Die Digitalisierung der Unternehmen, die Vernetzung im Industrie 4.0 und die damit verbundene Digitalisierung der Prozesse erfordert immer mehr Schnittstellen. Die SAP Systemlandschaften werden immer komplexer, die Schnittstellen müssen überwacht/ ge-monitored werden. Die Sicherstellung der Compliance und Sicherheit wird für Firmen immer komplexer und anspruchsvoller. Erfahren Sie welche SAP Schnittstellen es gibt, und wie Sie die Sicherheit in Ihrem Unternehmen erhöhen.
Sind Ihre SAP Systeme und somit Ihre Unternehmens-Daten in Gefahr?
Die Antwort lautet: JA!
Sehen Sie hier z.B. Stimmen aus der Presse und Wirtschaft.
- Handelsblatt: USA warnen vor wachsenden Hacker-Risiken für Software von SAP und Oracle
-
Spiegel: Cyberangriffe auf UnternehmenEin Hack, eine versetzte Schweißnaht – fatale Folgen
Auch das SAP Frontend ist eine „Schnittstelle“, über welche die Mitarbeiter Daten abgreifen können. Auch hier können via File oder GUI Download Daten gespeichert und Datenmissbrauch betrieben werden.
Mehr Infografiken finden Sie bei Statista
Es gibt jedoch Möglichkeiten diese Informationen aus dem SAP System abzugreifen um so dem Datenmissbrauch vorzubeugen.
SAP Schnittstellen im Überblick
EDI (Electronic Data Interchange) bezeichnet die Kommunikation zwischen IT-Systemen. Erfahren Sie hier, welche Schnittstellen im SAP zur Verfügung stehen.
RFC: Remote Function Call
Der RFC [1] [2] ist eine von SAP erfundene ABAP-basierte Kommunikationstechnik/ Schnittstelle. Ein RFC ist der Aufruf eines Funktionsbausteins, welcher in einem entfernten System läuft.Man unterscheidet zwischen folgenden RFC Typen:
- sRFC (synchroner RFC) für die synchrone Kommunikation
- tRFC (transaktionaler RFC) für die asynchrone Kommunikation
- qRFC (queued RFC) für die Abarbeitung einzelner Einheiten in definierter Reihenfolge (Weiterentwicklung des tRFC, die dafür sorgt, dass die von der Anwendung definierte Reihenfolge der Bearbeitung einzelner Einheiten erhalten bleibt.
Folgende RFC Verbindungstypen stehen zur Verfügung:
- 2: Verbindung zu R/2-System
- 3: Verbindung zu einem ABAP System
- G: HTTP-Verbindung zu externem Server
- H: HTTP-Verbindung zu ABAP-System
- I: Verbindung zum Application Server mit gleicher Datenbank
- L: Referenzeintrag (verweist auf andere Destination)
- M: CMC-Verbindung
- S: Start eines externen Programms über SNA bzw. APPC
- T: Start eines externen Programms über TCP/IP
- X: RFC über spezielle ABAP-Treiberroutinen
Wichtige Transaktionen für die Arbeit mit RFC Verbindungen:
- SM59: Konfiguration der RFC Verbindungen
IDoc: Intermediate Document
Das IDoc [3] [4] ist eine von SAP erfundene ABAP-basierte Kommunikationstechnik. Ein IDoc ist ein Behälter/ Container/ Dokumentenformat/ Informationspaket für den Austausch von betriebswirtschaftliche Daten zwischen SAP S/4HANA, ECC, R/3-, R/2- und Fremdsystemen.Ein IDoc beinhaltet Daten in einer bestimmter Struktur, damit diese Daten zwischen SAP Systemen oder Non-SAP Systemen ausgetauscht und gelesen werden können. Sender und Empfänger müssen diese Struktur kennen. Für jeden Beleg (Auftrag, Rechnung, Bestätigung, etc.) kann ein eigenes IDoc generiert werden, welches dann an ein anderes System übermittelt werden kann. IDocs werden auf SAP Seite in Tabellen gespeichert.
IDoc Typen definieren die Struktur des IDocs. Die Strukturen werden im SAP ECC definiert.
Der IDoc Nachrichtentyp gibt dem IDoc Typ die semantische bzw betriebswirtschaftliche Bedeutung. Der Nachrichtentyp ist das Format, in dem die Daten für einen bestimmten Geschäftsprozess elektronisch übertragen werden.
Beispiel: Der Nachrichtentyp MATMAS bezieht sich auch den Materialstamm. Dem MATMAS Nachrichtentyp sind folgende IDoc Typen zugeordnet: MATMAS01, MATMAS02, MATMAS03, MATMAS04, MATMAS05.
