Trusted System: Vertrauensbeziehungen
zwischen SAP-Systemen
SAP-Systeme können Vertrauensbeziehungen zueinander aufbauen.
Wenn ein rufendes SAP-System dem gerufenen System als Trusted System bekannt ist, ist kein Passwort erforderlich.
Das rufende SAP-System muss im gerufenen System als Trusted System registriert sein. Das gerufene System wird als Trusting System (vertrauendes System) bezeichnet.
Vertrauensbeziehungen zwischen SAP-Systemen haben folgende Vorteile:
· Einzelanmeldung ist über Systemgrenzen hinweg möglich.
· Im Netzwerk werden keine Passwörter übertragen.
· Auszeitmechanismen für die Anmeldedaten schützen vor widerrechtlichen Anmeldeversuchen.
· Benutzerspezifische Anmeldedaten werden im Trusting System geprüft.
Mit dieser Funktionalität können Sie ein virtuelles SAP-System anlegen, das aus mehreren entfernt gerufenen SAP-Systemen besteht. Daten für die entfernte Anmeldung werden im Trusting System geprüft.
Die Vertrauensbeziehung ist nicht gegenseitig, d.h. sie besteht nur in eine Richtung. Um eine beidseitige Vertrauensbeziehung zwischen zwei Partnersystemen aufzubauen, müssen Sie jedes der beiden Systeme im entsprechenden Partnersystem als Trusted System definieren.
Um zusätzliche Sicherheit zu erhalten, können Sie die SAP-SNC-Schnittstelle (Secure Network Communications) für zusätzliche Sicherheitssysteme wie Kerberos und SECUDE verwenden.
Trusted Systeme anzeigen, pflegen und testen
So zeigen Sie ein Trusted System im Trusting System an oder pflegen es:
1. Um ein SAP-System als Trusted System zu definieren, müssen Sie zunächst eine logische Destination anlegen, die eine solche Vertrauensbeziehung ermöglicht.
2. Auf dem Übersichtsbild über die RFC-Destinationen (Transaktion SM59) wählen Sie RFC → Trusted Systeme (oder Transaktionscode SMT1).
3. Gibt es bereits Trusted Systeme, so werden Sie in einem Hierarchiebaum angezeigt. Um bestehende Trusted Systeme anzuzeigen, expandieren Sie die entsprechenden Knoten.
4. Um ein Trusted System anzulegen, wählen Sie Anlegen.
5. Im Dialogfenster geben Sie die Destination für das entfernte System ein. Um eine Destination zu ändern, lesen Sie Destinationen für Trusted Systeme ändern weiter unten.
6. Alle benötigten Informationen wie Name des Anwendungs-Servers und Sicherheitsschlüssel werden automatisch bereitgestellt.
7. Wenn Sie die Gültigkeitsdauer der Anmeldedaten begrenzen wollen, geben Sie im Feld Gültigkeitsdauer ein Enddatum ein.
8. Wenn Sie den Transaktionscode des rufenden Programms in das gerufene System übernehmen wollen, markieren Sie das entsprechende Ankreuzfeld.
9. Nur dann wird im gerufenen System eine Berechtigungsprüfung für den Transaktionscode durchgeführt (Feld RFC_TCODE des Berechtigungsobjekts S_RFCACL, siehe Anmeldeberechtigungsprüfungen im Trusting System.
Beim Löschen einer Vertrauensbeziehung erscheint das Anmeldebild des entsprechenden Systems, wenn keine gültigen Anmeldedaten vorliegen. In diesem Fall müssen Sie sich in diesem System anmelden, um den Löschvorgang durchzuführen.
Destinationen für Trusted Systeme ändern
Sie können bestehende Destinationen für jedes System auf dem Pflegebild für Trusted Systeme ändern (RFC → Trusted Systeme, Transaktionscode SMT1), indem Sie Destinationspflege wählen.
In Trusted Systemen werden Destinationen für Trusting Systeme automatisch generiert. Diese Destinationen werden verwendet, wenn Sie Trusting Systeme über RFC → Trusting Systeme anzeigen (Transaktionscode SMT2).
Um zu verhindern, dass andere Benutzer Ihre Destinationen ändern, markieren Sie das Ankreuzfeld Destination nicht änderbar im Attribute-Teil. Um die Destination wieder für Änderungen freizugeben, doppelklicken Sie auf das Ankreuzfeld.
Beachten Sie, dass Destinationen konsistent bleiben müssen. Aus diesem Grund dürfen Sie weder die ID des Zielsystems noch die Systemnummer oder den Destinationsnamen ändern.
