Show TOC

BenutzerverwaltungLocate this document in the navigation structure

Verwendung

Die Verwaltung der RFC-Benutzer in SAP-Systemen erfolgt in der allgemeinen SAP-Benutzerverwaltung (Transaktion SU01).

Benutzertypen

Grundsätzlich können Sie für RFC-Benutzer alle Benutzertypen (System-, Dialog-, Einzel und Sammelbenutzer) verwenden.

Hinweis

Aus Sicherheitsgründen sollten möglichst nur System-Benutzer für die RFC-Kommunikation verwendet werden, um den Zugriff auf Dialog-Prozesse zu vermeiden. Je nach Anwendung kann es jedoch auch notwendig sein, RFC-Benutzer vom Typ Dialog einzurichten.

Authentifizierung von RFC-Benutzern

Die Authentifizierung der Benutzer kann auf unterschiedliche Weise erfolgen:

  • Prüfung von Benutzer und Passwort

  • Prüfung über das Trusted Systems Verfahren

  • Prüfung über SSO (Single Sign-On)

  • Prüfung über Zertifikat (X.509)

Um die Sicherheit Ihrer RFC-Verbindungen zu gewährleisten, sollten Sie weitere Punkte in der Benutzerverwaltung berücksichtigen:

Einschränken der Pflegeberechtigungen für RFC-Destinationen (Transaktion SM59)

Mit der Transaktion SM59 kann sich ein Benutzer über Remote Logon entfernt an einer RFC-Destination anmelden (wenn der Benutzer im Zielsystem ein Dialogbenutzer ist).

Die erforderlichen Berechtigungsobjekte sind S_ADMI_FCD mit dem Wert NADM und S_TCODE mit dem Wert SM59 .

Vergabe von Berechtigungen zur Verwendung einzelner Destinationen

Pflegen Sie über die Transaktion SM59 für jede einzelne RFC-Destination die Sicherheitsoptionen im Bereich Anmeldung/Sicherheit. Die Berechtigung eines Benutzers für den Zugriff auf die jeweilige Destination können Sie mit Hilfe eines Prüfwertes im Feld Berechtigung für Destination festlegen. Beachten Sie hierzu auch die F1-Hilfe zu diesem Feld.

Ablegen von Benutzerinformationen nur für Systembenutzer (nicht für Dialogbenutzer)

Hinweis

Wird eine RFC-Verbindungsanfrage über den Standard-Kennwortmechanismus authentifiziert, muss der Benutzer, der die Anfrage ausführt, sich entfernt am Zielsystem mit einer gültigen Benutzerkennung und einem Kennwort anmelden. Diese Informationen müssen entweder in der RFC-Destination (für Systembenutzer) abgelegt werden oder der Benutzer wird zum Zeitpunkt des Verbindungsaufbaus nach seiner Benutzerkennung und dem Kennwort gefragt (Laufzeitabfrage).

Beachten Sie deshalb folgendes:

  • Legen Sie keinerlei Informationen für Dialogbenutzer in RFC-Destinationen ab. SAP-Systeme fragen die Anmeldeinformationen des Dialogbenutzers zum Zeitpunkt des Verbindungsaufbaus ab.

  • Stellen Sie sicher, dass Systembenutzer, deren Anmeldedaten abgelegt sind, nur minimale Rechte in den Zielsystemen haben.

  • Pflegen Sie eine Übersicht der Systembenutzer, deren Daten abgelegt sind. Nur Anmeldedaten bekannter Systembenutzer sollten abgelegt werden (z. B. TMSADM).