如何对SOAP(发送者)入站WS调用者用户给予适当的授权?安全漏洞?

2020-08-26 18:12发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中) 你好 我们正在使用...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好

我们正在使用PO 7.5 SP 14单个Java堆栈。 我们实现了SOAP(入站)-PO-(出站)RFC场景。


我们在UME中定义了一个用户,并分配了角色" SAP_XI_APPL_SERV_USER",因为有许多sdn线程这样说。 我们通过SOAP发送者通道公开了WS。 我们将此用户密码提供给外部的WS调用方。 到目前为止,一切都很好。 一切正常。 我们注意到,我们的团队可以登录ID和IR(配置和设计)。 他们无法修改/定义对象,但可以看到所有对象,例如消息映射,操作映射,通道定义,通信通道中的主机名/用户,配置中的业务系统名称。 简而言之,我们需要给第3方这样的用户,使他们只能调用WS,而不能登录设计/配置时间。 否则,在UME中定义用户并仅提供SAP_XI_APPL_SERV_USER角色是不安全的。 他们称WS,这就是我们想要的。 但是,他们可以登录ID或IR,这不是我们想要的。

BR

5条回答
小灯塔
2020-08-26 18:34

您好,Kerem,
要实现此目的,您应该使用DMZ。 这会将外部网络与PI和内部网络中的其他系统分开。 它用作外围网络或屏蔽子网,是将内部局域网分开的物理或逻辑子网 (LAN)来自其他不受信任的网络,通常是Internet。 面向外部的服务器,资源和服务位于DMZ中。 因此,它们可以从Internet访问,但是内部的其余部分 LAN仍然无法访问。 这提供了额外的安全层 局域网,因为它限制了黑客直接访问的能力 内部服务器和通过互联网的数据。 公共互联网上向用户提供的任何服务都应放置在DMZ网络中。

设置完成后,您可以向他们提供外部网络的URL,并且可以通过Web调度程序/路由器将请求路由到PI。 您不得与他们共享内部/直接系统URL。

谢谢

Sugata

一周热门 更多>