Show TOC

Voll qualifizierte Domänennamen (FQDN)Locate this document in the navigation structure

Im Web Dynpro ABAP ist es zwingend erforderlich, dass ein Client-Browser mit einem Fully Qualified Domain Name (FQDN) auf den AS-ABAP zugreift. Daher muss einer Web-Dynpro-ABAP-Applikation beim Aufruf immer die komplette URL zugeordnet sein und darf keine verkürzte URL (z.B. ohne Domänenangabe) enthalten.

Die verwendete Domäne muss außerdem den Ansprüchen der Cookie-Spezifikation von Netscape genügen.

Sie können den FQDN kontrollieren, indem Sie in der ABAP-Entwicklungsumgebung (SE80) im Web Dynpro Explorer im Navigationsbaum für Ihre Web-Dynpro-Component/Interface auf die zugehörige Web-Dynpro-Anwendung verzweigen und bei den Verwaltungsdaten die URL überprüfen. Sehen Sie nach, ob im Feld URL die Pfadangabe neben dem Host auch die komplette Domäne und den Host enthält.

Hinweis

Beachten Sie, dass weder IP-Adressen noch Unterstriche in den Hostnamen unterstützt werden (siehe unten).

Siehe auch SAP Hinweis 654982.

Motivation

Die Notwendigkeit des FQDN hat die folgenden Gründe:

  • Es wird eine Domäne gefordert, mit der Domänen-weite Cookies gesetzt werden können, wie z.B. SSO2-Cookies.
  • Domain-Relaxation-Coding ist für Frame-übergreifenden Java Script-Code erforderlich.Dies ist besonders wichtig für diePortal-Integration (siehe unten).
  • Im Rahmen von HTTPS müssen für Zertifikate und das SSL-Protokoll die Namen bei Client und Server übereinstimmen.

Beachten Sie, dass die Domäne, in der der AS-ABAP ausgeführt wird, nicht unbedingt der FQDN ist, von dem aus der Browser auf den AS-ABAP zugreift. Ein typisches Beispiel ist ein AS-ABAP, der sowohl in Intranet als auch im Internet läuft. In einem solchen Fall wird der FQDN durch die Position des Browsers relativ zum AS-ABAP und nicht durch den AS-ABAP selbst bestimmt.

Konfiguration für voll qualifizierte Domänennamen

Wenn der Hostname lediglich Angaben zu Host und Port liefert, aber keine Angabe der Domäne (inkl. Extension), dann sieht die verkürzte URL einer Web-Applikation aus wie folgt:

Hinweis

<Schema>://<Hostname>:<Port>/sap/...

Beispiel:

http://pwdf0487:1080/sap/bc/webdynpro/sap/wdr_test_events

Die vollständige URL sollte dagegen wie folgt lauten:

Hinweis

<Schema>://<Hostname>.<Domäne> <Extension>:<Port>/sap/...

Beispiel:

http://pwdf0487.wdf.sap-ag.de:1080/sap/bc/webdynpro/sap/wdr_test_events

Keine Unterstützung für IP-Adressen

URLs, die IP-Adressen enthalten, werden nicht unterstützt.

Hinweis

<Schema>://<IP-Adresse>:<Port>/sap/...

Beispiel:

http://10.21.81.0:1080/sap/bc/webdynpro/sap/xyz

Erforderlich ist die folgende Notation:

Hinweis

<Schema>://<Hostname>.<Domäne> <Extension>:<Port>/sap/...

Beispiel:

http://hs0059i.wdf.sap.corp:1080/sap/bc/webdynpro/sap/xyz

Für die korrekte Abbildung von IP-Adressen benötigen Sie Folgendes:

  • Eine Minimalform von DNS am Kundenstandort mit dem Namen des AS-ABAP und einer Abbildung auf eine IP-Adresse
  • Alternativ kann ein Pseudo-AS-ABAP-Name verwendet und der HTTP-Proxy an der Firewall so konfiguriert werden, dass diese URL an die korrekte IP-Adresse gesendet wird.
  • Für kleinere Installationen können Sie die folgende schnelle Lösung verwenden:

    Aktualisieren Sie die Hosts-Datei auf jeder einzelnen Workstation. Fügen Sie der Datei \WINNT\system32\drivers\etc\hosts die Zeile 10.17.73.210   hostname.domain.ext hinzu.

