SAP Fiori 安全型
保护 SAP Fiori 系统的安全可确保支持您业务需求的信息和流程得到保护,而不会对关键信息进行任何未经授权的访问。
您必须确保用户错误、疏忽或试图操纵您的系统不会导致信息或处理时间的损失。
所有这些安全策略都应适用于 Fiori 系统中的所有组件。
在 SAP Fiori 中管理用户:
- 要管理 SAP Fiori 事务应用程序,您应该有以下用户 −
- SAP NetWeaver 网关和 ABAP 前端服务器中的用户
- ABAP 后端服务器中的用户
身份验证方法
在启动 SAP Fiori 应用程序时,SAP Fiori Launchpad 通过 Web Dispatcher 将请求从客户端发送到ABAP前端服务器。ABAP 前端服务器在发送此请求时对用户进行身份验证。为了对用户进行身份验证,ABAP 前端服务器使用 SAP NetWeaver 提供的身份验证和单点登录(SSO)机制。下面提到的机制可用于身份验证:
SPENGO/KERBEROS
当客户端应用程序想要向远程服务器进行身份验证,但两端都不确定另一端支持什么身份验证协议时,可以使用 SPNEGO。伪机制使用协议来确定可用的通用 GSSAPI 机制,选择一个机制,然后向其发送所有进一步的安全操作。这可以帮助组织分阶段部署新的安全机制。
SAP Logon Tickets
SAP Logon Tickets 代表 SAP 系统中的用户凭据。启用后,用户可以通过 SAPgui 和 web 浏览器访问多个 SAP 应用程序和服务,而无需用户进一步输入用户名和密码。SAP 登录票据也可以是跨 SAP 边界实现单点登录的工具;在某些情况下,可以使用登录票证对第三方应用程序进行身份验证,例如基于 Microsoft 的 web 应用程序。
X.509 Certificates
X.509 证书包含有关向其颁发证书的身份和颁发证书的身份的信息。人们称之为安全套接字层(SSL)证书的许多证书实际上是 X.509 证书。
后端系统中的身份验证
在 ABAP 前端服务器上完成初始身份验证后,将在客户端和 ABAP 前端服务器之间建立安全会话。
这让 SAP Fiori 应用程序和 Launchpad 可以向 ABAP 后端服务器发送 OData 请求。这些请求通过使用受信任的 RFC 进行安全通信。
安全网络通信 SNC
安全网络通信(SNC)将 SAPNetWeaver 单点登录或外部安全产品与 SAP 系统集成。有了 SNC,您可以通过使用安全产品提供的附加安全功能来增强安全性,这些安全功能不是 SAP 系统直接提供的。
SNC 保护使用 SAP 协议 RFC 或 DIAG 的 SAP 系统的各种客户端和服务器组件之间的数据通信路径。各种安全产品已经实现了一些众所周知的加密算法,有了 SNC,您可以将这些算法应用于数据以提高保护。
重要特征:
- SNC 保护各种 SAP 系统客户端和服务器组件之间的数据通信路径。支持的安全产品已经实现了一些众所周知的加密算法,使用 SNC,您可以将这些算法应用于数据,以增强保护。
- 使用 SNC,您可以获得应用程序级别的端到端安全性。两个受 SNC 保护的组件之间发生的所有通信都是安全的。
- 可以使用 SAP 不直接提供的其他安全功能,如智能卡。
- 您可以随时更改安全产品,而不会影响 SAP 业务应用程序。
防护等级
您可以应用三个级别的安全保护。他们是:
- 仅限身份验证
- 完整性保护
- 隐私保护
仅限身份验证
当仅使用身份验证时,系统验证通信伙伴的身份。这是 SNC 提供的最低保护级别。
完整性保护
使用完整性保护时,系统会检测到通信两端之间可能发生的任何数据更改或操作。
隐私保护
在使用隐私保护时,系统会对传输的消息进行加密,使窃听无效。隐私保护还包括数据的完整性保护。这是 SNC 提供的最大保护级别。