Vertrauensbeziehungen zwischen SAP-Systemen pflegen 

Verwendung

SAP-Systeme können so genannte ‚Vertrauensbeziehungen’ zueinander aufbauen, um den Authentifizierungsaufwand bei der Anmeldung an einem entfernten System zu minimieren:

wenn ein rufendes SAP-System dem gerufenen System als aurufendes System bekannt ist, ist kein Passwort für die Anmeldung erforderlich.

Das rufende SAP-System muss im gerufenen System als aurufendes System registriert sein. Das gerufene System wird als vertrauendes oder aufzurufendes System bezeichnet.

Vertrauensbeziehungen zwischen SAP-Systemen haben folgende Vorteile:

●      Einzelanmeldung ist über Systemgrenzen hinweg möglich.

●      Im Netzwerk werden keine Passwörter übertragen.

●      Auszeitmechanismen für die Anmeldedaten schützen vor widerrechtlichen Anmeldeversuchen.

●      Benutzerspezifische Anmeldedaten werden im aufzurufenden System geprüft.

Die Vertrauensbeziehung ist nicht gegenseitig, d.h. sie besteht nur in eine Richtung. Um eine beidseitige Vertrauensbeziehung zwischen zwei Partnersystemen aufzubauen, müssen Sie jedes der beiden Systeme im entsprechenden Partnersystem als aurufendes System definieren.

Um zusätzliche Sicherheit zu erhalten, können Sie die SAP-SNC-Schnittstelle (Secure Network Communications) für zusätzliche Sicherheitssysteme wie Kerberos und SECUDE verwenden.

Voraussetzungen

Sie haben über die Transaktion SM59 die Destination angelegt, die Sie für den Aufbau einer Vertrauensbeziehung verwenden wollen.

Vorgehensweise

Vertrauensbeziehung zwischen Systemen anlegen

Sie können Vertrauensbeziehungen zwischen SAP-Systemen mit Hilfe eines Assistenten anlegen. Der Assistent erläutert Ihnen Schritt für Schritt die erforderlichen Aktivitäten:

 

       1.      Wählen Sie auf dem Übersichtsbild über der Transaktion SM59 Zusätze → Trusted Systeme (oder Transaktionscode SMT1).

Sie können das Berechtigungsobjekt S_RFC_TT verwenden um den Zugriff auf die Transaktion SMT1 zu beschränken.

       2.      Gibt es bereits Aurufende Systeme, so werden Sie in einem Hierarchiebaum angezeigt. Um bestehende aurufende Systeme anzuzeigen, expandieren Sie die entsprechenden Knoten.

       3.         Um eine Vertrauensbeziehung anzulegen, wählen Sie die Schaltfläche Anlegen.

       4.      Es erscheint der Assistent mit einem initialen Fenster und allgemeinen Informationen. Wenn Sie auf Weiter klicken, gelangen Sie zu den eigentlichen Pflegeschritten:

○       Destination eingeben: in diesem Dialogfenster geben Sie die Destination ein, mit deren Hilfe die Vertrauensbeziehung aufgebaut werden soll.

○       Ermittelte Informationen anzeigen:  alle benötigten Informationen wie Name des Anwendungs-Servers und Sicherheitsschlüssel werden automatisch bereitgestellt.

○       Konfiguration:  Wenn Sie die Gültigkeitsdauer der Anmeldedaten begrenzen wollen, geben Sie im Feld Gültigkeitsdauer eine Zeit im Format hh:mm:ss. Wenn Sie den Transaktionscode des rufenden Programms in das gerufene System übernehmen wollen, markieren Sie das entsprechende Ankreuzfeld.

Nur in diesem Fall wird im gerufenen System eine Berechtigungsprüfung für den Transaktionscode durchgeführt (Feld RFC_TCODE des Berechtigungsobjekts S_RFCACL).

Beim Löschen einer Vertrauensbeziehung erscheint das Anmeldebild des entsprechenden Systems, wenn keine gültigen Anmeldedaten vorliegen. In diesem Fall müssen Sie sich in diesem System anmelden, um den Löschvorgang durchzuführen.

○       Fertigstellen: Wenn Sie diese Schaltfläche im letzten Dialogfenster anklicken, ist die Vertrauensbeziehung eingerichtet und kann verwendet werden.

