Anfang des Inhaltsbereichs

Hintergrunddokumentation Business Client Sicherheitsaspekte  Dokument im Navigationsbaum lokalisieren

Im Folgenden erhalten Sie einen Überblick über Sicherheitsaspekte und Empfehlungen für den Einsatz des Business Client für Ihre Anwendungen. Sowohl für die Erstellung von Web-Applikationen im Business Client als auch für den laufenden Betrieb dieser Anwendungen im Business Client stehen Sicherheitsfunktionen zur Verfügung.

Authentifizierung im Business Client

Der Business Client verwendet SSO2 für die Authentifizierung, d.h. SSO2 muss in Ihrem System aktiviert sein.

 

Der AS-ABAP nutzt für den Zugriff auf eine Web-Applikation das HTTP-Framework des Internet Communication Manager (ICF), der seinerseits Funktionen für die Anmeldung am AS-ABAP bietet.

Achtung

Beachten Sie hierbei das Aktivieren und Deaktivieren von Services. Aus Sicherheitsgründen sollten nur genau diejenigen Services im HTTP-Service-Baum aktiv sein, die Sie wirklich benötigen. Wenn Sie dagegen Knoten auf einer höheren Ebene aktivieren, bedeutet dies, dass der gesamte darunter liegende Teil des Service-Baums ebenfalls aktiv ist und damit z.B. bei Hinterlegung des anonymen Benutzers für Zugriffe völlig offen und damit ungesichert ist.

Zusätzlich steht ein einfaches Verfahren für die Entwicklung und Konfiguration der Systemanmeldung bei Web-Applikationen im Business Client zur Verfügung, bei dem die Sicherheitsaspekte integriert sind.

 

Für den Authentifizierungsprozess instanziiert und verwendet der Business Client einen ganz normalen Internet Browser. Daher wird im Business Client genau der gleiche Authentifizierungsprozess wie im Browser verwendet. Dies hat den Vorteil, dass alle unterschiedlichen Arten von Authentifizierungsprozessen, die im Browser unterstützt werden, auch vom Business Client unterstützt werden, z.B. die Verwendung digitaler Signaturen.

 

Der Business Client verwendet SSO2-Cookies für die Authentifizierung, das heißt, dass die SSO2-Cockies im System konfiguriert und aktiviert werden müssen. Wenn Sie sich nicht sicher sind, ob SSO2 implementiert ist, prüfen Sie die folgenden Hinweise:

·        817529

·        616900

·        517860

 

Weitere Informationen: Verwendung des Secure-Sockets-Layer-Protokolls mit dem AS ABAP

 

Sicherheit beim AS-ABAP

Für die Sicherheit beim AS-ABAP sind insbesondere die Einstellungen für die Konfiguration für die SSL-Unterstützung von zentraler Bedeutung. Des Weiteren wird eine Funktion für die Performance-Steigerung bei Mehrfachanmeldungen bereitgestellt, der Anmeldeticket-Cache.

Von SAP werden auch bestimmte Viren-Scan-Profile standardmäßig ausgeliefert. Beim HTTP Upload ist ein Virenscan möglich (siehe auch Viren-Scan-Schnittstelle).

Damit die Kommunikation zwischen dem Business Client und einem SAP ECC System funktioniert, müssen folgende Punkte erfüllt sein:

·        Systemparameter sind gesetzt

¡        login/accept_sso2_ticket: 1

¡        login/create_sso2_ticket: 2

      Als Services sind HTTP und HTTPS in der Transaktion SMICM eingerichtet

      In der Transaktion STRUSTSSO2 sind die System PSE, SAP CryptoLib, SSL Server, SSL Client (Standard) implementiert

Siehe auch:

SAP NetWeaver Application Server ABAP Security Guide

Network and Communication Security

Sicherheitsaspekte für BSP

Sicherheitsaspekte für Web Dynpro ABAP

SAP GUI Scripting

Die Installation des SAP GUI Scripting ist zwingend erforderlich, siehe auch den entsprechenden Abschnitt unter Voraussetzungen unter Business Client Installation.

Sicherheitsrisiko-Liste

Eine White-List Infrastruktur im HTTP-Framework ermöglicht das Abwehren von XSS-Angriffen. Siehe auch Sicherheitsrisiko-Liste.

User-Management

Im Business Client werden die üblichen AS-ABAP-Benutzer verwendet. Hierbei sind lediglich die folgenden Aspekte zu beachten:

·        Läuft der Business Client in dem Modus ab, in dem E-Mail-Adressen für die Authentikation verwendet werden, dann muss die E-Mail-Adresse als Alias abgelegt sein.

Diese Einstellung können Sie in der Transaktion SU01 auf der Registerkarte Logondaten vornehmen. Füllen Sie das Feld Alias mit den korrekten Angaben für die E-Mail-Adresse und sichern Sie Ihre Eingaben.

      Wenn Ihre Anwendungen alle auf HTTP-basierten Applikationen basierten und keinerlei SAP-GUI-Anwendungen darunter sind, können Sie auch das Feld für den Benutzertyp mit einem anderen Wert anstelle des Standard-Dialog-Benutzers belegen. Da dann mit dieser Benutzerkennung kein Starten einer SAP GUI Session möglich sein wird, bedeutet dies erhöhte Sicherheit.

Einsatz von digitalen Zertifikaten und HTTPS

Siehe Authentifizierung durch Zertifikate und Microsoft Hotfix 909425

SAP-Hinweise

Wichtige SAP-Hinweise

Hinweisnummer

Titel

517484

Inaktive Services im Internet Communication Framework

510007

Einrichten von SSL auf dem Web Application Server

420085

Logon Ticket Cache

853878

HTTP WhiteList Check (Sicherheit)

1029940

Release-Restriktionen für den NetWeaver Business Client

 

Ende des Inhaltsbereichs