谷歌云_华为云服务门户网站_哪家好

小七 2019年10月25日 21:23 141 0

您可以使用Trusted RFC概念提高系统环境的安全性（请参阅Trusted Systems:维护SAP系统之间的信任关系）。这个博客描述了如何安全地配置受信任的RFC。

不安全配置的一些众所周知的影响是：

滥用限制到特定用户组的功能阅读，修改或删除受限制的数据

您可以在"保护远程函数调用（RFC）"白皮书中找到关于RFC安全性的一般建议，包括关于受信任RFC的合理建议，您可以在支持门户网站上找到https://support.sap.com/securitywp。

可信系统（通常是基础设施系统，如中央GRC box、SAP Solution Manager、中央用户管理系统或SAP Fiori网关）必须与信任系统（通常是ERP等业务系统）具有相同或更高的安全级别，或CRM）。

关于可信RFC的安全分类主要涉及用户管理（如SU01）和网络管理（如SM59）。受信任的系统必须至少在与最关键的信任业务系统相同的安全级别上进行管理！

在所有业务关键型系统中，应定期检查信任关系，如果不符合此规则，则必须删除信任关系。

下图基于2004年发布的RFC安全v1.1演示文稿Teched 2012会话SIS264保护RFC，显示了来自一个系统的可信RFC调用到另一个系统B.

如果系统A调用同一个系统A（在同一个客户端或不同的客户端上），则原理相同。

此图列出了您必须正确配置的安全相关区域：

显式可信RFC定义可信RFC定义的事务标志RFC服务器系统中的授权对象RFC服务器系统中的授权对象S\ RFC授权对象在RFC客户端系统中的ICF

本博客主要以GRC访问控制紧急访问管理为例（因此主要基于相应的注释1694657）为这些领域提供建议，物联网安全，并对使用可信RFC:SAP的其他应用程序的安全配置进行展望Solution Manager、Central User Administration和SAP Fiori。将GRC示例也用作所有这些应用程序的通用蓝图。

内容：

GRC访问控制紧急访问管理

SAP Solution Manager

中央用户管理

SAP Fiori

相关链接

1。增强信任关系以传输调用事务的事务代码（SMT1）

使用事务SMT1定义信任关系。根据不同的GRC场景，需要不同的信任关系：

GRC AC 5.3和GRC AC 10.x分散

（GRC AC 5.3不可维护，由于在分散模式下运行时与GRC AC 10.x相似，我们仍然描述了所需的设置。）

这些场景使用本地调用：消防员用户亲自登录到业务系统的所需客户端，并使用GRC消防员事务切换到同一系统和同一客户端中的消防员ID。因此，每个系统都需要与自身建立信任关系，而不需要与包括GRC盒在内的任何其他系统建立信任关系。

只有在两个不同系统之间建立信任时，才需要明确的可信RFC定义。每一个系统都信任自己关于可信任的RFC。因此，在分散灭火的情况下，您可能忽略了受信任的RFC定义。然而，我们强烈建议在任何情况下定义明确的信任关系，真正云服务器，以记录所需的信任关系，云主机，并能够激活设置"使用事务代码"。

GRC AC 10.x central

此场景基于中央GRC框：消防员用户登录中央GRC框并使用消防员事务切换到业务系统所需客户端中的消防员ID。因此，每个系统都必须信任此中央GRC箱。

如果您也要为GRC箱使用fire fighter，则需要为其本身建立信任关系。

如果您要同时使用中央和分散消防，则必须配置这两种类型的信任关系。

启动事务SMT1并按照流程定义信任关系。然后导航到"呼叫受信任的系统"选项卡上的信任定义，在更改模式下打开信任定义，并在"配置"选项卡上为所有必需的信任关系激活"使用事务代码"设置。

可选：如果您已将安全网络通信（SNC）配置为加密通信通道，则可以在"技术设置"选项卡上激活设置"SNC"，也。

事务SMT1:

注意：如果系统环境中也使用了其他应用程序，则必须小心，因为这些应用程序通常使用受信任的RFC。这可以是SAP Solution Manager或中央用户管理（CUA）。如果信任关系已经存在，并且设置为"使用事务代码"（或者为同一系统创建显式信任关系来替换隐式信任关系），则必须首先分析并可能调整包含授权对象S\u RFCACL的授权的现有角色。原因是，在激活"使用事务代码"设置后，用户可能需要对字段RFC\u TCODE进行扩展授权。

本文地址： /ziyuan/83199.html