Ports sind die Grundvoraussetzung für die Kommunikation über die IDoc-Schnittstelle. Pro externem System muss es mindestens einen Port geben. Port-Typen sind:
- Dateischnittstelle: Das sendende System schreibt eine Datei ins Dateisystem. sRFC wird verwendet zur Kommunikation.
- tRFC: ALE-Verteilungsszenarien
- CPI-C: Verbindung an alte R/2 Systeme
- PSS: ABAP Programmierschnittstelle zum Austausch der IDocs zwischen ABAP Funktionsbausteinen
- XML: Austausch der IDocs über XML-Dateien auf Betriebssystemebene.
Ein IDoc ist durch folgende Kompenenten aufgebaut:
- Kontrollsatz
- Datensatz für Verwaltung
- Datensatz für Datenteil
- Status: Informationen zum aktuellen Verarbeitungsstatus
Wichtige Transaktionen für die Arbeit mit IDocs:
- WE02: IDoc Liste
- WE05: IDoc Liste
- WE07: IDoc Statistic
- WE19: Testwerkzeug für IDoc-Verarbeitung
- WE20: Partnervereinbarung
- WE21: Ports in IDoc-Verarbeitung
- WE46: Fehler- und Statusbearbeitung
- WE60: Dokumentation
- BDMONIC3: ALE / EDI Monitoring
- BD87: Status Monitor für ALE-Nachrichten
Customizing für IDocs:
- Starten mit Transaktion SPRO
- SAP Netweaver -> Application Server -> IDoc Schnittstelle / Application Link Enabling (ALE)
Datenbankverbindungen (DBCO)
Als Schnittstellen gelten auch Datenbankverbindungen [5] in und aus den SAP Systemen. Folgende Datenbank Typen/ DBMS lassen sich im SAP pflegen:- ADA: SAP DB (ADABAS/D)
- DB2: DB2 UDB für OS/390
- DB4: DB2 UDB für AS/400
- DB6: DB2 UDB für Unix und Windows
- INF: Informix
- MSS: Microsoft SQL Server
- ORA: Oracle
- SYB: Sybase ASE
- HDB: SAP In-Memory Computing Engine (z.B. HANA)
Wichtige Transaktionen für die Arbeit mit Datenbankverbindungen:
- BDCO: Datenbankverbindungen ändern
- DBACOCKPIT: DBA Cockpit, Pflege der Systemkonfiguration
Webservices
Ein Webservice [6] [7] ermöglicht die Kommunikation zwischen IT Sytemen basierend auf den Standards von HTTP oder HTTPS über das Internet.Folgende Protokolle laufen z.B. über den ICF (Internet Communication Framework) / ICM (Internet Communication Manager):
- Business Server Pages
- Web Dynpro ABAP
- Webservices ABAP
- OData
- SAPUI5 (OData)
Ein Webservice verfügt über folgende Komponenten:
- URI: Uniform Resource Identifier zur eindeutigen Identifizierung
- WSDL: Schnittstellenbeschreibung durch Web Services Description Language
Wichtige Transaktionen für die Arbeit mit WebServices:
- SE80: ABAP Development Workbench
SAP Process Integration (SAP PI)
Bei der Prozessintegration geht es um den Ablauf des Datenaustauschs zwischen Anwendungskomponenten unterschiedlicher Systeme. Die SAP Process Integration (SAP PI) ist eine Middleware, welche integrationsrelevante Informationen an einer zentralen Stelle bündelt. Dies begünstigt die Wartung und den Betrieb von Schnittstellen insbesondere in Komplexen Systemlandschaften. Das Message-Protokoll von SAP PI [8] basiert auf dem W3C-Standard SOAP Messages with Attachments [9].
