如何对SOAP(发送者)入站WS调用者用户给予适当的授权?安全漏洞?

2020-08-26 18:12发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好

我们正在使用PO 7.5 SP 14单个Java堆栈。 我们实现了SOAP(入站)-PO-(出站)RFC场景。


我们在UME中定义了一个用户,并分配了角色" SAP_XI_APPL_SERV_USER",因为有许多sdn线程这样说。 我们通过SOAP发送者通道公开了WS。 我们将此用户密码提供给外部的WS调用方。 到目前为止,一切都很好。 一切正常。 我们注意到,我们的团队可以登录ID和IR(配置和设计)。 他们无法修改/定义对象,但可以看到所有对象,例如消息映射,操作映射,通道定义,通信通道中的主机名/用户,配置中的业务系统名称。 简而言之,我们需要给第3方这样的用户,使他们只能调用WS,而不能登录设计/配置时间。 否则,在UME中定义用户并仅提供SAP_XI_APPL_SERV_USER角色是不安全的。 他们称WS,这就是我们想要的。 但是,他们可以登录ID或IR,这不是我们想要的。

BR

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好

我们正在使用PO 7.5 SP 14单个Java堆栈。 我们实现了SOAP(入站)-PO-(出站)RFC场景。


我们在UME中定义了一个用户,并分配了角色" SAP_XI_APPL_SERV_USER",因为有许多sdn线程这样说。 我们通过SOAP发送者通道公开了WS。 我们将此用户密码提供给外部的WS调用方。 到目前为止,一切都很好。 一切正常。 我们注意到,我们的团队可以登录ID和IR(配置和设计)。 他们无法修改/定义对象,但可以看到所有对象,例如消息映射,操作映射,通道定义,通信通道中的主机名/用户,配置中的业务系统名称。 简而言之,我们需要给第3方这样的用户,使他们只能调用WS,而不能登录设计/配置时间。 否则,在UME中定义用户并仅提供SAP_XI_APPL_SERV_USER角色是不安全的。 他们称WS,这就是我们想要的。 但是,他们可以登录ID或IR,这不是我们想要的。

BR

付费偷看设置
发送
5条回答
愤怒的猪头君
1楼 · 2020-08-26 18:25.采纳回答

遇到相同问题的任何人都可以查看此注释:

2646100-如何控制角色以使用Web服务而不访问PI系统中的ESR和ID

小灯塔
2楼-- · 2020-08-26 18:34

您好,Kerem,
要实现此目的,您应该使用DMZ。 这会将外部网络与PI和内部网络中的其他系统分开。 它用作外围网络或屏蔽子网,是将内部局域网分开的物理或逻辑子网 (LAN)来自其他不受信任的网络,通常是Internet。 面向外部的服务器,资源和服务位于DMZ中。 因此,它们可以从Internet访问,但是内部的其余部分 LAN仍然无法访问。 这提供了额外的安全层 局域网,因为它限制了黑客直接访问的能力 内部服务器和通过互联网的数据。 公共互联网上向用户提供的任何服务都应放置在DMZ网络中。

设置完成后,您可以向他们提供外部网络的URL,并且可以通过Web调度程序/路由器将请求路由到PI。 您不得与他们共享内部/直接系统URL。

谢谢

Sugata

hengyuye
3楼-- · 2020-08-26 18:17

嗨,Sugata,

感谢您的建议。 但是,我们已经拥有类似的基础架构。 PI前面有一个Apache服务器。 我们给合作伙伴这个网址:

" http://mycompany.com/integrations /

XISOAPAdapter/MessageServlet?channel = PY_XXXX:BC_SOAP:CC_SOAP_In"

此URL由Appache服务器上的规则("重写规则")路由到

http://piserver:50000/

XISOAPAdapter/MessageServlet?channel = PY_XXXX:BC_SOAP:CC_SOAP_In

尽管我们拥有这样的基础架构,但合作伙伴仍可以登录ID和IR端。

我必须有一些限制用户能够调用WS但不能登录系统的东西。

Violet凡
4楼-- · 2020-08-26 18:24

嗨!

您是否尝试过SAP_XI_IS_SERV_USER?

关于Evgeniy。

追夢秋陽
5楼-- · 2020-08-26 18:12

嗨,Evgeniy,

不幸的是,它没有用。 他可以再次登录ID。

我还尝试从用户的"分配的组"选项卡中删除内置的组(1-Authenticated Users,2-Everyone)。 每当我保存它时,系统就会自动为该用户放回这两个内置组。

BR

一周热门 更多>