Systembenutzer und RFC-Destinationen mit Trusted System

Verwendung

Mit dem Trusted-System-Konzept (Trusted System: Vertrauensbeziehungen zwischen SAP-Systemen) können Sie die Sicherheit Ihrer Systemlandschaft erhöhen.

Für die RFC-Verbindung vom Zentral- zum Tochtersystem brauchen Sie in der RFC-Destination keinen eingetragenen Systembenutzer mit den zugehörigen Berechtigungen mehr. Statt dessen geben Sie beim Anlegen der RFC-Destination an, dass der aktuelle Benutzer verwendet wird. Der Benutzer der Benutzeradministration wird also direkt für die RFC-Verbindung verwendet. Somit besteht keine Gefahr mehr, dass die Berechtigungen eines explizit angelegten Systembenutzers missbraucht werden können.

Damit der jeweilige ZBV-Benutzeradministrationsbenutzer per RFC auf die Benutzerdaten des Tochtersystems zugreifen kann, müssen Sie den Administratoren auch in allen Tochtersystemen Benutzer anlegen, denen Sie mindestens die Rollen SAP_BC_USR_CUA_SETUP_CLIENT und SAP_BC_USR_CUA_CLIENT zuweisen. Falls die Administratoren sich auch direkt am System anmelden und über Transaktionen arbeiten können sollen, müssen Sie weitere Berechtigungen hinzufügen.

Hinweis

Bei Trusted Systems wird im Tochtersystem zusätzlich Berechtigungsobjekt S_RFCACL geprüft (das noch nicht in den o.g. Rollen enthalten ist). Dadurch wird sichergestellt, dass nur bestimmte Anwendungen (z. B. SU01) per RFC auf das Tochtersystem zugreifen können.

Achtung

Bei Datenverteilung vom Tochter- zum Zentralsystem (Rückverteilung mit Verteilungsparametern) können Sie Trusted System mit "aktueller Benutzer" nicht verwenden, da die Endanwender mit Transaktion SU3 ihre eigenen Benutzerdaten ändern und per Rückverteilung in das Zentralsystem verteilen. Dazu würden alle Endanwender Änderungsberechtigungen für die Benutzerverwaltung im Zentralsystem benötigen und könnten auch sämtliche anderen Benutzerdaten ändern.

Bei der Rückverteilung von Daten vom Tochter- zum Zentralsystem könnten Sie zwar Trusted System mit einem explizit angelegten Systembenutzer verwenden, aber der Nutzen ist gering. Zum einen müssen Sie die Berechtigungen und den Systembenutzer wieder hinterlegen und setzen diese dem Missbrauch aus. Zum anderen schränken Sie die Verwendungsmöglichkeiten der RFC-Destination auf die Rückverteilung ein, so dass keine andere Anwendung diese Destination verwenden kann.

Hinweis

Daher empfehlen wir Ihnen, für die RFC-Verbindung vom Tochter- zum Zentralsystem "normale" RFC-Destinationen zu verwenden.

Voraussetzung

Sie haben jeweils für die RFC-Verbindung vom Zentral- zum Tochtersystem Trusted-System-Vertrauensbeziehungen eingerichtet.
Die Administratoren haben in allen Systemen dieselbe Benutzerkennung.

Systemlandschaft der Zentralen Benutzerverwaltung

Beispiel

Arbeiten im SAP-System ADM

Sie legen im logischen System ADMCLNT070 folgende Systembenutzer mit den Rollen SAP_BC_USR_CUA_SETUP_CENTRAL und SAP_BC_USR_CUA_CENTRAL an:
- CUA_ADM mit <Kennwort 1>
- CUA_PRD mit <Kennwort 2>
- CUA_CRM mit <Kennwort 3>
Sie legen im logischen System ADMCLNT070 die Benutzer der ZBV-Benutzeradministratoren mit den Berechtigungen zur Benutzerverwaltung an; weisen Sie ihnen mindestens die Rollen SAP_BC_USR_CUA_SETUP_CENTRAL und SAP_BC_USR_CUA_CENTRAL zu.
Sie legen im logischen System ADMCLNT075 ebenfalls Benutzer für die ZBV-Benutzeradministratoren an, denen Sie mindestens die Rollen SAP_BC_USR_CUA_SETUP_CLIENT und SAP_BC_USR_CUA_CLIENT zuweisen.
Sie legen mandantenübergreifend folgende RFC-Destinationen an:
- Normale RFC-Destination ohne Trusted System:
  - ADMCLNT070 (vom Zentralsystem auf sich selbst) mit Benutzer CUA_ADM
- RFC-Destinationen mit Trusted System:
  - ADMCLNT075 mit den Kennzeichen aktueller Benutzer und Trusted System
  - PRDCLNT324 mit den Kennzeichen aktueller Benutzer und Trusted System
  - PRDCLNT800 mit den Kennzeichen aktueller Benutzer und Trusted System
  - CRMCLNT800 mit den Kennzeichen aktueller Benutzer und Trusted System

Arbeiten im SAP-System PRD

Sie legen im logischen System PRDCLNT324 ebenfalls Benutzer für die ZBV-Benutzeradministratoren an, denen Sie mindestens die Rollen SAP_BC_USR_CUA_SETUP_CLIENT und SAP_BC_USR_CUA_CLIENT zuweisen.
Sie legen im logischen System PRDCLNT800 ebenfalls Benutzer für die ZBV-Benutzeradministratoren an, denen Sie mindestens die Rollen SAP_BC_USR_CUA_SETUP_CLIENT und SAP_BC_USR_CUA_CLIENT zuweisen.
Sie legen einmal mandantenübergreifend die RFC-Destination ADMCLNT070 ohne Trusted System an. Verwenden Sie in dieser RFC-Destination den im Zentralsystem angelegten Systembenutzer CUA_PRD.

Arbeiten im SAP-System CRM

Sie legen im logischen System CRMCLNT800 ebenfalls Benutzer für die ZBV-Benutzeradministratoren an, denen Sie mindestens die Rollen SAP_BC_USR_CUA_SETUP_CLIENT und SAP_BC_USR_CUA_CLIENT zuweisen.
Sie legen einmal mandantenübergreifend die RFC-Destination ADMCLNT070 ohne Trusted System an. Verwenden Sie in dieser RFC-Destination den im Zentralsystem angelegten Systembenutzer CUA_CRM.