SAP PI Connectivity
Die SAP PI kann durch die PI Connectivity Anwendungen miteinander verbinden, die über verschiedene Protokolle verfügen. Eine eingehende (Inbound) Message wird in ein internes PI Format umgewandelt und anschließend in eine ausgehende (Outbound). Die SAP PI bietet folgende Kommunikationsmöglichkeiten:
SAP & Nicht-SAP-Systeme
- File/FTP(S) (Dateisysteme / FTP-Server)
- JDBC (RDBMS-Systeme)
- JMS (Messaging-Systeme, z.B. MQSeries, SonicMQ)
- SOAP (Web-Services basierend auf SOAP)
- WS (Web-Services basierend auf WS Reliable Messaging)
- HTTP(S)
- Mail (Mail-Server über SMTP, IMAP4, POP3)
- SAP Business Connector (SAP BC)
- Marketplace (SAP-Marketplaces)
- SFTP (über Secure Connectivity Add-On)
- OData (über Connectivity Add-On)
- REST
SAP Anwendungen
- RFC
- IDoc
- Proxy (ABAP und Java)
- SuccessFactors (über Connectivity Add-On)
SAP Industry Business Packages
- RNIF 2.0 (RosettaNet)
- RNIF 1.1 (RosettaNet)
- CIDX (RNIF 1.1)
Business-to-Business-Systeme (B2B)
- AS2
- X.400
- OFTP
Weitere Adapter
Weitere Adapter werden von SAP Partnern angeboten und können auch von Unternehmen selbst entwickelt werden.
SAP PI Mapping
Die Struktur der Daten eines Sender- und eines Empfängersystems können sich auf den beiden Seiten der Verbindung unterscheiden. Die SAP PI erlaubt es Konvertierungsregeln zu hinterlegen.
Beispiel:
Datumsformat Sendersystem: 01.02.2020
wird gemapped zu:
Datenformat Zielsystem: 2020-02-01
SAP PI Routing
Routing umfasst die Regeln, die den Nachrichten-Fluss zwischen verschiedenen Systemen definieren. SAP PI unterstützt auch den Nachrichtenaustausch zwischen den Systemen abhängig der Daten in den Nachrichten. So kann z.B. eine Kundennummer in der Nachricht dafür verwendet werden, zu entscheiden in welche Systeme die Nachricht geschickt werden soll.
SAP PI Szenarien
Bei der Bereitstellung von Integrationsszenarien unterscheidet man die 3 Laufzeiten:
- Design-Zeit
- Konfigurations-Zeit
- Laufzeit
Diese werden im Folgenden dargestellt
Integrations-Content erstellen (Design-Zeit)
Im folgenden wird das Vorgehen in der Design Zeit beschrieben:
- Definition der Softwarekomponenten im System Landscape Directory (SLD)
- Im ES Repository das Verwendungsprofil Process Integration auswählen (Modellierung von komponentenübergreifenden Prozessen, Entwicklung von Interfaces und Mappings sowie von Adapterobjekten)
- Prozessmodell definieren
- Process-Integration-Szenario
- Prozesskomponenten-Architekturmodell
- Definition der Interface-Objekte
- Datentypen
- Message-Type
- Service-Interfaces und ihre Operationen
- Mapping-Objekte definieren
- ESR (Enterprise Service Repository) Objekte aktivieren
Integrations-Content konfigurieren (Integrations-Zeit)
Bei der Konfiguration wird, basierend auf dem Prozessmodell und Integrations-Content aus der Design Phase, festgelegt wie Messages zwischen den einzelnen Systemen oder Anwendungen der vorhandenen Systemlandschaft ausgetauscht werden.
- Kommunikationsprofil definieren
- Message-Eingangsverarbeitung konfigurieren
- Festlegen des Sender-Kommunikationskanal bzw. Sender-Adapters
- Definition Sendervereinbarung
- Routing und Mapping konfigurieren
- Message-Ausgangsverarbeitung konfigurieren
- Konfigurationsobjekte aktivieren (damit diese Laufzeit relevant werden)
Laufzeit
In der Laufzeit werden die Konfigurationsobjekte in der Business Process Engine (BPE) ausgeführt. Die Ausführung von Integrationsprozessen kann überwacht werden durch Monitorings der Integration Engine.
SAP ABAP-Dateischnittstelle
Viele Unternehmen haben über die Zeit hinweg Ihre eigenen File-Schnittstellen implementiert über eigens dafür entwickelte Kunden-Programme. Eine Datei-Schnittstelle, verwendet jedoch keine klassisches SAP-Protokoll, sprich die Information, welche Datei wann wohin geschrieben werden, ist nicht einfach zugänglich und wird von SAP nicht protokolliert.
Es gibt jedoch Möglichkeiten diese Informationen zu erhalten! Bei Insteresse schreiben Sie mir kurz eine E-Mail an: info@dieterjakob.de
Schnittstelle Mensch / SAPGUI Download
Im SAP GUI können Endanwender Daten aus den Tabellen runterladen. Ein Sicherheitsrisiko, denn jeder Mitarbeiter mit entsprechendem Zugriff, kann Daten lokal speichern, und die Daten einfach auf einem Speichermedium verteilen.
