遇到相同问题的任何人都可以查看此注释：

2646100-如何控制角色以使用Web服务而不访问PI系统中的ESR和ID

您好，Kerem，
要实现此目的，您应该使用DMZ。 这会将外部网络与PI和内部网络中的其他系统分开。 它用作外围网络或屏蔽子网，是将内部局域网分开的物理或逻辑子网 （LAN）来自其他不受信任的网络，通常是Internet。 面向外部的服务器，资源和服务位于DMZ中。 因此，它们可以从Internet访问，但是内部的其余部分 LAN仍然无法访问。 这提供了额外的安全层 局域网，因为它限制了黑客直接访问的能力 内部服务器和通过互联网的数据。 公共互联网上向用户提供的任何服务都应放置在DMZ网络中。

设置完成后，您可以向他们提供外部网络的URL，并且可以通过Web调度程序/路由器将请求路由到PI。 您不得与他们共享内部/直接系统URL。

谢谢

Sugata

嗨，Sugata，

感谢您的建议。 但是，我们已经拥有类似的基础架构。 PI前面有一个Apache服务器。 我们给合作伙伴这个网址：

" http://mycompany.com/integrations /

XISOAPAdapter/MessageServlet？channel = PY_XXXX：BC_SOAP：CC_SOAP_In"

此URL由Appache服务器上的规则（"重写规则"）路由到

http：//piserver：50000/

XISOAPAdapter/MessageServlet？channel = PY_XXXX：BC_SOAP：CC_SOAP_In

尽管我们拥有这样的基础架构，但合作伙伴仍可以登录ID和IR端。

我必须有一些限制用户能够调用WS但不能登录系统的东西。

嗨！

您是否尝试过SAP_XI_IS_SERV_USER？

关于Evgeniy。

嗨，Evgeniy，

不幸的是，它没有用。 他可以再次登录ID。

我还尝试从用户的"分配的组"选项卡中删除内置的组（1-Authenticated Users，2-Everyone）。 每当我保存它时，系统就会自动为该用户放回这两个内置组。

BR