SAP RFC-Schnittstellen

rfc schnittstellenRFC-Schnittstellen ermöglichen sowohl die Kommunikation innerhalb von SAP-Systemen als auch zwischen SAP- und Nicht-SAP-Systemen. Sie stellen potenzielle Einfallstore für Angriffe von innen und außen dar und gehören zu den häufig unterschätzen IT-Sicherheitsrisiken. Es ist daher dringend zu empfehlen, die Berechtigungsvergabe von RFC-Schnittstellen strategischen und individuell zu optimieren.

Inhalt

Funktionsweise von RFC Schnittstellen

Im SAP-System lassen sich zwei Arten von RFC-Schnittstellen unterscheiden. Das erste ist für den Datenaustausch mit ABAP-Programmen entwickelt, die zweite für die Kommunikation außerhalb des SAP-System.

Aufrufschnittstelle für ABAP-Programme

Sind sowohl Aufrufer als auch aufgerufenes Programm ABAP-Programme, läuft die Kommunikation zwischen zwei SAP RFC-Schnittstellen. Der Aufrufer kann jedes beliebige ABAP-Programm sein, während das gerufene Programm ein RFC-fähiger Funktionsbaustein sein muss.

Aufrufschnittstellen für Nicht-ABAP-Programme

Ist entweder der Aufrufer oder der aufgerufene Partner ein Nicht-SAP-Programm, muss dies so programmiert werden, dass es den anderen Partner in einer RFC-Kommunikation darstellen kann.

RFC-Schnittstellen können von externen Programmen benutzt werden, um Funktionsbausteine in SAP-Systemen aufzurufen und in diesen Systemen auszuführen. Umgekehrt können auch ABAP-Programme die von externen Programmen bereitgestellten Funktionen über diese Schnittstellen nutzen. Die RFC-Kommunikation ist dabei sehr flexibel und leistungsfähig, da nicht unbedingt eine Programmierumgebung aufgesetzt werden muss.

Optimierung von RFC Schnittstellen

Um RFC-Schnittstellen zu optimieren, stehen zwei unterschiedliche Ansätze zur Verfügung. Der klassische Ansatz spiegelt die derzeitige Standardvorgehensweise in vielen Unternehmen wider.

Klassischer Ansatz

sap rfc schnittstellen

Der Klassische Ansatz hat den Vorteil, dass kein Spezialwissen benötigt wird, da nur Standardwerkzeuge benutzt werden. Dieser Ansatz ist besonders für unkritische Schnittstellen und Schnittstellenbenutzer geeignet.

Schritt 1: Analyse der Schnittstellen

Im ersten Schritt wird eine Analyse der aktuellen Schnittstellen und eingesetzten User durchgeführt. Dabei sind einige Aspekte zu beachten:

Wie viele Schnittstellenbenutzter sind aktuell im SAP-System vorhanden?

Wie viele Schnittstellenbenutzer sind nach der Bereinigung erforderlich sind? Werden Benutzer im SAP für mehrere Schnittstellen verwendet, stellt dies ein Sicherheitsrisiko dar und schränkt die Flexibilität unnötig ein. Zudem steigen die Kosten für die Wartung.

Ein weiterer wichtiger Aspekt ist die Überprüfung, ob möglicherweise Dokumentation zur Hardware vorhanden ist, auf die vorab zugegriffen werden kann. Ebenso sollte beachtet werden, in welchem Intervall die Schnittstelle letztendlich genutzt wird und in welcher Reihenfolge die Schnittstellenbenutzer bereinigt werden sollen.

Als ein letzter wichtiger Aspekt zählt die Risikobewertung. An dieser Stelle sollte mit in Betracht gezogen werden, welche Folgen ein Ausfall der Schnittstelle für das jeweilige Unternehmen hätte.

Schritt 2: Benutzerkopien einrichten

Im zweiten Schritt werden die Benutzerkopien eingerichtet. Das verringert einerseits die Gefahr eines Ausfalls und ermöglicht andererseits die Zahl an Berechtigungen überhaupt sinnvoll zu reduzieren. Am Ende sollte jede Schnittstelle einen dedizierten System-Benutzer haben. Dieser hat jedoch immer noch die alten weitreichenden Rechte.

Schritt 3: Statistische Auswertung und Bildung von Traces

In einem dritten Schritt werden die Statistikdaten der Benutzer ausgewertet und Traces für die Schnittstellenaktivitäten gebildet.

Schritt 4: Rollenentwicklung

Im nächsten Schritt werden die Rollen auf Basis der Statistikdaten und Trace-Ergebnisse aufgebaut. Zudem sollten die Quellcodes der Funktionsbausteine auf weitere Authority Checks geprüft werden.

Schritt 5: Testing

Jetzt werden die neuen Berechtigungen getestet, indem diese den Schnittstellenbenutzern zugewiesen werden. Dabei sollte unbedingt in vorgelagerten Systemen getestet werden, um Produktionsausfälle zu vermeiden. Erfahrungsgemäß muss dieser Schritt mehrfach wiederholt werden, um eine zufriedenstellende Qualität des Ergebnisses sicherzustellen.

