嗨，

您可以将FES隐藏在Web调度程序后面，然后没人可以通过SAPGui直接访问FES。

请注意

约瑟夫

据我了解，尽管在技术上可行，但根据SAP许可条款，不允许使用非对话用户。 您最好与您的SAP许可联系人联系。

要不允许用户登录GUI，可以尝试完全不给他们密码（用户根本不需要生成密码）。 在Fiori中，可以全部是SSO。

嗨，大卫

为什么您不希望对话框用户具有FES/BES访问权限，这是什么风险/安全原因？ 通过访问ABAP堆栈？ 您是说能够登录到SAPGUI或Fiori Launchpad吗？

试图理解为什么最终用户角色限制由于风险/安全原因而不足？

一些评论...

对话框与FES中的通讯用户

FES中的用户是否可能 成为交流类型？

对话框用户，您将使用哪种用户类型来运行Fiori Apps？ 为什么要考虑使用通讯用户？

通讯类型用户不合适，因为它们不适用于对话（SU01帮助信息对此进行了说明：通讯类型的用户，用于系统之间的无对话通讯（ -> RFC或CPIC）。 对话框登录（无法使用SAP GUI）。）

最终用户应保留为对话框用户。 许可； 密码管理规则； 进行对话的能力。 避免为最终用户使用服务用户。

应用程序限制

如果该用户不是对话用户，则该用户可以运行任何Fiori应用程序吗？

FES和BES中的Fiori Application访问都需要获得PFCG授权。 对于SAPUI5应用程序，将进行以下检查：

1。 S_SERVICE授权和Fiori Launchpad基本访问权限的其他一些身份验证（访问启动板的能力-基本级别访问-包括应用搜索，个性化，用户默认设置等）

2。每个应用执行S_SERVICE授权 来自FES

3。BES中的S_RFCACL受信任的RFC允许从FES执行后端（避免输入密码提示等，并保留与FES和BES访问相同的用户授权）

4。S_SERVICE授权该应用程序在BES中执行业务逻辑

5。其他授权会根据该应用程序的构造方式检查业务数据访问

如果 登录SAPGUI轻松访问菜单的用户，除非获得授权，否则将无法执行其他功能。

致谢

Colleen