Die Verwaltung der RFC-Benutzer in SAP-Systemen erfolgt in der allgemeinen SAP-Benutzerverwaltung (Transaktion SU01).
Benutzertypen
Grundsätzlich können Sie für RFC-Benutzer alle Benutzertypen (System-, Dialog-, Einzel und Sammelbenutzer) verwenden.
Aus Sicherheitsgründen sollten möglichst nur System-Benutzer für die RFC-Kommunikation verwendet werden, um den Zugriff auf Dialog-Prozesse zu vermeiden. Je nach Anwendung kann es jedoch auch notwendig sein, RFC-Benutzer vom Typ Dialog einzurichten.
Authentifizierung von RFC-Benutzern
Die Authentifizierung der Benutzer kann auf unterschiedliche Weise erfolgen:
Prüfung von Benutzer und Passwort
Prüfung über das Trusted Systems Verfahren
Prüfung über SSO (Single Sign-On)
Prüfung über Zertifikat (X.509)
Um die Sicherheit Ihrer RFC-Verbindungen zu gewährleisten, sollten Sie weitere Punkte in der Benutzerverwaltung berücksichtigen:
Einschränken der Pflegeberechtigungen für RFC-Destinationen (Transaktion SM59)
Mit der Transaktion SM59 kann sich ein Benutzer über Remote Logon entfernt an einer RFC-Destination anmelden (wenn der Benutzer im Zielsystem ein Dialogbenutzer ist).
Die erforderlichen Berechtigungsobjekte sind S_ADMI_FCD mit dem Wert NADM und S_TCODE mit dem Wert SM59 .
Vergabe von Berechtigungen zur Verwendung einzelner Destinationen
Pflegen Sie über die Transaktion SM59 für jede einzelne RFC-Destination die Sicherheitsoptionen im Bereich Anmeldung/Sicherheit. Die Berechtigung eines Benutzers für den Zugriff auf die jeweilige Destination können Sie mit Hilfe eines Prüfwertes im Feld Berechtigung für Destination festlegen. Beachten Sie hierzu auch die F1-Hilfe zu diesem Feld.
Ablegen von Benutzerinformationen nur für Systembenutzer (nicht für Dialogbenutzer)
Wird eine RFC-Verbindungsanfrage über den Standard-Kennwortmechanismus authentifiziert, muss der Benutzer, der die Anfrage ausführt, sich entfernt am Zielsystem mit einer gültigen Benutzerkennung und einem Kennwort anmelden. Diese Informationen müssen entweder in der RFC-Destination (für Systembenutzer) abgelegt werden oder der Benutzer wird zum Zeitpunkt des Verbindungsaufbaus nach seiner Benutzerkennung und dem Kennwort gefragt (Laufzeitabfrage).
Beachten Sie deshalb folgendes:
Legen Sie keinerlei Informationen für Dialogbenutzer in RFC-Destinationen ab. SAP-Systeme fragen die Anmeldeinformationen des Dialogbenutzers zum Zeitpunkt des Verbindungsaufbaus ab.
Stellen Sie sicher, dass Systembenutzer, deren Anmeldedaten abgelegt sind, nur minimale Rechte in den Zielsystemen haben.
Pflegen Sie eine Übersicht der Systembenutzer, deren Daten abgelegt sind. Nur Anmeldedaten bekannter Systembenutzer sollten abgelegt werden (z. B. TMSADM).