Destinationen für aurufende Systeme anzeigen und ändern

Die Liste aller aufrufenden System befindet sich auf dem Karteireiter Systeme, deren Aufrufen vertraut wird. Durch Doppelklick auf einen Systemnamen gelangen Sie auf das Detailbild mit den enstsprechenden Einstellungen für das System.

Sie können bestehende Destinationen für jedes System ändern, indem Sie im Detailbild der Destination auf die Schaltfläche Destinationspflege wählen.

Um zu verhindern, dass andere Benutzer Ihre Destinationen ändern, markieren Sie das Ankreuzfeld Destination nicht änderbar auf dem Karteireiter Verwaltungsinformationen. Um die Destination wieder für Änderungen freizugeben, entfernen Sie die Markierung.

Beachten Sie, dass Destinationen konsistent bleiben müssen. Aus diesem Grund dürfen Sie weder die ID des Zielsystems noch die Systemnummer oder den Destinationsnamen ändern.

Aufzurufende Systeme anzeigen

Über die Transaktion SMT1 können Sie auch eine Liste aller aufzurufenden Systeme anzeigen (Karteireiter Systeme, die dem aktuellen System vertrauen). Um die Einstellungen für das aufzurufende Systems anzuzeigen, doppelklicken Sie auf den Namen des entsprechenden Systems.

Durch einen Klick auf die Schaltfläche Transaktionsaufruf erhalten Sie ein Dialogfenster, in dem Sie den Transaktionscode einer Transaktion eingeben können, die Sie im aufzurufenden System ausführen wollen. Zusätzlich können Sie angeben, ob die Transaktion im selben Modus oder in einem neuen Modus ausgeführt werden soll.

Prüfung der Anmeldeberechtigung im aufzurufenden System

Die Anmeldedaten zur Anmeldung an einem aufzurufenden System werden einer Berechtigungsprüfung unterzogen.

In den vom aurufenden System gelieferten Daten werden Systemname, Mandant, Benutzername und andere optionale Daten gesucht und gegen die Feldwerte des Berechtigungsobjekts S_RFCACL geprüft.

Der Systemadministrator kann die Anmeldedaten eines Benutzers mit Hilfe des Funktionsbausteins AUTHORITY_CHECK_TRUSTED_SYSTEM prüfen.

Aurufende Systeme testen

Um ein aurufendes System zu testen, können Sie Berechtigungsprüfungen für den aktuellen Server und das aufzurufende System durchführen. Wählen Sie dazu im Menü des Destinations-Detailbildes Eintrag  → Berechtigungsprüfung oder die entsprechende Schaltfläche. Stehen keine gültigen Anmeldedaten bereit, so erscheint das Anmeldebild des aurufenden Systems. Melden Sie sich dort an.  

Fehlersuche  

Schlägt Ihr Anmeldeversuch fehl, erhalten Sie eine entsprechende Nachricht mit einem Fehlercode. Beachten Sie, dass Sie die Benutzer DDIC und SAP* nicht verwenden dürfen.

Folgende Fehlercodes können auftreten:

●      0: Ungültige Anmeldedaten (Benutzer-ID und Mandant) für das aufzurufende System

Lösung: Legen Sie die Benutzer-ID für den Mandanten im aufzurufende System an.

●      1: Für das rufende System existiert kein Trusted System-Eintrag, oder der Sicherheitsschlüssel für das System ist ungültig.

Lösung: Legen Sie den Eintrag für das aurufende System erneut an.

●      2: Der Benutzer hat keine Berechtigung für das aufrufende System (Objekt S_RFCACL). 

Lösung: Geben Sie dem Benutzer die erforderlichen Berechtigungen.

●      3: Der Zeitstempel der Anmeldedaten ist ungültig.

Lösung: Überprüfen Sie die Zeiteinstellung sowohl auf dem Client- als auch auf dem Server-Host sowie das Ablaufdatum der Anmeldedaten. (Beachten Sie, dass die Standardeinstellung 00:00:00 "ohne zeitliche Begrenzung" bedeutet.)

 Weitere Informationen

Weitere Informationen zur Fehlersuche für Vertrauensbeziehungen finden Sie im SAP Hinweis 128447.