SAP 系统包括使用密码的 SAP 授权和用户身份验证的一些基本安全措施。本文将向您展示如何使用安全网路连接 (SNC) 扩展 SAP 系统安全,使其超越这些基本措施,包含更强大的身份验证方法和加密的额外保护。本文将介绍 IBM® ">WebSphere® Adapter for SAP Software 提供的连接机制,通过 SNC 建立到达 SAP 的安全连接。
先决条件
IBM
Integration Designer V7.5(以前称为 IBM WebSphere Integration Developer)或 IBM Business Process Manager V7.5 Advanced Edition WebSphere Adapter for SAP Software V7.5(后面简称为 WebSphere SAP Adapter) 利用已配置好的 IDoc/BAPI 处理来访问 SAP 系统 一个 SAP JCo
Library 和 SAP Cryptographic Library 对 IBM Integration Designer 和 WebSphere SAP Adapter 有基本的了解。
安全网络通信 (SNC)
SNC 是 SAP 系统体系架构中的软件层,为外部安全产品提供了一个接口。使用 SNC,您可以通过实现外部安全功能和保护来加强 SAP 系统的安全。SNC 提供了应用程序级的、端到端的安全性,以确保提供可靠的、一致的、安全的连接。
SNC 被用于保护到 SAP 高级业务应用程序编程 (SAP Advanced Business Application Programming, ABAP) 系统的 远程功能调用 (RFC) 连接。SNC 支持是作为 SAP 内核与实现 通用安全服务 API (GSS-API) 的外部安全库之间的一个层实现的。SAP 还提供了 SAP Cryptographic Library,您可以从 SAP 下载它。
WebSphere SAP Adapter 允许您通过建立一个叫做 SNC 的安全 RFC 连接来连接到 SAP 系统。下一节我们将向您展示如何使用具有 IBM Integration Designer V7.5 或 IBM Business Process Manager V7.5 Advanced Edition 的 WebSphere Adapter for SAP Software 建立到 SAP 系统的 SNC。
在 SAP 和 WebSphere SAP Adapter 上配置 SNC
1. SAP Cryptographic Library
SAP Cryptographic Library 是在 SAP 系统中执行加密功能的默认 SAP 安全产品。它符合 GSS-API V2 的要求。
。Cryptographic Library 安装包包含以下文件:
SAP Cryptographic Library(用于 Microsoft® Windows® 的 sapcrypto.dll) 一个相应的许可票证 配置工具 sapgenpse.exe
2. SAP 高级业务应用程序编程 (ABAP) 系统上的 SNC 配置
在对 SNC 使用 SAP Cryptographic Library 时,必须同时为 SNC 配置服务器及其通信合作伙伴系统(WebSphere 运行时安装在该系统中)。个人安全环境 (Personal Security Environment, PSE) 必须已经配置好,上述两个组件会用它来验证和身份验证远程组件,并用它来存储公私密钥对和公钥证书。对于 SNC ,让每个组件都有自己的独立 PSE 会更好一些,因为如果所有组件共享单个 PSE,攻击者就可以欺骗客户端系统并连接到 WebSphere 服务器,而不是连接到 SAP 服务器,而客户端将无法检测该攻击。在本文中,两个系统都使用了单独的 PSE。