Freigeben über

Bewährte Methoden zum Schützen des SAP-Adapters

  • Artikel

Dieser Abschnitt enthält bewährte Methoden, die Sie befolgen sollten, um vertrauliche Daten vollständiger zu schützen, wenn Sie Anwendungen verwenden oder entwickeln, die den Microsoft BizTalk-Adapter für mySAP Business Suite nutzen.

Bewährte Sicherheitsmethoden für die Verbindung zwischen dem SAP-Adapter und dem SAP-System

  • Sie müssen ein angemessenes Maß an Sicherheit für daten gewährleisten, die zwischen dem Adapter und dem SAP-System ausgetauscht werden. Der SAP-Adapter unterstützt SAP Secure Network Communications (SNC). Sie können SNC aktivieren oder einen alternativen Mechanismus bereitstellen, um die Kommunikation zwischen dem Adapter und dem SAP-System zu schützen.

  • Geben Sie keine Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System im Verbindungs-URI an. In den folgenden Abschnitten finden Sie alternative Methoden zum Bereitstellen von Anmeldeinformationen für den SAP-Adapter.

  • Stellen Sie sicher, dass nur Listener, die SAP-Artefakte (RFCs, IDOCs und tRFCs) von einer SAP-Programm-ID empfangen möchten, Zugriff auf diese Programm-ID haben. Dies liegt daran, dass jeder Listener, der Zugriff auf eine Programm-ID hat, Artefakte von dieser Programm-ID empfangen kann.

  • Beachten Sie, dass SAP zufällig einen Listener für jedes ausgehende Artefakt (RFC, IDOC oder tRFC) auswählt, wenn mehrere Listener gleichzeitig eine SAP-Programm-ID verwenden.

    Weitere Informationen finden Sie unter Sicherheit zwischen dem SAP-System und dem Adapter.

Bewährte Sicherheitsmethoden für die Verwendung des SAP-Adapters mit BizTalk Server

  • Geben Sie keine Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System im Verbindungs-URI an.

  • Wenn Sie das Add-In Adapterdienst nutzen verwenden, geben Sie im Dialogfeld Adapter konfigurieren auf der Registerkarte Sicherheit die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System ein.

  • Wenn Sie den BizTalk-WCF-Custom-Adapter für den SAP-Adapter an einem Sendeport konfigurieren, geben Sie im Dialogfeld Konfigurieren des benutzerdefinierten WCF-Transports auf der Registerkarte Anmeldeinformationen für das SAP-System die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System ein.

  • Wenn Sie den BizTalk-WCF-Custom-Adapter für den SAP-Adapter an einem Empfangsspeicherort konfigurieren, geben Sie auf der Registerkarte Andere des Dialogfelds Benutzerdefinierten WCF-Transport konfigurieren die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System ein.

    Weitere Informationen finden Sie unter Sicherheit mit dem SAP-Adapter und BizTalk Server.

Bewährte Sicherheitsmethoden für die Verwendung des SAP-Adapters mit Programmierlösungen

  • Manchmal ist es erforderlich, die Anmeldeinformationen für das Kennwort für den Benutzernamen für das SAP-System im Verbindungs-URI anzugeben. Wenn möglich, sollten Sie dies jedoch vermeiden.

  • Wenn Sie das Visual Studio-Plug-In Adapter Service Reference hinzufügen verwenden, geben Sie die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System auf der Registerkarte Sicherheit des Dialogfelds Adapter konfigurieren ein.

  • Verwenden Sie in der WCF-Kanalmodellprogrammierung die Credentials-Eigenschaft in der Kanalfactory, um die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System festzulegen.

  • Verwenden Sie in der WCF-Dienstmodellprogrammierung die ClientCredentials-Eigenschaft auf dem WCF-Client, um die Kennwortanmeldeinformationen für den Benutzernamen für das SAP-System festzulegen.

  • Wenn eine Anwendung, die den SAP-Adapter nutzt, Nachrichten mit vertraulichen Datenbankinformationen über eine Prozessgrenze an einen anderen Dienst oder Client sendet, stellen Sie sicher, dass diese Nachrichten über ausreichende Sicherheitsmaßnahmen verfügen, um einen angemessenen Datenschutz in Ihrer Umgebung zu gewährleisten.

    Weitere Informationen finden Sie unter Sichere Programmierung mit dem SAP-Adapter.

Bewährte Sicherheitsmethoden für das Hosten des SAP-Adapters in IIS

  • Das Hosten des SAP-Adapters in Microsoft-Internetinformationsdienste (IIS) als Webdienst macht Vorgänge verfügbar, die vom SAP-Adapter für Webclients angezeigt werden. Diese Vorgänge können den Austausch vertraulicher Daten über das Internet beinhalten. Daher sollten Sie Maßnahmen ergreifen, um sicherzustellen, dass diese Daten so sicher wie möglich sind.

