SNC konfigurieren: Externe Programme
à AS ABAP über CPIC
Verwendung
Bei der Kommunikation von einem externen Programm zu einem AS ABAP über CPIC ist das externe Programm der Initiator der Kommunikation und der AS ABAP der Akzeptor.
Initiator (Externes Programm)
Um für externe Programme, die über CPIC mit einem AS ABAP kommunizieren, SNC zu verwenden, müssen Sie die SNC-Optionen entweder in der Datei sideinfo oder über die Programmschnittstelle cpictlib angeben. Dieser Abschnitt beschreibt, wie Sie die Informationen in der Datei sideinfo angeben. Informationen zur Verwendung von cpictlib finden Sie unter C-Programmschnittstellen.
Voraussetzungen
Sie wollen die Kommunikation zwischen dem externen CPIC-Programm und dem AS ABAP mit SNC schützen.
Vorgehensweise
Setzen Sie die in Datei sideinfo gezeigten SNC-Parameter wie in der Tabelle unten gezeigt.
SNC-Parameter für externe CPIC-Programme à AS ABAP
Parameter |
Beschreibung |
Erforderlich oder optional |
Zulässige Werte |
Vorschlagswert |
SNC_PARTNERNAME |
SNC-Name des Anwendungsservers |
erforderlich |
Zeichenkette in Anführungszeichen |
keiner |
SNC_LIB |
Pfad und Dateiname der gssapi-Bibliothek |
erforderlich |
Zeichenkette |
keiner |
SNC_MODE |
SNC-Aktivierungsparameter |
erforderlich |
0,1 0=SNC deaktiviert 1=SNC aktiviert |
keiner |
SNC_QOP |
Sicherheitsgrad (Quality of Protection) |
optional |
1,2,3,8,9 |
3 |
SNC_MYNAME |
SNC-Name des Benutzers, der CPIC sendet |
optional |
Zeichenkette |
vom Sicherheitsprodukt gelieferter Name für den angemeldeten Benutzer |
Beispiel Datei sideinfo
DEST=XYZ_S |
In diesem Beispiel wird der Anwendungsserver hs0017 als CPIC-Destination eingerichtet. Der SNC-Name des Servers ist p:CN=sap01.host1, OU=TEST01, O=myCompany, C=US und die SNC-Bibliothek befindet sich in /usr/sap/ABC/SYS/exe/run/libsapcrypto.so.
Akzeptor (AS ABAP)
Setzen Sie die Profilparameter des Anwendungsservers wie unter Profilparametereinstellungen des AS ABAP beschrieben.
Der in Parameter snc/accept_insecure_cpic enthaltene Wert bestimmt, ob ungeschützte CPIC-Verbindungen akzeptiert werden sollen. Sie können den Parameter so definieren, dass alle ungeschützten CPICs abgelehnt werden, dass alle ungeschützten CPICs akzeptiert werden oder dass nur von bestimmten Benutzern ungeschützte CPICs akzeptiert werden (entsprechend der Einstellung des Kennzeichens Unsichere Kommunikation erlaubt in Tabelle USRACL).
Benutzerauthentifizierung im SAP-System
Wie bei CPIC-Aufrufen ohne SNC-Schutz müssen Sie in dem CPIC-Programm einen Benutzer und einen Mandanten angeben, wenn Sie eine Verbindung zum SAP-System herstellen. Das Authentifizierungsverfahren ist mit dem für RFCs identisch (siehe SNC konfigurieren: Externe Programme → AS ABAP über RFC).
CPIC-Aufrufe können nur mit Benutzerkonten vom Typ CPIC im SAP-System durchgeführt werden.
Hinweise zum Aufbau der CPIC-Verbindung:
Die CPIC-Verbindung wird über einen Gateway-Port hergestellt. Für mit SNC geschützte Verbindungen sollten Sie den sicheren Gateway-Port verwenden. Geben Sie den sicheren Port im Parameter GWSERV der Datei sideinfo an. Im Namen des sicheren Ports ist das Zeichen s enthalten (siehe unten):
● normaler Port: GWSERV=sapgw01
● sicherer Port: GWSERV=sapgw01s