Keine Unterstützung für '_' in Hostnamen

Der Browser akzeptiert Cookies nicht, wenn ein Hostname der Domäne das Zeichen '_' enthält.

Da der Microsoft Internet Explorer 6.0 bzw. MS Internet Explorer 5.5 inklusive Security Patch MS01-055 keine Domänennamen mit Unterstrichen akzeptieren, kann kein Session-Cookie gespeichert werden. Daher kommt es zu Abbrüchen während der Navigation innerhalb einer Web-Applikation.

Tipp

Beispiel:

Das Entwicklungssystem heißtdev_sys und das Qualitätssicherungssystemqsys. Damit lauten der vollständig qualifizierte Domänenname:

qsys.company.co.xx

Die folgenden Notationen dagegen werden nicht akzeptiert:dev_sys.company.co.xxqsys.my_company.co.xx

Daher dürfen auf keinen Fall '_' in einem Hostnamen oder in der Domäne enthalten sein.

Domäneneinschränkungen gemäß der Cookie-Spezifikation

Das Portal muss mit einer Domäne gestartet werden, die der Domänenspezifikation der Internet Standard Cookie Specification entspricht. Sonst kann das Portal das Cookie MYSAPSSO2 nicht anlegen.

Damit der Browser entscheiden kann, an welche Server ein Cookie gesendet werden darf, muss die URL die Domänenangabe beinhalten, da diese Information als Entscheidungsgrundlage verwendet wird. Gemäß der Cookie-Spezifikation von Netscape können Cookies nur für eine Domäne gesetzt werden, und eine Domäne muss aufgrund von Sicherheitseinschränkungen zwei oder drei Punkte enthalten. Jede der sieben Top-Level-Domains (.COM, .EDU, .NET, .ORG, .GOV, .MIL, .INT) muss mindestens einen weiteren Domänenbestandteil (meistens den Namen der Firma bzw. Organisation) enthalten, also zwei Punkte. Jede Domäne mit einer anderen Endung (hierunter fallen insbesondere die nationalen Toplevel-Domänen, z.B. "de", "uk", "fr", etc.) muss aus zwei weiteren Domänenbestandteilen bestehen, also mindestens drei Punkte enthalten. Einzelheiten dazu finden Sie in der Cookie-Spezifikation selbst.

Tipp

Beispiele für gültige Domänen:

  • <host>.sap.com Top-Level-Domäne -> zwei Domänenbestandteile
  • <host>.portal.sap.de keine Top-Level-Domäne -> drei Domänenbestandteile

Einige Browser (z.B. Microsoft Internet Explorer) verhalten sich weniger strikt und erlauben auch Domänen, welche gegen die oben aufgeführten Regeln der Cookie-Spezifikation verstoßen.

Bei einem Internet Explorer würde auch die folgende Domäne akzeptiert:

Hinweis

<host>.sap.de

Dies ist keine Top-Level-Domain, hat aber trotzdem nur zwei Domänenbestandteile.

Es scheinen generell alle Domänen akzeptiert zu werden, bei denen der vorletzte Domänenbestandteil aus mindestens drei Zeichen besteht, weil sonst z.B. bei allen britischen Domänen Probleme aufgrund ungenügend restriktiver Cookie-Versendung entstehen würden.

Beispiele

URL Beschreibung

http://www.xy.com

Spezifikationskonform

http://www.xy.co.uk

Spezifikationskonform

http://<host>.epd.de

Für MS IE ok

http://www.sap.de

Für MS IE ok

http://<host>.ep.de

Für MS IE nicht ok

http://www.co.uk

Nicht ok (spezifikationskonform)
Tipp

Im Allgemeinen empfiehlt SAP, immer die Definitionen der Cookie-Spezifikationen zu befolgen.