Trusting Systeme anzeigen
In einem Trusted System können Sie eine Liste aller Trusting Systeme anzeigen. Wählen Sie dazu RFC → Trusting Systeme.
Um den Anwendungs-Server eines Trusting Systems anzuzeigen, klicken Sie auf den Namen des entsprechenden Systems. Die Namen von Anwendungs-Servern enthalten das Suffix _TRUSTED.
Durch einen Doppelklick auf den Namen eines Anwendungs-Servers erhalten Sie ein Dialogfenster, in dem Sie den Transaktionscode einer Transaktion eingeben können, die Sie im Trusting System ausführen wollen. Zusätzlich können Sie angeben, ob die Transaktion im selben Modus oder in einem neuen Modus ausgeführt werden soll.
Prüfung der Anmeldeberechtigung im Trusting System
Die Anmeldedaten zur Anmeldung an einem Trusting System werden einer Berechtigungsprüfung unterzogen.
In den vom Trusted System gelieferten Daten werden Systemname, Mandant, Benutzername und andere optionale Daten gesucht und gegen die Feldwerte des Berechtigungsobjekts S_RFCACL geprüft.
Der Systemadministrator kann die Anmeldedaten eines Benutzers mit Hilfe des Funktionsbausteins AUTHORITY_CHECK_TRUSTED_SYSTEM prüfen.
Eine Beschreibung der möglichen Rückgabewerte finden Sie unter Fehlersuche in Trusted/Trusting Systemen weiter unten.
Trusted Systeme testen
Um ein Trusted System zu testen, können Sie Berechtigungsprüfungen für den aktuellen Server und das Trusting System durchführen. Wählen Sie dazu das Menü Eintrag. Stehen keine gültigen Anmeldedaten bereit, so erscheint das Anmeldebild des Trusted Systems. Melden Sie sich dort an. Schlägt Ihr Test fehl, lesen Sie Fehlersuche in Trusted/Trusting Systemen weiter unten.
Fehlersuche in Trusted/Trusting Systemen
Nach dem Anlegen eines Trusted Systems müssen Sie die Destination testen. Melden Sie sich dazu über Remote Login im Trusted System an.
Alternativ dazu können Sie auch eine Berechtigungsprüfung für den Trusted Server durchführen. Wählen Sie dazu die geeignete Funktion aus dem Test-Menü.
Schlägt Ihr Anmeldeversuch fehl, erhalten Sie eine entsprechende Nachricht mit einem Fehlercode. Beachten Sie, daß Sie die Benutzer DDIC und SAP* nicht verwenden dürfen.
Folgende Fehlercodes können auftreten:
· Ungültige Anmeldedaten (Benutzer-ID und Mandant) für das Trusting System
Lösung: Legen Sie die Benutzer-ID für den Mandanten im Trusting System an.
· Für das rufende System existiert kein Trusted System-Eintrag, oder der Sicherheitsschlüssel für das System ist ungültig.
Lösung: Legen Sie den Eintrag für das Trusted System erneut an.
· Der Benutzer hat keine Berechtigung für das Trusted System (Objekt S_RFCACL).
Lösung: Geben Sie dem Benutzer die erforderlichen Berechtigungen.
· Der Zeitstempel der Anmeldedaten ist ungültig.
Lösung: Überprüfen Sie die Zeiteinstellung sowohl auf dem Client- als auch auf dem Server-Host sowie das Ablaufdatum der Anmeldedaten. (Beachten Sie, dass die Standardeinstellung 00:00:00 "ohne zeitliche Begrenzung" bedeutet.)
Mit Hilfe des Funktionsbausteins AUTHORITY_CHECK_TRUSTED_SYSTEM können Sie feststellen, ob im Trusting System korrekte Anmeldedaten für das Trusted System vorliegen.
Wenn alle Tests erfolgreich verlaufen sind und Sie dennoch nicht auf das Trusting System zugreifen können, aktualisieren Sie die entsprechende Datenbank: Benutzer anzeigen ® Umfeld →Massenänderungen → alle B.puffer rücks.
Um den Auslöser eines Fehlers zu finden, aktivieren Sie den Trace auf dem Destinationen-Detailbild reproduzieren den, Fehler, und lesen im Kurz-Dump des Trusting Systems die zur Fehler-ID CALL_FUNCTION_SINGLE_LOGIN_REJ angezeigten Informationen.
Für weiterführende Informationen und praktische Tipps zu Trusted/Trusting lesen Sie: