Show TOC

HintergrundSicherheitseinstellungen für ABAP-Server-Sessions konfigurieren

 

Für den ABAP-Frontend-Server und den ABAP-Backend-Server, auf denen die Enterprise Search ausgeführt wird, müssen Sie das HTTP-Sicherheitssession-Management mit der Transaktion SICF_SESSIONS aktivieren. Bei der Aktivierung des HTTP-Sicherheitssession-Managements empfehlen wir, dass Sie den folgenden zusätzlichen Schutz für sicherheitsbezogene Cookies aktivieren:

  • HttpOnly

    Dieses Attribut weist den Browser an, den Zugriff auf das Cookie durch ein clientseitiges Skript abzulehnen. Somit lässt der Browser einen Zugriff Dritter auf das Cookie nicht zu, selbst wenn Cross-Site-Scripting-Fehler (XSS-Fehler) vorliegen und ein Benutzer zufällig einen Link aufruft, der diesen Fehler ausnutzt.

  • Secure

    Dieses Attribut weist den Browser an, das Cookie nur dann zu senden, wenn der Request über einen sicheren Kanal wie HTTPS übermittelt wird. Dadurch kann die Übergabe des Cookies durch unverschlüsselte Requests verhindert werden.

Hinweis Hinweis

Ein tokenbasierter Schutz vor CSRF (Cross-Site-Request-Forgery, Website-übergreifende Request-Fälschung) ist in SAP Gateway und SAP-HANA-XS-SAP-Fiori-OData-Services standardmäßig aktiv. Er schützt alle modifizierenden Requests.

Ende des Hinweises

Darüber hinaus empfehlen wir die Konfiguration eines angemessenen Timeout-Werts für HTTP-Sessions. Verwenden Sie hierzu den Profilparameter http/security_session_timeout.

Abmeldung von mehreren Systemen

SAP-Fiori-Apps unterstützen nur die Abmeldung mit dem ABAP-Frontend-Server und einem einzelnen SAP-HANA-XS-System. Wenn zusätzliche SAP-Gateway-Systeme oder SAP-HANA-XS-Systeme bereitgestellt werden (um z.B. OData-Services auf mehrere Serveranlagen zu verteilen), werden die entsprechenden HTTP-Sessions bei der Abmeldung des Benutzers nicht geschlossen. Für diesen Fall ist es wichtig, die Session-Dauer zu konfigurieren.

Weitere Informationen

Weitere Informationen über das Aktivieren des HTTP-Sicherheitssession-Managements finden Sie in folgender Dokumentation:

  • für SAP NetWeaver 7.31 im SAP Help Portal unter Anfang des Navigationspfads http://help.sap.com/nw731Auf SAP-Site veröffentlichte Informationen Navigationsschritt Application Help Navigationsschritt Function-Oriented View Navigationsschritt Sicherheit Navigationsschritt Benutzerauthentifizierung und Single-Sign-On Navigationsschritt Authentifizierungsinfrastruktur Navigationsschritt AS-ABAP-Authentifizierungsinfrastruktur Navigationsschritt HTTP-Sicherheits-Session-Management auf dem AS ABAP aktivieren Ende des Navigationspfads

  • für SAP NetWeaver 7.40 im SAP Help Portal unter Anfang des Navigationspfads http://help.sap.com/nw74Auf SAP-Site veröffentlichte Informationen Navigationsschritt Application Help Navigationsschritt Function-Oriented View Navigationsschritt Sicherheit Navigationsschritt Benutzerauthentifizierung und Single-Sign-On Navigationsschritt Authentifizierungsinfrastruktur Navigationsschritt AS-ABAP-Authentifizierungsinfrastruktur Navigationsschritt HTTP-Sicherheits-Session-Management auf dem AS ABAP aktivieren Ende des Navigationspfads

Weitere Informationen über den Session-Sicherheitsschutz für SAP Gateway finden Sie in folgender Dokumentation:

  • für SAP NetWeaver 7.31 im SAP Help Portal unter Anfang des Navigationspfads http://help.sap.com/nwgateway20Auf SAP-Site veröffentlichte Informationen Navigationsschritt Security Information Navigationsschritt Security Guide Navigationsschritt SAP Gateway Security Guide Navigationsschritt Session Security Protection Ende des Navigationspfads.

  • für SAP NetWeaver 7.40 auf dem SAP Help Portal unter Anfang des Navigationspfads http://help.sap.com/nw74Auf SAP-Site veröffentlichte Informationen Navigationsschritt Application Help Navigationsschritt Function-Oriented View Navigationsschritt SAP Gateway Foundation (SAP_GWFND) Navigationsschritt SAP Gateway Foundation Master Guide Navigationsschritt Session Security Protection Ende des Navigationspfads