HTTPS

Der Einsatz von SSL (bei HTTPS) soll neben einer verschlüsselten Datenübertragung auch sicherstellen, dass der angesprochene Server (z.B. ein Unternehmen oder eine Organisation) authentisch ist. Hierzu werden so genannte SSL-Serverzertifikate verwendet. Der Browser prüft bei jeder HTTPS-URL, ob der in der URL enthaltene vollständige Hostname mit der entsprechenden Angabe (wie Common Name, CN) des überprüften SSL-Serverzertifikats übereinstimmt. Stellt der Browser eine Abweichung fest, löst er eine Warnung (bzw. einen Fehler) aus.

Beispiele

Das SSL-Serverzertifikat wurde auf "CN=tcs.mysap.com, OU=SAP Trust Community, O=SAP AG, L=Walldorf, C=DE" ausgestellt. Folgende URLs werden dann betrachtet:

URL Beschreibung/Verhalten

http://tcs.mysap.com/...

Kein SSL/HTTPS

https://tcs.mysap.com/...

Spezifikationskonform

https://tcs01.mysap.com/...

Warnung/Fehler

Bei einem SSL-Serverzertifikat, welches auf "CN=mysap.com, ..." ausgestellt wurde, liefern alle oben genannte URLs einen Fehler.

Bei einem SSL-Serverzertifikat, welches auf "CN=*.mysap.com, ..." ausgestellt wurde, würden die beiden HTTPS-URLs hingegen fehlerfrei funktionieren. Eine Certification Authority (CA) stellt aber meistens eigene Regeln für die Bestandteile der von ihr ausgegebenen und damit verbürgten Zertifikate auf; die Verwendung von Wildcards (*) im Common Name wird meistens nicht zugelassen.

Hinweis

Achten Sie bei dem Einsatz von SSL-terminierenden Reverse Proxies (vor dem Web Server / AS-ABAP) darauf, dass das SSL-Serverzertifikat des Reverse Proxies mit dem für den Browser sichtbaren Hostnamen des Reverse Proxies übereinstimmen muss.

Weitere Informationen zum Thema Sicherheit finden Sie unterSicherheit beim AS-ABAP.

Setzen des FQDN

Es gibt die folgenden verschiedenen Variablen und Parameter, um den Host- und Domänennamen zu setzen:

  • SAPLOCALHOST
  • SAPLOCALHOSTFULL
  • icm/host_name_full

Der ICM setzt den FQHN nach der folgenden Hierarchie.

  1. Der Parameter SAPLOCALHOSTFULL im SAP-Profil (für High Availability Konfigurationen empfohlen) hat höchste Priorität. Ist er in einer Profildatei gesetzt, nimmt der ICM diesen Wert als FQHN.

    Beachten Sie, dass der Systemdefaultwert von SAPLOCALHOSTFULL den Rechnernamen ohne Domäne enthält, deshalb wird der Systemdefault vom ICM ignoriert.

  2. Ist der Parameter nicht gesetzt, wirdicm/host_name_full ausgewertet.

    Setzen Sie den Wert icm/host_name_full = $(SAPLOCALHOST).domain.ext.

    Dies bietet sich insbesondere in Fällen an, wenn mehrere Applikationsserver mit einem Instanzprofil betrieben werden.

  3. Ist auch dieser Parameter nicht gesetzt, nimmt der ICM den FQHN des Betriebssystems.

Der Parameter SAPLOCALHOST ist nicht voll qualifiziert und wird vom ICM nicht für die Services benutzt.

SAP empfiehlt, entweder SAPLOCALHOSTFULL (für HA-Konfigurationen) oder icm/host_name_full zu setzen.

Weitere Informationen: SAP Hinweis 773830