    WCF stellt zwei Standardbindungen für den HTTP-Transport bereit: BasicHttpBinding bietet einfachen HTTP-Transport ohne Sicherheitsmechanismen; WSHttpBinding unterstützt Sowohl Sicherheitsmechanismen auf Transportebene als auch auf Nachrichtenebene.

    Sie können entweder basicHttpBinding über eine HTTPS-Verbindung oder WSHttpBinding verwenden, um Ihre Daten zu schützen. Das WCF LOB Adapter SDK enthält den WCF LOB-Adapterdienstentwicklungs-Assistenten zum Generieren des WCF-Diensts für LOB-Artefakte. Dieser Assistent unterstützt nur die Verwendung von BasicHttpBinding.

    Sie können auch eine benutzerdefinierte HTTP-Bindung entwickeln, um zusätzliche Sicherheitsmechanismen zu nutzen, die Ihre Umgebung bietet. Weitere Informationen zu den Sicherheitsfeatures, die WCF bereitstellt, finden Sie unter Sichern von Diensten und Clients.

Bewährte Sicherheitsmethoden für die WCF-Diagnoseablaufverfolgung und Nachrichtenprotokollierung

WCF unterstützt die Diagnoseablaufverfolgung und die Nachrichtenprotokollierung. Sie konfigurieren die Diagnoseablaufverfolgung und die Nachrichtenprotokollierung entweder über Konfigurationsdateien oder mithilfe der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI). Abhängig von den von Ihnen festgelegten Konfigurationsoptionen können die WCF-Diagnoseablaufverfolgung oder die Nachrichtenprotokollierung vertrauliche Informationen in Protokolldateien ausgeben, wo sie möglicherweise von nicht autorisierten Benutzern beobachtet werden können.

Befolgen Sie die Empfehlungen in der WCF-Dokumentation, um potenzielle Sicherheitsbedrohungen zu minimieren, indem Sie diese Features aktivieren. Mindestens sollten Sie die folgenden bewährten Methoden für die Diagnoseablaufverfolgung und die Nachrichtenprotokollierung beachten:

  • Aktivieren Sie die Ablaufverfolgung "ausführlicher" oder "Informationen" in einer Produktionsumgebung nicht. Dies kann zu Leistungseinbußen führen. Sie müssen jedoch die Ablaufverfolgung "Warnung" und "Fehler" in einer Produktionsumgebung aktivieren. Wenn Sie die Ablaufverfolgung aktivieren, müssen Sie geeignete Sicherheitsmaßnahmen ergreifen, um Ihre Daten zu schützen. Weitere Informationen finden Sie in der WCF-Dokumentation.

  • Stellen Sie sicher, dass Protokolldateien und Konfigurationsdateien durch Zugriffssteuerungslisten (Access Control Lists, ACLs) geschützt sind.

    Die folgenden Warnungen gelten speziell für die Nachrichten, die zwischen einer Clientanwendung und dem SAP-Adapter ausgetauscht werden:

  • Die WCF-Diagnoseablaufverfolgung kann den Header (aber nicht den Text) von Nachrichten protokollieren, die mit dem SAP-Adapter ausgetauscht werden. Da sich die Nachrichtenaktion im Nachrichtenheader befindet, werden die Vorgänge angezeigt, die vom Client auf dem SAP-Adapter aufgerufen werden.

  • Wenn die WCF-Nachrichtenprotokollierung aktiviert ist und logMessagesAtServiceLevel ist, wird trueder Nachrichtenheader (aber nicht der Nachrichtentext) der zwischen dem Adapterclient und dem SAP-Adapter ausgetauschten Nachrichten protokolliert. Da sich die Nachrichtenaktion im Nachrichtenheader befindet, werden die Vorgänge angezeigt, die der Client auf dem SAP-Adapter aufgerufen hat. Wenn logEntireMessage dies auch trueder Wert ist, wird der Nachrichtentext protokolliert. Dadurch können vertrauliche Datenbankinformationen offengelegt werden.

    Weitere Informationen zur Verbesserung der Sicherheit beim Aktivieren der Diagnoseablaufverfolgung finden Sie unter Sicherheitsbedenken und nützliche Tipps für die Ablaufverfolgung. Weitere Informationen zur Verbesserung der Sicherheit beim Aktivieren der Nachrichtenprotokollierung finden Sie unter Sicherheitsbedenken für die Nachrichtenprotokollierung.

Weitere Informationen

Sichern Ihrer SAP-Anwendung