Conflict Resolution Transport
STANDARDISIERUNG UND VIRTUALISIERUNG
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Bessere Technologien haben die Rolle der SAP-Basisadministratoren erweitert, parallel zur IT-Branche insgesamt. Es reicht nicht mehr aus, das System am Laufen zu halten und für eine gute Leistung zu sorgen. Ein SAP HANA-Basisadministrator spielt auch eine Rolle bei der Kostenkontrolle, der IT-Strategie und sogar der Geschäftspolitik.
Das Überwachungs- und Optimierungskonzept für eine SAP-Lösung
Unsere Erfahrung zeigt, dass falsche Sizings und daraus resultierende Streitfälle in der Mehrzahl der Fälle auf unpräzisen Prognosen über die erwartete Anzahl von Benutzern und Dokumenten beruhen. Die Verantwortung für die Qualität dieser Prognosen zu übernehmen ist die wichtigste Aufgabe des Projektleiters im Sizing-Prozess. Beratend steht ihm dabei der Experte des Hardwarepartners zur Seite.
Um zusätzliche Berechtigungen für definierte Gruppen im Launchpad zu PFCG-Rollen hinzuzufügen befolgen Sie die Schritte wie oben bereits beschrieben. Dieses Mal wählen Sie nur anstatt einem "SAP Fiori Kachelkatalog" eine "SAP Fiori Kachelgrupe". Hier unterscheiden sich die Vergaben von Berechtigungen nur sehr gering. Fiori Berechtigung für OData-Services Die Startberechtigung für den im Backend hinterlegten OData-Service von einer Fiori App wird sowohl auf dem Frontend-, als auch auf dem Backend-Server beim Aufrufen der Applikation abgefragt. Deshalb muss diese Berechtigung auf beiden Servern zu der entsprechenden Rolle hinzugefügt werden. Die typische Abfolge beim Anklicken einer Fiori App im Launchpad löst die folgenden Schritte aus: 1) Beim Auswählen der Kachel wird die App-Fiori-Implementierung aufgerufen 2) Die App ruft dynamische Daten aus dem HTTP-Endpunkt des OData-Services auf dem Frontend-Server ab 3) Es folgt ein RFC-Aufruf an die Gateway-Aktivierung des Backend Systems, dabei wird die relevante Geschäftslogik abgerufen 4) Nun wird die Fiori Berechtigung für den entsprechenden OData-Service auf dem Backend abgefragt 5) Wenn dies erfolgreich war werden die entsprechenden Berechtigungen für die Geschäftslogik im OData-Service abgefragt. Um die Fiori Berechtigung zur Ausführung eines OData-Services für eine App zu einer Rolle hinzuzufügen führen Sie bitte die folgenden Schritte durch: In der PFCG die entsprechende Rolle im Änderungsmodus öffnen Schritte auf dem folgenden Screenshot durchführen: 1) Menü-Reiter auswählen 2) Pfeil neben dem "Transaktion" Button klicken 3) Berechtigungsvorschlag auswählen.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Um die Verfügbarkeit – die erste Erwartung eines Benutzers an eine Anwendung – zu gewährleisten, bieten die meisten System-Management-Plattformen am Markt eine Überwachung von Hardware- und Softwarekomponenten an.
SAP-Basis bezieht sich auf die Verwaltung des SAP-Systems, die Aktivitäten wie Installation und Konfiguration, Lastausgleich und Leistung von SAP-Anwendungen, die auf dem Java-Stack und SAP ABAP laufen, umfasst. Dazu gehört auch die Wartung verschiedener Dienste in Bezug auf Datenbank, Betriebssystem, Anwendungs- und Webserver in der SAP-Systemlandschaft sowie das Stoppen und Starten des Systems. Hier finden Sie einige nützliche Informationen zu dem Thema SAP Basis: www.sap-corner.de.
Mit den Einstellungen auf der Registerkarte Anweisungen legen Sie fest, welche Operationen in der Laufzeitanalyse überwacht werden.