点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
你好
我们正在使用PO 7.5 SP 14单个Java堆栈。 我们实现了SOAP(入站)-PO-(出站)RFC场景。
我们在UME中定义了一个用户,并分配了角色" SAP_XI_APPL_SERV_USER",因为有许多sdn线程这样说。 我们通过SOAP发送者通道公开了WS。 我们将此用户密码提供给外部的WS调用方。 到目前为止,一切都很好。 一切正常。 我们注意到,我们的团队可以登录ID和IR(配置和设计)。 他们无法修改/定义对象,但可以看到所有对象,例如消息映射,操作映射,通道定义,通信通道中的主机名/用户,配置中的业务系统名称。 简而言之,我们需要给第3方这样的用户,使他们只能调用WS,而不能登录设计/配置时间。 否则,在UME中定义用户并仅提供SAP_XI_APPL_SERV_USER角色是不安全的。 他们称WS,这就是我们想要的。 但是,他们可以登录ID或IR,这不是我们想要的。
BR
遇到相同问题的任何人都可以查看此注释:
2646100-如何控制角色以使用Web服务而不访问PI系统中的ESR和ID
您好,Kerem,
要实现此目的,您应该使用DMZ。 这会将外部网络与PI和内部网络中的其他系统分开。 它用作外围网络或屏蔽子网,是将内部局域网分开的物理或逻辑子网 (LAN)来自其他不受信任的网络,通常是Internet。 面向外部的服务器,资源和服务位于DMZ中。 因此,它们可以从Internet访问,但是内部的其余部分 LAN仍然无法访问。 这提供了额外的安全层 局域网,因为它限制了黑客直接访问的能力 内部服务器和通过互联网的数据。 公共互联网上向用户提供的任何服务都应放置在DMZ网络中。
设置完成后,您可以向他们提供外部网络的URL,并且可以通过Web调度程序/路由器将请求路由到PI。 您不得与他们共享内部/直接系统URL。
谢谢
Sugata
嗨,Sugata,
感谢您的建议。 但是,我们已经拥有类似的基础架构。 PI前面有一个Apache服务器。 我们给合作伙伴这个网址:
" http://mycompany.com/integrations /
XISOAPAdapter/MessageServlet?channel = PY_XXXX:BC_SOAP:CC_SOAP_In"
此URL由Appache服务器上的规则("重写规则")路由到
http://piserver:50000/
XISOAPAdapter/MessageServlet?channel = PY_XXXX:BC_SOAP:CC_SOAP_In
尽管我们拥有这样的基础架构,但合作伙伴仍可以登录ID和IR端。
我必须有一些限制用户能够调用WS但不能登录系统的东西。
嗨!
您是否尝试过SAP_XI_IS_SERV_USER?
关于Evgeniy。
嗨,Evgeniy,
不幸的是,它没有用。 他可以再次登录ID。
我还尝试从用户的"分配的组"选项卡中删除内置的组(1-Authenticated Users,2-Everyone)。 每当我保存它时,系统就会自动为该用户放回这两个内置组。
BR
一周热门 更多>