist es möglich, zwischen drei Zugangskontrollmethoden auszuwählen:

Radiobutton "Berechtigungsprüfung": Die Zugangskontrolle erfolgt immer über das Berechtiguzngsobjekt S_RFCACL.

Radiobutton "Berechtigungsprüfung für gleiche Quell- und Zielbenutzer, Zugangskontrolltabelle für dedizierte Zielbenutzer": Die Zugangskontrolle für gleiche Quell- und Zielbenutzer erfolgt über das Berechtigungsobjekt S_RFCACL, aber die Zugangskontrolle für dedizierte Zielbenutzer erfolgt über die Tabelle im Tabreiter "Dedizierte Zielbenutzer".

Radiobutton "Zugangskontrolltabelle": Die Zugangskontrolle erfolgt immer über die Zugangskontrolltabelle.

Bitte beachten, als inkompatible Änderung bei Trusted-Anmeldung via Zugangskontrolltabelle: Die User DDIC und SAP* sind als Zieluser bei Trusted-Verbindungen verboten, wenn die Zugangskontrolle durch Zugangskontrolltabelle aktiviert ist. Diese beiden User sind auch als Zieluser in der Zugangskontrolltabelle nicht eingebbar, siehe unten den Abschnitt "Zugangskontrolltabelle im Tabreiter "Dedizierte Zielbenutzer" anzeigen/pflegen".

Zugangskontrolltabelle im Tabreiter "Gleiche Quell- und Zielbenutzer" anzeigen/pflegen

Die Einträge bilden eine Erlaubtliste, welche zur Laufzeit geprüft wird. Jeder Eintrag besteht aus den folgenden Feldern:

o,,Benutzer(von) und Benutzer(bis): Benutzer im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Mandant(von) und Mandant(bis): Mandant im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Transakt..-Code(von) und Transakt.-Code(bis): Transaktionscode im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Bewertung: Unsichere ACL-Einträge (d.h. solche mit generischem Eintrag * im Feld Mandant(von) oder Mandant(bis)) haben in diesem Feld die Alert-Ikone als Bewertungssymbol. Unsichere Einträge lassen sich trotzdem benutzen.

Zugangskontrolltabelle im Tabreiter "Dedizierte Zielbenutzer" anzeigen/pflegen

Die Einträge bilden eine Erlaubtliste, welche zur Laufzeit geprüft wird. Jeder Eintrag besteht aus den folgenden Feldern:

o,,Zielbenutzer: Anmeldeuser im Zielsystem des RFC-Aufrufs oder HTTP-Requests. Die Benutzer DDIC und SAP* sind als Zielbenutzer verboten und lassen sich als Zielbenutzer nicht eingeben.

o,,Benutzer(von) und Benutzer(bis): Benutzer im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Mandant(von) und Mandant(bis): Mandant im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Transakt..-Code(von) und Transakt.-Code(bis): Transaktionscode im rufenden System (Unter- und Obergrenze eingebbar, Wildcard * wird unterstützt).

o,,Bewertung: Unsichere ACL-Einträge (d.h. solche mit generischem Eintrag * im Feld Mandant(von) oder Mandant(bis)) haben in diesem Feld die Alert-Ikone als Bewertungssymbol. Unsichere Einträge lassen sich trotzdem benutzen.

Zugangskontrolltabelle im Tabreiter "Sicherheitsprüfung für gleiche Quell- und Zielbenutzer" anzeigen/pflegen

Hier sind die Einträge aus der Zugangskontrolltabelle für gleiche Quell- und Zielbenutzer zur Anzeige und Pflege ausgewählt, welche eine Alert-Ikone (unsicherer Eintrag) im Feld "Bewertung" haben. Nach Korrektur eines Eintrags erscheint dort bis zum Abspeichern eine Checked-Ikone (grüner Haken). Nach dem Abspeichern verschwindet der Eintrag aus der Tabelle in diesem Tabreiter, sofern er jetzt sicher ist.

Zugangskontrolltabelle im Tabreiter "Sicherheitsprüfung für dedizierte Zielbenutzer" anzeigen/pflegen

Hier sind die Einträge aus der Zugangskontrolltabelle für dedizierte Zielbenutzer zur Anzeige und Pflege ausgewählt, welche eine Alert-Ikone (unsicherer Eintrag) im Feld "Bewertung" haben. Nach Korrektur eines Eintrags erscheint dort bis zum Abspeichern eine Checked-Ikone (grüner Haken). Nach dem Abspeichern verschwindet der Eintrag aus der Tabelle in diesem Tabreiter, sofern er jetzt sicher ist.

Zugangskontrolltabelle löschen

Im aktuellen Mandanten werden alle Einträge in der Zugangskontrolltabelle für das angezeigte Zielsystem (gegeben durch SYSID und Installationsnummer) gelöscht, sowohl diejenigen für gleiche Quell- und Zielbenutzer als auch diejenigen für dedizierte Zielbenutzer.

Zugangskontrolltabelle für dedizierte Zielbenutzer initial befüllen

Die Zugangskontrolltabelle für das angezeigte System (SYSID und Installationsnummer und Mandant) wird aus den existierenden S_RFCACL-Berechtigungen gefüllt, wobei die folgenden Regeln/Ausnahmen gelten:

o,,Einträge für Zielbenutzer DDIC und SAP* werden nicht übernommen.

o,,Nur Einträge mit RFC_EQUSER = 'N' oder ohne Werte im Feld RFC_EQUSER werden übernommen.

o,,Vor dem Füllen der Zugangskontrolltabelle erscheint ein Fenster mit der Frage, ob auch Berechtigungen mit Wert "*" in Unter- oder Obergrenze des Berechtigungsfeldes RFC_CLIENT umgesetzt werden sollen.

o,,Vor der Initialbefüllung wird geprüft, ob die Zugangskontrolltabelle des betreffenden Systems (SYSID und Installationsnummer und Zielmandant) leer ist. Wenn das nicht der Fall ist, so wird der Benutzer über ein Informationsfenster darauf hingewiesen, dass nur bei leerer Zugangskontrolltabelle eine Initialbefüllung möglich ist.

Mandantenübergreifende Alertanzeige

Durch Betätigen des Druckknopfes "Mandantenübergreifende Alertanzeige" gelangt der Benutzer in die Anzeige einer Übersicht über alle Zugangskontrolleinträge des aktuellen Zielsystems, die eine Alert-Ikone im Feld "Bewertung" haben. Diese Übersicht umfaßt alle Quellsysteme und alle Zielmandanten.

Mandantenwechsel

Durch Betätigen des Druckknopfes "Mandantenwechsel" in der Übersicht der Vertrauensbeziehungen ist über ein Anmeldefenster die Anmeldung in einem anderen Mandanten des gleichen Systems möglich.

Beispiel






ABAP Short Reference   General Material Data  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 13035 Date: 20240520 Time: 054417     sap01-206 ( 249 ms )