FunktionsdokumentationSicherheitseinstellungen beim SAP-Gateway Dieses Dokument in der Navigationsstruktur finden

 

Da das Gateway eine Schnittstelle des Applikationsservers nach außen ist (zu anderen SAP-Systemen, zu externen Programmen, etc.), müssen hier gegebenenfalls Sicherheitskriterien erfüllt werden. Da über das Gateway im Normalfall externe Programme angestartet werden, sollten Sie die nachfolgend beschriebenen Möglichkeiten nutzen.

Funktionsumfang

Allgemeines

Die folgenden Sicherheitsaspekte sollten Sie beim Betrieb des Gateways allgemein beachten:

  • Verbindungen zulassen oder verbieten. Mit 2 Profilparametern und einer ACL-Datei (Access Control List, Zugriffskontrollliste) können Sie festlegen, von welchen Rechnern das Gateway Verbindungen akzeptiert.

    Weitere Informationen: Zugriffskontrollisten (ACLs) einrichten

  • Verbindungen zwischen Gateways verschiedener SAP-Systeme sicher machen. Hierzu müssen Sie SNC einrichten oder zwischen den Gateways SAProuter einsetzen, die die Daten SNC-verschlüsseln und -entschlüsseln.

    Weitere Informationen: Support der SNC-Komponente konfigurieren.

  • Gateway-Logging aktivieren: Sie können das Gateway so konfigurieren, dass Aktionen, die das Gateway durchführt und Anfragen, die es bekommt, in eine Log-Datei geschrieben werden.

    Weitere Informationen: Gateway-Logging einrichten.

Externe Programme

Es wird davon ausgegangen, dass sich alle Applikationsserver und Datenbankrechner im gleichen Netzwerksegment befinden. Das System ist mit einer DMZ (Demilitarisierten Zone) nach außen gesichert. Dies bedeutet:

  • Es existieren externe Programme (SAP-Hilfsprogramme wie z.B. sapxpg oder Nicht-SAP-Programme), die innerhalb des gesicherten Netzwerksegments angestartet werden sollen, bzw. externe Programme, die sich aus dem gesicherten Segment am Applikationsserver registrieren wollen.

  • Es existieren externe Programme, die sich von außerhalb der DMZ am System registrieren wollen. Desgleichen sollen externe Programme außerhalb der DMZ angestartet werden.

Weitere Information zur Konfiguration des Gateways bezüglich externer Programme finden Sie unter Sicherheitseinstellungen für externe Programme einrichten

Empfehlung Empfehlung

Die Kommunikation mit externen Programmen außerhalb der DMZ muss grundsätzlich als unsicher angesehen werden, weil der RFC-Datenstrom per Default nicht verschlüsselt ist und somit abgehört bzw. sogar manipuliert werden kann.

Daher sollten die registrierten Programme außerhalb der DMZ nur über SAProuter und unter Verwendung von SNC mit den Instanzen des Systems kommunizieren. Der SAProuter muss in der DMZ stehen und darf nicht lokal auf einer Instanz installiert sein. Dadurch wird die Konfiguration der beiden Firewalls der DMZ auf ein Minimum reduziert.

Da die Daten im Datenstrom außerhalb der DMZ so aber immer noch abgehört bzw. manipuliert werden können, sollte in der DMZ des Netzwerksegments, in dem das externe Programm läuft, ebenfalls ein SAProuter installiert werden. Die Kommunikation zwischen SAProutern sollte verschlüsselt werden. Damit ist der Teil der Kommunikation, der außerhalb der DMZ abläuft, verschlüsselt.

Ende der Empfehlung.
Parameter

Informationen zu den für die Sicherheitseinstellungen relevanten Profilparametern finden Sie unter Sicherheits-Parameter.

Weitere Informationen

SAP-Gateway und SNC-Schnittstelle

Monitoring und Fehlerbehandlung des SAP-Gateways