コンテンツエリア開始

Background documentation ADK ベースのデータアーカイブのセキュリティガイド Locate the document in its SAP Library structure

 

ADK (アーカイブ開発キット) は、データアーカイブに使用される確立済 ABAP テクノロジーです。ADK は、増大し続けるデータベースから使用されていないデータを抽出し、このアーカイブデータへの長期的なアクセスを提供する場合に使用されます。Java アプリケーションおよび XML 指向の ABAP アプリケーションのデータアーカイブ用に、SAP では新しいテクノロジーを開発しました。XML ベースアーカイブに関連するセキュリティアスペクトの追加情報については、XML ベースのデータアーカイブのセキュリティガイドを参照してください。

 

ADK ベースのアーカイブは、アーカイブソリューションの開発および管理に使用される 2 つの主要な要素である、アーカイブ開発キット (ADK) およびアーカイブ管理 (トランザクション SARA) に依存しています。ADK および SARA は、標準の SAP Web Application Server の一部です。ADK は、アプリケーションによってアーカイブソリューションの開発に使用されるアプリケーションプログラミングインタフェースです。一方、アーカイブ管理 (トランザクション SARA) は、主に、データアーカイブ管理者が、ジョブスケジュールとジョブ管理、データの読込、書込、削除、およびカスタマイジングなど、データアーカイブに関連するすべてのタスクを管理する場合に使用します。

技術システムランドスケープ: セキュリティ関連インタフェース

以下の図は、ADK ベースのデータアーカイブに関連するさまざまな要素、およびこれらの要素を接続するインタフェースを示しています。

This graphic is explained in the accompanying text

セキュリティの観点から、図に示されているインタフェースについて以下のように説明することができます。

 

      インタフェース1: ABAP アプリケーションシステムにアクセスするエンドユーザおよびデータアーカイブ管理者、アーカイブ管理 (トランザクション SARA)、およびアーカイブ情報システム (SAP AS)

      インタフェース 2: ABAP アプリケーションのファイルシステムインタフェース

      インタフェース 3: ArchiveLink インタフェース

 

インタフェース 1

ここでは、エンドユーザおよびデータアーカイブ管理者は、ABAP アプリケーションシステムにアクセスし、アーカイブ管理 (トランザクション SARA)、およびアーカイブ情報システム (SAP AS) を使用します。

      アーカイブ管理

書込プログラムを実行しようとするエンドユーザおよび管理者に対して、2 つのレベルのセキュリティチェックが行われます。アーカイブ管理 (トランザクション SARA) 内および ADK 側では、ADK で書込、削除、読込、リロードアクションの開始中に、権限オブジェクト S_ARCHIVE によって、ユーザまたは管理者に付与されている権限の種類がチェックされます。アーカイブオブジェクトをパラメータとして使用することによって、S_ARCHIVE をよりアプリケーション固有にすることができます。 

アプリケーション側では、特定の項目などに権限を追加で制限することができます。このことは、主に照会機能に対して有効であり、アプリケーションによって異なります。

S_ARCHIVE の追加情報については、ADK 文書のStructure linkユーザ権限チェックを参照してください。

      アーカイブ情報システム

       アーカイブ情報システムはさまざまなアプリケーションによって使用される汎用ツールであるため、アーカイブ情報システムには特定の権限オブジェクトがありません。SAP AS の一部分として必要な権限は、以下のとおりです。

       トランザクション SARI: トランザクション SARI には、権限が必要です。

S_ARCHIVE[ACTVT -> 3; APPLIC -> applic; ARCH_OBJ -> object]

object は、情報構造が属しているアーカイブオブジェクトです。applic は、アーカイブオブジェクトに属しているアプリケーションエリアです。このアプリケーションエリアは、トランザクション AOBJ の項目で見つけることができます。

       情報構造の登録または変更: 権限

S_TABU_DIS[ACTVT->02; DICBERCLS-> BS]
S_TABU_CLI[CLIIDMAINT->X]

変更移送の場合

S_TRANSPRT[TTYPE->UPGR; ACTVT->70]

       情報構造の有効化、情報構造のデータ入力または削除: 権限

S_ARCHIVE[ACTVT-> 02; APPLIC-> applic; ARCH_OBJ-> object,]

       アーカイブエクスプローラでのデータの照会: 前述のように、SAP AS は汎用ツールであるため、アーカイブ情報構造のデータ照会に関するアプリケーション固有の権限チェックを行うことができません。ただし、アプリケーション固有の権限チェックを実行するユーザ Exit を導入することができます (以下に示す SAP ノートを参照)

       技術ビューの場合、データ照会に関してデータブラウザ (トランザクション SE16) と同じ権限チェックが実行されます。

       ビジネスビュー (アプリケーション固有ビューとも呼ばれる) の場合、対応するアプリケーションの権限チェックが実行された後、データを照会することができます。

ここで示した点の追加情報については、以下の SAP ノートを参照してください。

175901 - アーカイブ情報システム: 権限

156336 - SAP AS: ステータス管理のための権限 S_ARCHIVE

インタフェース 2

ABAP アプリケーションシステムとファイルシステムとの間のインタフェースです。ADK ベースのデータアーカイブでは、ファイルはファイルシステムに書き込まれます。ここでは、関連するセキュリティアスペクトは、以下の問題に集中しています。

      アーカイブファイルの交換および破損に対する保護

書込セッション中、ADK によって、アーカイブファイル名が登録および保存されます。アーカイブファイルは、この名称でファイルシステムに書き込まれます。この名称は、後でアーカイブファイルへの読込アクセス時に使用されます。

アクセスしているファイルが、確実に正しい名称のオリジナルファイルとなるように、ADK によって追加のファイルキーが登録され、アーカイブファイル内に保存されます。これにより、アクセスしているファイルが、ファイルシステムに書き込まれたオリジナルファイルとなることが保証されます。

アクセスしているファイルが変更されていないことを確認するために、チェックサムを使用することができます。チェックサムは書込フェーズで使用されます。読込、削除、リロードプログラムの場合もチェックサムをオンにしておく必要があります。これらのチェックは、Structure linkアーカイブオブジェクト非依存カスタマイジングのアーカイブ選択時のアクセスチェックでオンにすることができます。

      アーカイブファイルへの未承認読込アクセスに対する保護

アーカイブファイルへの未承認アクセスを防止するレベルには、以下の3 つのレベルがあります。

       オペレーティングシステム - ADK によって登録されたアーカイブファイルへのアクセスは、オペレーティングシステムに対して既知の技術SAP システムユーザにのみ許可されています。

追加情報については、オペレーティングシステムセキュリティを参照してください。

       権限オブジェクト S_DATASET - この権限オブジェクトでは、SAP ユーザに SAP システムのファイルを読み込むための権限が付与されているかどうかがチェックされます。

       SAP 固有のファイル書式- ADK では、SAP 固有の圧縮ファイル書式でアーカイブファイルが登録されます。このファイル書式は、SAP システム内でのみ読み込むことができます。

インタフェース 3

ArchiveLink インタフェースは、SAP Web AS とストレージシステムとの間の通信インタフェースとして使用されます。ArchiveLink インタフェースによって、ストレージシステムへのアーカイブファイルの転送が容易になります。このトピックの追加情報については、Structure linkArchiveLink またはコンテンツマネジメントシステムを参照してください。

 

コンテンツエリア終了