如何限制外部B2B用户运行SAP PO A2A内部接口?

2020-08-24 18:04发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的SAP专家

在我们的SAP PO(7.5)中,需要一些新的B2B集成。 该方案将是同步调用外部WS(SOAP)-> SAP PO-> SAP

我们正在评估与合作伙伴建立一个site2site VPN,以便在通过身份验证后,他们可以通过常规SOAP调用来调用我们的SAP PO。

但是,我们担心这可能是一个安全问题,因为一旦进行身份验证,他们就可以仅使用接口URL来调用任何其他SAP PO soap接口。 我知道我们可以在业务系统中使用"分配的用户"来限制该接口仅由特定的服务ID使用(在ICo的接口级别上也可以这样做)。 但这对安全漏洞没有帮助,因为其他接口在其"分配的用户"选项卡中没有任何限制,因此,一旦通过VPN进行身份验证,ID仍可以运行其他A2A接口。

唯一的选择是将所有可能的用户ID添加到所有其他接口,这样就不允许该特定ID运行任何其他接口-由于现有接口数量众多,因此我们不可接受。 SAP在OSS中确认这是使用"分配的用户"功能的唯一方法。

我们是否可以增强ACL(访问控制列表,即存储分配的用户的组件),使其不仅可以用作白名单,还可以主要用作黑名单?

有人对如何克服这个(恕我直言,非常基本的)安全问题有任何建议吗?

我已经阅读了这些帮助内容/SAP注释,这些注释仅证实了我刚才所说的内容:

-https://help.sap.com/viewer/d0a0a7cb51dc40529bfcac724dd05796/7.5.10/en-US/48cea362e206035be10000000a42189b.html

-852237-XI运行时的扩展授权概念

谢谢!

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的SAP专家

在我们的SAP PO(7.5)中,需要一些新的B2B集成。 该方案将是同步调用外部WS(SOAP)-> SAP PO-> SAP

我们正在评估与合作伙伴建立一个site2site VPN,以便在通过身份验证后,他们可以通过常规SOAP调用来调用我们的SAP PO。

但是,我们担心这可能是一个安全问题,因为一旦进行身份验证,他们就可以仅使用接口URL来调用任何其他SAP PO soap接口。 我知道我们可以在业务系统中使用"分配的用户"来限制该接口仅由特定的服务ID使用(在ICo的接口级别上也可以这样做)。 但这对安全漏洞没有帮助,因为其他接口在其"分配的用户"选项卡中没有任何限制,因此,一旦通过VPN进行身份验证,ID仍可以运行其他A2A接口。

唯一的选择是将所有可能的用户ID添加到所有其他接口,这样就不允许该特定ID运行任何其他接口-由于现有接口数量众多,因此我们不可接受。 SAP在OSS中确认这是使用"分配的用户"功能的唯一方法。

我们是否可以增强ACL(访问控制列表,即存储分配的用户的组件),使其不仅可以用作白名单,还可以主要用作黑名单?

有人对如何克服这个(恕我直言,非常基本的)安全问题有任何建议吗?

我已经阅读了这些帮助内容/SAP注释,这些注释仅证实了我刚才所说的内容:

-https://help.sap.com/viewer/d0a0a7cb51dc40529bfcac724dd05796/7.5.10/en-US/48cea362e206035be10000000a42189b.html

-852237-XI运行时的扩展授权概念

谢谢!

付费偷看设置
发送
4条回答
xfwsx85
1楼-- · 2020-08-24 18:41

对于您的问题,可能的解决方法是在DMZ中安装非中央高级适配器引擎(非中央AAE)。

他们的B2B接口将在外部适配器中运行通信通道,该适配器位于DMZ中,从而将其B2B伙伴与其他接口隔离开。

bbpeas
2楼-- · 2020-08-24 18:48

您可以在集成配置中的相应用户选项卡上限制预定义用户的访问权限,在该选项卡内您只能插入有权使用此界面的用户。/p>

shere_lin
3楼-- · 2020-08-24 18:46

您可以在集成配置中的相应用户标签下限制预定义用户的访问权限,在此标签内,您只能插入有权使用此界面的用户。

# p#

对于您而言,非中央高级适配器引擎确实更有意义。

我发现下面的链接对其进行了更好的解释,请看它对您的情况是否有意义:

ttps://help.sap.com/doc/saphelp_me151/15.1.3VERSIONFORSAPME/en-US/48/d11280b4073254e10000000a42189b/content.htm?no_cache = true

haha101010
4楼-- · 2020-08-24 18:50

您将需要为每个ICO执行此操作,这是执行所需内容的唯一方法

一周热门 更多>