Schritt 6: Go-Live

Wenn eine zufriedenstellende Qualität der Schnittstellenberechtigungen erreicht wurde, kann im sechsten und letzten Schritt der Go-Live veranlasst werden. Neue Berechtigungen können dann in den Produktivbetrieb überführt werden. Um Berechtigungsfehler festzustellen, empfiehlt es sich auf die System Dumps einen Alert zu setzen.

Bewertung

Der Klassische Ansatz ist nicht für kritische Schnittstellen zu empfehlen, da viele Testphasen benötigt werden, bis die Qualität der Schnittstellen annähernd 100 Prozent erreicht. Teilweise kommt es auch nach Monaten noch zu Problem, wodurch der Produktivbetrieb beeinträchtigt wird. Der klassische Ansatz ist damit kostspielig ohne die bestmöglichen Ergebnisse zu erreichen.

Best-Practice-Ansatz

Der Best-Practice-Ansatz ist aus unseren Erfahrungen in zahlreichen Kundenprojekten entstanden. Das Vorgehen gliedert sich ähnlich wie beim klassischen Ansatz in sechs Teilschritte.rfc-schnittstellen

Schritt 1: Analyse der Schnittstellen

Auch im Best-Practice-Ansatz steht zu Beginn die Analyse der aktuellen Schnittstellen und der eingesetzten User. Diesmal werden für die Bestandsaufnahme jedoch automatisierte Tools verwendet. Dies gestaltet den Prozess deutlich effizienter.

Zudem sollten die vorhandenen Dokumentationen geprüft, Prioritäten für die Schnittstellen definiert und ein Plan für den Ausfall einzelner Schnittstellen erarbeitet werden.

Schritt 2: Benutzerkopien einrichten

Im zweiten Schritt erfolgt das Einrichten von Benutzerkopien, bis nur noch ein Benutzer pro Schnittstelle hinterlegt ist. Dazu wird für jede Schnittstelle eine neue Benutzerrolle und ein eindeutiger Referenzbenutzer angelegt. Wenn aktuell ein Benutzer für mehrere Schnittstellen verwendet wird, muss an dieser Stelle eine Beurteilung der genutzten Funktionsbausteine durchgeführt werden. Die erforderlichen Funktionsbausteine werden dann in die neuen Rollen eingebaut.

Schritt 3: Statistische Auswertung und Bildung von Traces

Als nächstes werden die Statistikdaten ausgewertet. Ein manueller Export ist nicht mehr notwendig, da durch die automatisierten Tools eine Rolle um ein Vielfaches schneller aufgebaut werden kann.

Schritt 4: Rollenentwicklung

Im vierten Schritt erfolgt der Rollenbau auf Grundlage der Statistikdaten und Quellcode Scans. Die Verwertung von Trace-Ergebnissen ist kaum noch notwendig. Die automatisierte werkzeuggestützte Quellcode-Analyse zeigt auf Basis der neu erstellten Rollen fehlende Berechtigungsvorschläge auf. Durch Übertragung der Quellcodeanalyse in Vorschlagswerte, können Berechtigungen direkt mit 80 Prozent Genauigkeit erreicht werden.

Schritt 5: Produktiv-Simulation

Im nächsten Schritt werden über ein Tool die neuen Berechtigungen im Hintergrund den produktiv genutzten Schnittstellenbenutzern „virtuell“ zugewiesen.

Während der gesamten Simulationsphase müssen keine Ausfälle befürchtet werden. Die Ergebnisse der produktiven Simulation der neuen Berechtigungen werden über einen definierten Zeitraum regelmäßig geprüft.

Ein regelmäßiges Nachjustierung der Rollen findet so lange statt, bis zum Ende des definierten Zeitraums keine fehlenden Berechtigungen mehr festgestellt werden. So ist das Ausreichen der neuen Berechtigungen für den Betrieb der Schnittstellen sichergestellt.

Schritt 6: Go-Live

Verfügt eine Schnittstelle über einen definierten Zeitraum über ausreichende Berechtigungen, wird zum Schluss wird der Go-Live vorbereitet.

Bewertung

Das Ergebnis sind definierte Berechtigungen für die bereinigten Schnittstellen im System. Die sind sauber dokumentiert und zu 100 Prozent sowie im notwendigen Umfang vorhanden.

Der Best-Practice-Ansatz hat sich in den letzten Jahren aus zahlreichen Kundenprojekten entwickelt. Der wesentliche Unterschied zum klassischen Ansatz ist die Integration von Tools in den Prozess. Diese ermöglichen eine Simulation der Berechtigungsprüfungen im Produktivsystem. Die Qualität der Rollen von Schnittstellenbenutzern erreicht mit diesem Ansatz einen Qualitätsgrad von 100 Prozent. Zudem werden weniger Kosten und weniger Zeit benötigt.

E-Book SAP RFC-Schnittstellen


SHARE
nach oben


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.