Über diese Seite #

Dieser Abschnitt behandelt den eingeschränkten Zugriff zu dem integrierten Webserver von Xtract Universal/Board Connector. Durch Zugriffsbeschränkungen auf den Webserver können nur ausgewählte Benutzer Extraktionen ausführen.

Es gibt zwei Typen von Benutzern und Benutzergruppen, auf die der Zugriff eingeschränkt werden kann:

  • Windows AD Benutzer (Kerberos Authentication)
  • benutzerdefinierte Benutzer (Basic Authentication)

Wenn der Zugang zum Webserver eingeschränkt ist, müssen zum Ausführen einer Extraktion Windows AD Benutzerdaten oder Benutzerdaten eines benutzerdefinierten Benutzers übergeben werden.

Hinweis: Die Angabe von Benutzerdaten für Basic Authentisierung wird im SAP Data Reader des Board-Servers (Stand Version 11.3) nicht unterstützt.
Eine Absicherung des Web-Zugriffs auf die im Board Connector angelegten Extraktionen kann auf Netzwerkebene, z.B. durch eine Firewall, erfolgen.

Voraussetzungen: Aktivierung der TLS Verschlüsselung #

Bei beiden Typen der Zugriffsbeschränkung wird auf den Webserver über eine https-Verbindung zugegriffen. Dafür muss das X.509 Zertifikat installiert sein. Falls das Zertifikat nicht im Windows Certificate Store aufgelistet ist, installieren Sie das X.509 Zertifikat.

  1. Navigieren Sie zum Menü Server > Settings. Wechseln Sie in den Web Server Tab.
  2. Wählen Sie den Benutzertyp, auf den den Sie den Zugriff einschränken möchten: HTTPS - Restricted to AD users with Designer read access oder HTTPS - Restricted to custom users with Designer read access. webserver settings
  3. Klicken Sie den [Select X.509 certificate] Button. Das “Edit certificate location”-Fenster öffnet sich.
  4. Wählen Sie das X.509 Zertifikat unter Local Machine > Personal aus.
  5. Bestätigen Sie mit [OK]. Das Fenster schließt sich.
  6. Optional: Ändern Sie die Port Nummer des HTTPS Ports.

Zugriffsbeschränkung auf Windows AD Benutzer (Kerberos Authentifizierung) #

  1. Weisen Sie den Xtract Universal/BoardConnector Service einem Windows Service-Account zu. Informationen finden Sie unter Xtract Universal Service unter einem Windows Service-Account ausführen.
  2. Aktivieren Sie die TLS Verschlüsselung wie in Voraussetzungen: Aktivierung der TLS Verschlüsselung beschrieben.
    WebServerSettings_https
  3. Navigieren Sie zum Menü Server > Settings. Wählen Sie im Web Server Tab HTTPS - Restricted to AD users with Designer read access.
  4. Wechseln Sie in den Configuration Server Tab.
  5. Fügen Sie die Windows AD Benutzer und Benutzergruppen, die Extraktionen ausführen dürfen unter Access Management hinzu.
    ConfigurationServerSettings_
  6. Weisen Sie den Benutzern Read Erlaubnis zu.
  7. Bestätigen Sie mit [OK]. Das Fenster schließt sich.
  8. Wenn Sie dazu aufgefordert werden, starten Sie den Server neu.

Ergebnis: Eine Extraktion kann nur ausgeführt werden, wenn bei der Ausführung Windows AD Zugangsdaten mitgegeben werden und der übergebene Windows AD Benutzer Read Zugriff auf den Designer hat.

Hinweis: Diese Authentifizierung verwendet Kerberos Authentifizierung via SPNEGO. NTLM wird nicht unterstützt.

Zugriffsbeschränkung auf benutzerdefinierte Benutzer (Basic Authentication) #

  1. Aktivieren Sie die TLS Verschlüsselung wie in Voraussetzungen: Aktivierung der TLS Verschlüsselung beschrieben.
  2. Navigieren Sie zum Menü Server > Settings. Wählen Sie im Web Server Tab HTTPS - Restricted to custom users with Designer read access.
  3. Wechseln Sie in den Configuration Server Tab.
  4. Fügen Sie die benutzerdefinierte Benutzer und Benutzergruppen, die Extraktionen ausführen dürfen unter Access Management hinzu.
  5. Weisen Sie den Benutzern Read Erlaubnis zu.
  6. Bestätigen Sie mit [OK]. Das Fenster schließt sich.
  7. Wenn Sie dazu aufgefordert werden, starten Sie den Server neu.

Ergebnis: Eine Extraktion kann nur ausgeführt werden, wenn bei der Ausführung die benutzerdefinierten Zugangsdaten mitgegeben werden und der Benutzer Read Zugriff auf den Designer hat.

Einen Service unter einem Windows Service-Account ausführen #

Wenn eine Zugriffsbeschränkung mit Windows AD Benutzern erfolgt, muss der Board Connector Service unter einem entsprechenden Service-Account ausgeführt werden. Die Vorgehensweise dafür entspricht dem des XU-Dienstes unter Xtract Universal Service unter einem Windows Service-Account ausführen.