Über diese Seite #
Dieser Abschnitt behandelt den eingeschränkten Zugriff zu dem integrierten Webserver von Xtract Universal/Board Connector. Durch Zugriffsbeschränkungen auf den Webserver können nur ausgewählte Benutzer Extraktionen ausführen.
Es gibt zwei Typen von Benutzern und Benutzergruppen, auf die der Zugriff eingeschränkt werden kann:
- Windows AD Benutzer (Kerberos Authentication)
- benutzerdefinierte Benutzer (Basic Authentication)
Wenn der Zugang zum Webserver eingeschränkt ist, müssen zum Ausführen einer Extraktion Windows AD Benutzerdaten oder Benutzerdaten eines benutzerdefinierten Benutzers übergeben werden.
Hinweis: Die Angabe von Benutzerdaten für Basic Authentisierung wird im SAP Data Reader des Board-Servers (Stand Version 11.3) nicht unterstützt.
Eine Absicherung des Web-Zugriffs auf die im Board Connector angelegten Extraktionen kann auf Netzwerkebene, z.B. durch eine Firewall, erfolgen.
Voraussetzungen: Aktivierung der TLS Verschlüsselung #
Bei beiden Typen der Zugriffsbeschränkung wird auf den Webserver über eine https-Verbindung zugegriffen. Dafür muss das X.509 Zertifikat installiert sein. Falls das Zertifikat nicht im Windows Certificate Store aufgelistet ist, installieren Sie das X.509 Zertifikat.
- Navigieren Sie zum Menü Server > Settings. Wechseln Sie in den Web Server Tab.
- Wählen Sie den Benutzertyp, auf den den Sie den Zugriff einschränken möchten: HTTPS - Restricted to AD users with Designer read access oder HTTPS - Restricted to custom users with Designer read access.
- Klicken Sie den [Select X.509 certificate] Button. Das “Edit certificate location”-Fenster öffnet sich.
- Wählen Sie das X.509 Zertifikat unter Local Machine > Personal aus.
- Bestätigen Sie mit [OK]. Das Fenster schließt sich.
- Optional: Ändern Sie die Port Nummer des HTTPS Ports.
Zugriffsbeschränkung auf Windows AD Benutzer (Kerberos Authentifizierung) #
- Weisen Sie den Xtract Universal/BoardConnector Service einem Windows Service-Account zu. Informationen finden Sie unter Xtract Universal Service unter einem Windows Service-Account ausführen.
- Aktivieren Sie die TLS Verschlüsselung wie in Voraussetzungen: Aktivierung der TLS Verschlüsselung beschrieben.
- Navigieren Sie zum Menü Server > Settings. Wählen Sie im Web Server Tab HTTPS - Restricted to AD users with Designer read access.
- Wechseln Sie in den Configuration Server Tab.
- Fügen Sie die Windows AD Benutzer und Benutzergruppen, die Extraktionen ausführen dürfen unter Access Management hinzu.
- Weisen Sie den Benutzern Read Erlaubnis zu.
- Bestätigen Sie mit [OK]. Das Fenster schließt sich.
- Wenn Sie dazu aufgefordert werden, starten Sie den Server neu.
Ergebnis: Eine Extraktion kann nur ausgeführt werden, wenn bei der Ausführung Windows AD Zugangsdaten mitgegeben werden und der übergebene Windows AD Benutzer Read Zugriff auf den Designer hat.
Hinweis: Diese Authentifizierung verwendet Kerberos Authentifizierung via SPNEGO. NTLM wird nicht unterstützt.
Zugriffsbeschränkung auf benutzerdefinierte Benutzer (Basic Authentication) #
- Aktivieren Sie die TLS Verschlüsselung wie in Voraussetzungen: Aktivierung der TLS Verschlüsselung beschrieben.
- Navigieren Sie zum Menü Server > Settings. Wählen Sie im Web Server Tab HTTPS - Restricted to custom users with Designer read access.
- Wechseln Sie in den Configuration Server Tab.
- Fügen Sie die benutzerdefinierte Benutzer und Benutzergruppen, die Extraktionen ausführen dürfen unter Access Management hinzu.
- Weisen Sie den Benutzern Read Erlaubnis zu.
- Bestätigen Sie mit [OK]. Das Fenster schließt sich.
- Wenn Sie dazu aufgefordert werden, starten Sie den Server neu.
Ergebnis: Eine Extraktion kann nur ausgeführt werden, wenn bei der Ausführung die benutzerdefinierten Zugangsdaten mitgegeben werden und der Benutzer Read Zugriff auf den Designer hat.
Einen Service unter einem Windows Service-Account ausführen #
Wenn eine Zugriffsbeschränkung mit Windows AD Benutzern erfolgt, muss der Board Connector Service unter einem entsprechenden Service-Account ausgeführt werden. Die Vorgehensweise dafür entspricht dem des XU-Dienstes unter Xtract Universal Service unter einem Windows Service-Account ausführen.