SAP Security: RFC (Remote Function Call) innerhalb SAP

Die SAP-Standardschnittstelle für diese Kommunikation ist der Remote Function Call (RFC). Er dient dazu, eine Funktion in einem entfernten System aufzurufen. Es handelt sich dabei um einen Funktionsbaustein, der im Function Builder (Transaktion SE37) gepflegt wird.

Wie man einen RFC-Aufruf aus Sicht der SAP-Sicherheit richtig handhabt und sicherstellt, dass die SAP-Sicherheit gewährleistet ist, erfährst Du in diesem Artikel.

Sicherer RFC (Remote Function Call) innerhalb von SAP

Um RFC (Remote Function Call) im SAP-System zu sichern, musst Du die folgenden Berechtigungsobjekte beachten:

• S_RFC – Berechtigungsprüfung für RFC-Zugriff
• S_RFCACL – Berechtigungsprüfung für RFC-Benutzer
• S_RFCRAIAR – Berechtigungsobjekt für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN
• S_RFC_ADM – Administration für RFC-Destination
• S_RFC_TEST – RFC-Test
• S_RFC_SHLP – Berechtigung zur Benutzung einer Suchilfe per RFC
• S_RFC_TT – Berechtigungsobjekt für die Pflege Trusted-Trusting Systemen

Diese Berechtigungsobjekte helfen dabei, granulare Zugriffskontrollen durchzusetzen und sicherzustellen, dass nur autorisierte Benutzer RFC-bezogene Aktivitäten in SAP-Systemen durchführen können.

S_RFC – Berechtigungsprüfung für RFC-Zugriff

Das Berechtigungsobjekt S_RFC steuert den Zugriff auf RFC-fähige Funktionsbausteine. Es enthält Felder wie RFC_NAME und ACTVT (Aktivität), die bestimmen, welche RFC-Funktionen Du ausführen darfst.

S_RFCACL – Berechtigungsprüfung für RFC-Benutzer

Das Berechtigungsobjekt S_RFCACL schränkt den Zugriff auf RFC-Destinationen ein. Es enthält Felder wie RFC_USER und ACTVT, mit denen Du steuern kannst, welche Benutzer auf bestimmte RFC-Destinationen zugreifen können.

S_RFCRAIAR – Berechtigungsobjekt für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN

Das Berechtigungsobjekt S_RFCRAIAR begrenzt den Zugriff auf das Authentifizierungsobjekt für den Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN. Jeder SAP-Benutzer, der den Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN ausführen möchte, sollte die Berechtigung S_RFCRAIAR mit dem Wert RFC_RAIAR 16 (Ausführen) gesetzt haben.

S_RFC_ADM – Administration für RFC-Destination

Eine Berechtigungsprüfung in der Transaktion SM59 und beim Aufruf von Remote-Funktionsbausteinen basieren auf Destinationen. Das Berechtigungsobjekt S_RFC_ADM enthält die folgenden Felder:

• ACTVT: Aktivität
• RFCTYPE: Verbindungstyp in der Tabelle RFCDES
• RFCDEST: Logische Destination (wird beim Aufruf der Funktion angegeben)
• ICF_VALUE: Dieser Wert ist ein String. Der im Berechtigungsobjekt angegebene Wert muss mit dem Wert übereinstimmen, der in Transaktion SM59 unter Berechtigung für Destination (auf der Registerkarte Anmeldung & Sicherheit) eingegeben wurde.

S_RFC_TEST – RFC-Test

Eine Berechtigungsprüfung für den Zugriff auf RFC-Tests über die Transaktion contest (TODO Prüfen). Das Berechtigungsobjekt S_RFC_TEST enthält die folgenden Felder:

• RFC_SCEN: RFC-Szenario Dieses Feld legt fest, welches Testszenario ausgeführt werden darf. Außerdem verwenden die im Testszenario verwendeten Funktionsbausteine dieses Berechtigungsobjekt als betriebswirtschaftliche Berechtigung.
• ACTVT: Aktivität Dieses Feld unterstützt den Wert 16 (Ausführen).

S_RFC_SHLP – Berechtigung zur Benutzung einer Suchilfe per RFC

Mit dem Berechtigungsobjekt S_RFC_SHLP kannst Du die Verwendung von Eingabehilfen beim Aufruf über RFC steuern.

S_RFC_TT – Berechtigungsobjekt für die Pflege Trusted-Trusting Systemen

Eine Berechtigungsprüfung für die Trusted-Trusting-Beziehung, insbesondere für die Transaktion und API. Das Berechtigungsobjekt S_RFC_TT enthält die folgenden Felder:

• ACTVT: Dieses Feld kann die Werte Anlegen (01), Ändern (02), Anzeigen (03), Löschen (06) oder Prüfen (39) haben.
• RFC_SYSID: Name der System-ID, für die die Berechtigung gilt.
• RFC_INSTNR: Die Nummer der Anlage, für die die Berechtigung gilt.
• RFC_TT_TYP: Mit diesem Feld bestimmst Du den Objekttyp, für den die Berechtigung gilt. Die folgenden Werte sind möglich: Wert Bedeutung 1 Aufgerufenes System 2 Aufrufendes System