Auch ein GUI Download über den SAP Funktionsbaustein GUI_DOWNLOAD ist kein klassisches SAP-Protokoll, sprich die Information, welche Daten von wem wann runtergeladen wurden, ist nicht einfach zugänglich und wird von SAP nicht protokolliert.
Es gibt jedoch Möglichkeiten diese Informationen zu erhalten! Bei Insteresse schreiben Sie mir kurz eine E-Mail an: info@dieterjakob.de
Anbindung an SAP Cloud
Zugriff der SAP Cloud via OData / Cloud Connector
Folgende Videos zeigen Ihnen, wie Sie auf Daten zwischen ihrem ERP System und der SAP Cloud austauschen:
Monitoring von Schnittstellen:
CCMS (Computing Center Management System)
Mit dem CCMS (Computing Center Management System) [10] stellt SAP eine flexible und universell verwendbare Infrastruktur zu Verfügung, mit der Sie Ihre gesamte IT-Landschaft zentral überwachen könnenTransaktion:
- BDMONIC3: ALE / EDI Monitoring
- BD87: Status Monitor für ALE-Nachrichten
Solution Manager
Im SAP Produkt Solution Manager [10] gibt es die Funktion mit dem Namen Technisches Monitoring und Alerting [11]. Das Technischen Monitoring und Alerting des Solution Managers ist der Nachfolger der CCMS-basierten Monitoring-Infrastruktur.
Folgendes Monitoring ist mit dem Solution Manager möglich:
- Schnittstellen Monitoring: Überwachung der Schnittstellen in Echtzeit
- Remote Function Call (RFC, tRFC, qRFC, bqRFC)
- Web-Service (WS)
- SAP-NetWeaver-Gateway-Service
- SAP NetWeaver Process Integration (PI)
- IDoc-Kommunikation
- Dateisystem (FTP)
- PI Monitoring
- BW Monitoring
Weiterführende Informationen & Ressourcen
[1] RFC Beschreibung auf help.sap.com[2] RFC Beschreibung auf Wikipedia
[3] IDoc Beschreibung auf help.sap.com
[4] IDoc Beschreibung auf Wikipedia
[5] Datenbankverbindungen auf help.sap.com
[6] ABAP Webservice Beschreibung auf help.sap.com
[7] Webservice Beschreibung auf Wikipedia
[8] SAP PI auf help.sap.com
[9] SOAP with Attachment
[10] Monitoring im CCMS
[11] Technisches Monitoring und Alerting beim Solution Manager
SAP Schnittstellen Bücher
Für Unternehmen empfehle ich die Bücher von Espresso Tutorials. Die SAP-Bibliothek bietet E-Books und Videos zu den Themen: Finanzwesen, Controlling, Einkauf, Verkauf, Produktion, Berichtswesen und Programmierung. Aktuell sind 200+ Medien verfügbar, die fortlaufend ergänzt werden. Hierbei handelt es sich sowohl um Inhalte für Einsteiger (SAP Navigation, FI, CO, SD, MM, PP, ABAP ) als auch für Fortgeschrittene.
Alle Aktualisierungen mit neuen Titeln sind in der Jahresgebühr ebenfalls enthalten. Sollten Sie keine automatische Verlängerung um ein Jahr wünschen, kündigen Sie 3 Monate vor Ablauf des Abos.
Leser von www.dieterjakob.de erhalten diesen Gutschein im Wert von 10 EUR:
830-438-931
Hier klicken für mehr Infos zu Espresso Tutorials >>
Sicherheitsrisiken JETZT erkennen
Durch die vielen Schnittstellen sind Unternehmen hohen Risiken ausgesetzt. Externe Berater, verteilte IT Standorte, da fällt es schwer einen Überblick zu den Schnittstellen zu behalten. Mit meinen über 10 Jahren Erfahrung bei der SAP und im SAP Umfeld, gebe ich Ihnen gerne die Informationen, die Sie benötigen um Ihre SAP Systeme sicherer zu gestalten. Erfahren Sie von mir, wie Sie unbenutzte SAP Schnittstellen ausfindig machen können und verringern Sie so die Risiken für Ihr Unternehmen. Erfahren Sie zusätzlich wie der Solution Manager ideal für das Schnittstellen Monitoring und Alerting eingesetzt werden kann.
Gerne teile ich meine Erfahrungen mit Ihnen und tausche mich unverbindlich mit Ihnen zu diesem Thema aus. Treten Sie hierzu einfach jetzt mit mir in Kontakt:
- E-Mail: info@dieterjakob.de
- Tel: +49 174 8250020