SAP Security: RFC (Remote Function Call) innerhalb SAP

Die SAP-Standardschnittstelle für diese Kommunikation ist der Remote Function Call (RFC). Er dient dazu, eine Funktion in einem entfernten System aufzurufen. Es handelt sich dabei um einen Funktionsbaustein, der im Function Builder (Transaktion SE37) gepflegt wird.

Wie man einen RFC-Aufruf aus Sicht der SAP-Sicherheit richtig handhabt und sicherstellt, dass die SAP-Sicherheit gewährleistet ist, erfährst Du in diesem Artikel.

Sicherer RFC (Remote Function Call) innerhalb von SAP

Um RFC (Remote Function Call) im SAP-System zu sichern, musst Du die folgenden Berechtigungsobjekte beachten:

  • S_RFC – Berechtigungsprüfung für RFC-Zugriff
  • S_RFCACL – Berechtigungsprüfung für RFC-Benutzer
  • S_RFCRAIAR – Berechtigungsobjekt für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN
  • S_RFC_ADM – Administration für RFC-Destination
  • S_RFC_TEST – RFC-Test
  • S_RFC_SHLP – Berechtigung zur Benutzung einer Suchilfe per RFC
  • S_RFC_TT – Berechtigungsobjekt für die Pflege Trusted-Trusting Systemen

Diese Berechtigungsobjekte helfen dabei, granulare Zugriffskontrollen durchzusetzen und sicherzustellen, dass nur autorisierte Benutzer RFC-bezogene Aktivitäten in SAP-Systemen durchführen können.

S_RFC – Berechtigungsprüfung für RFC-Zugriff

Das Berechtigungsobjekt S_RFC steuert den Zugriff auf RFC-fähige Funktionsbausteine. Es enthält Felder wie RFC_NAME und ACTVT (Aktivität), die bestimmen, welche RFC-Funktionen Du ausführen darfst.

S_RFCACL – Berechtigungsprüfung für RFC-Benutzer

Das Berechtigungsobjekt S_RFCACL schränkt den Zugriff auf RFC-Destinationen ein. Es enthält Felder wie RFC_USER und ACTVT, mit denen Du steuern kannst, welche Benutzer auf bestimmte RFC-Destinationen zugreifen können.

S_RFCRAIAR – Berechtigungsobjekt für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN

Das Berechtigungsobjekt S_RFCRAIAR begrenzt den Zugriff auf das Authentifizierungsobjekt für den Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN. Jeder SAP-Benutzer, der den Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN ausführen möchte, sollte die Berechtigung S_RFCRAIAR mit dem Wert RFC_RAIAR 16 (Ausführen) gesetzt haben.

S_RFC_ADM – Administration für RFC-Destination

Eine Berechtigungsprüfung in der Transaktion SM59 und beim Aufruf von Remote-Funktionsbausteinen basieren auf Destinationen. Das Berechtigungsobjekt S_RFC_ADM enthält die folgenden Felder:

  • ACTVT: Aktivität
  • RFCTYPE: Verbindungstyp in der Tabelle RFCDES
  • RFCDEST: Logische Destination (wird beim Aufruf der Funktion angegeben)
  • ICF_VALUE: Dieser Wert ist ein String. Der im Berechtigungsobjekt angegebene Wert muss mit dem Wert übereinstimmen, der in Transaktion SM59 unter Berechtigung für Destination (auf der Registerkarte Anmeldung & Sicherheit) eingegeben wurde.

S_RFC_TEST – RFC-Test

Eine Berechtigungsprüfung für den Zugriff auf RFC-Tests über die Transaktion contest (TODO Prüfen). Das Berechtigungsobjekt S_RFC_TEST enthält die folgenden Felder:

  • RFC_SCEN: RFC-Szenario Dieses Feld legt fest, welches Testszenario ausgeführt werden darf. Außerdem verwenden die im Testszenario verwendeten Funktionsbausteine dieses Berechtigungsobjekt als betriebswirtschaftliche Berechtigung.
  • ACTVT: Aktivität Dieses Feld unterstützt den Wert 16 (Ausführen).

S_RFC_SHLP – Berechtigung zur Benutzung einer Suchilfe per RFC

Mit dem Berechtigungsobjekt S_RFC_SHLP kannst Du die Verwendung von Eingabehilfen beim Aufruf über RFC steuern.

S_RFC_TT – Berechtigungsobjekt für die Pflege Trusted-Trusting Systemen

Eine Berechtigungsprüfung für die Trusted-Trusting-Beziehung, insbesondere für die Transaktion und API. Das Berechtigungsobjekt S_RFC_TT enthält die folgenden Felder:

  • ACTVT: Dieses Feld kann die Werte Anlegen (01), Ändern (02), Anzeigen (03), Löschen (06) oder Prüfen (39) haben.
  • RFC_SYSID: Name der System-ID, für die die Berechtigung gilt.
  • RFC_INSTNR: Die Nummer der Anlage, für die die Berechtigung gilt.
  • RFC_TT_TYP: Mit diesem Feld bestimmst Du den Objekttyp, für den die Berechtigung gilt. Die folgenden Werte sind möglich: Wert Bedeutung 1 Aufgerufenes System 2 Aufrufendes System

Über den Autor

Andreas Geiger

Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.

Mehr zu ERP UP

ERP UP unterstützen

Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.

Schreibe einen Kommentar