Show TOC Anfang des Inhaltsbereichs

Funktionsdokumentation Zugriffskontrolle über zugeordnete Benutzer  Dokument im Navigationsbaum lokalisieren

Verwendung

Sie können für einen Sender-Service vom Typ Business-Service oder Business-System den Zugriff auf die Laufzeitumgebung auf bestimmte (Service-)Benutzer einschränken. Zur Laufzeit findet dann eine Berechtigungsprüfung statt, über die sicher gestellt wird, dass Messages, die den Service als Sender im Message-Header eingetragen haben, nur von den angegebenen Benutzern im Integration Server bzw. in der Adapter Engine ausgeführt werden dürfen.

Sie legen die Zugriffskontrolle bei der Konfiguration des entsprechenden (Sender-)Service im Integration Directory fest.

Darüber hinaus können Sie die Zugriffskontrolle auf ein bestimmtes Interface des Senders eingrenzen. Die hierzu autorisierten Benutzer geben Sie bei der Konfiguration der involvierten Sendervereinbarung an, die das Interface im Objektschlüssel enthält.  

Diese Funktion ist speziell für die Konfiguration von Business-to-Business-Prozessen gedacht. Hierbei vereinbaren Sie mit einem externen Geschäftspartner einen speziellen Benutzer für die Kommunikation über die SAP Exchange Infrastructure. Allen Services, über die der externe Partner Messages an Ihren Integration Server schickt, ordnen Sie diesen Benutzer zu. Der externe Partner muss diesen Benutzer dann bei der Konfiguration der verwendeten Empfängerkanäle (oder bei der Konfiguration der verwendeten HTTP-Destinationen) berücksichtigen.  

Hinweis

Diese Funktion wird bei Verwendung folgender (Sender-)Adapter unterstützt:

-          XI-Adapter

-          Plain-HTTP-Adapter

-          RFC-Adapter (Dabei handelt es sich um den Benutzer, der für RFC verwendet wird (üblicherweise der Benutzer für die Anmeldung an das SAP-System).)

-          IDoc-Adapter

-          SOAP-Adapter

-          RNIF (RNIF-Adapter 1.1 und RNIF-Adapter 2.0)

-          CIDX

-          SAP Business Connector-Adapter

-          Marketplace-Adapter

Achtung

Wenn Sie Adapter von Fremdherstellern verwenden, überprüfen Sie in der Dokumentation des Fremdadapters, ob diese Funktion unterstützt wird.

Aktivitäten

Zuordnung von Benutzern zu einem Service

Um autorisierte Benutzer zuzuordnen, wählen Sie im Editor Service bearbeiten die Registerkarte Zugeordnete Benutzer. Fügen Sie für den Benutzer eine neue Zeile ein (Zeile hinter der Selektion einfügen Diese Grafik wird im zugehörigen Text erklärt) und geben Sie den Benutzernamen in der Zeile manuell ein.

Die Benutzernamen werden von den (SAP XI-, SAP Web AS- oder SAP NetWeaver-) Laufzeitkomponenten immer case-insensitive behandelt und werden daher in Großbuchstaben abgespeichert.

Achtung

Wenn keine Benutzer angegeben sind, besteht für diesen Service keine Zugriffsbeschränkung.

Zuordnung von Benutzern zu einer Sendervereinbarung

Um autorisierte Benutzer für ein bestimmtes Interface des Senders anzugeben, wählen Sie im Editor Sendervereinbarung bearbeiten die Registerkarte Zugeordnete Benutzer und fügen die Benutzer zeilenweise ein.

Achtung

Beachten Sie, dass die bei der Sendervereinbarung angegebenen Benutzer mit den beim Service zugeordneten Benutzern übereinstimmen oder eine Teilmenge daraus darstellen müssen.    

Für bestimmte Adaptertypen ist die Konfiguration einer Sendervereinbarung nicht zwingend erforderlich (siehe Sendervereinbarung), sofern Sie keine weiteren Sicherheitseinstellungen vornehmen möchten. Wenn Sie den Zugriff auf die Laufzeitumgebung zusätzlich vom Sender-Interface abhängig machen möchten, müssen Sie separat hierfür eine Sendervereinbarung definieren, die die Liste der autorisierten Benutzer enthält.

Beispiel

An einem Business-to-Business-Prozess sind ein Reisebüro und die Fluggesellschaft Lufthansa beteiligt. Beide Geschäftspartner vereinbaren, dass die Laufzeitumgebung des Reisebüros nur dann Messages von der Lufthansa verarbeiten darf, wenn diese über den Benutzer USER_LH gesendet werden.

Um dieses Verhalten zu realisieren, trägt der Integrationsexperte, der die Konfiguration auf der Seite des Reisebüros vornimmt, bei allen Services, die als Sender-Services des Partners Lufthansa in Frage kommen, den Benutzer USER_LH ein.

Der Integrationsexperte, der die Konfiguration auf der Seite der Lufthansa vornimmt, muss dann sicherstellen, dass alle Messages, die an das Reisebüro gesendet werden, über den Benutzer USER_LH laufen. Er nimmt diese Einstellung typischerweise bei der Konfiguration der Empfängerkanäle vor, die die Ausgangsverarbeitung der Messages zum Reisebüro regeln.

Zur Laufzeit werden dann beim Reisebüro alle Messages, bei denen Sender-Services der Lufthansa im Message-Header eingetragen sind, daraufhin überprüft, ob sie auch über den Benutzer USER_LH gesendet werden. Hierzu wird der (beim entsprechenden Service-Objekt im Integration Directory) eingetragene Benutzer mit den Benutzer verglichen, über den eine Message hereinkommt. Nur wenn beide Benutzer übereinstimmen, wird die Message in der Laufzeitumgebung des Reisebüros fehlerfrei verarbeitet.

Siehe auch:

Weitere Informationen finden Sie im SAP-Hinweis 852237.

Weitere Informationen zur Kommunikation mit dem Integration Server finden Sie im SAP NetWeaver Process Integration Security Guide unter Service Users for Message Exchange.

Ende des Inhaltsbereichs