Sicherer Zugriff auf interne Fiori-Anwendungen über das Internet
Sie und Ihre Mitarbeiter können Fiori-Anwendungen aus nahezu jedem Unternehmensbereich in der Regel von überall ausnutzen – egal ob Buchhaltung, Personalmanagement oder Lagerverwaltung. In Ihren internen Anwendungen sind folglich viele relevante und auch vertrauliche Informationen gespeichert, die Sie vor dem Zugriff durch unbefugte Personen schützen sollten. Gleichzeitig ist oftmals der Zugang zu einigen internen Anwendungen durch externe Dienstleister notwendig, um gemeinsame Aufträge umzusetzen.
In diesem Beitrag erhalten Sie einen Überblick über drei Möglichkeiten, mit denen Sie und Ihre externen Kollegen einen sicheren Internet-Zugriff auf interne Fiori Apps erhalten, ohne dabei Sicherheitsrisiken einzugehen.
Warum ein sicherer Zugriff auf interne Fiori Apps wichtig ist
Die Verwendung von Fiori Apps und die Kooperation dieser untereinander sowie die Zusammenarbeit mit anderen Unternehmen über die Apps, sorgen für eine große Menge an Daten über Kunden, Bestellungen, Aufträge und vieles mehr. Der Zugriff auf diese Informationen sollte entsprechend gesichert sein. Sicherheitsrisiken können mit dem richtigen Vorgehen weitestgehend minimiert werden. Gleichzeitig sorgt die Auswahl der passenden Zugriffsoption auch dafür, dass befugte Personen, wie Mitarbeiter oder externe Dienstleister, Zugang zu den Daten haben, die sie benötigen.
Welche Möglichkeiten für einen sicheren Zugriff auf interne Fiori-Anwendungen gibt es?
Um den Zugriff auf interne Fiori-Anwendungen zu ermöglichen, können Sie zwischen den drei folgenden Verfahren wählen. Jede dieser Möglichkeiten hat ihre Vor- und Nachteile und nicht jede Option ist für jedes Unternehmen, jedes Projekt und jede Vorgehensweise gleichermaßen geeignet:
- Die Einrichtung des SAP Business Technology Platform (BTP) Portals
- Die Freigabe des Fiori Launchpads im Gateway per Reverse Proxy
- Mit Hilfe eines VPN Clients auf einem mobilen Endgerät
Zugriff auf das Fiori Launchpad über das SAP BTP Portal
Bei dieser Möglichkeit stellen Sie eine Verbindung zum internen Netzwerk (SAP Gateway) über den SAP Cloud Connector her. Wenn Sie die SAML (Security Assertion Markup Language) beim Aufruf der SAP BTP nutzen, wird eine Anmeldung beim Enterprise-Identitätsdienst Azure Actice Directory (Azure AD), den Active Directory Federation Services (ADFS) oder einem anderen Identity Provider gefordert.
Die Nutzung des SAP BTP Portals hat den Vorteil, dass Sie für den Zugriff keine internen Netzwerk-Ressourcen (Pfade) freigeben müssen, was eine erhebliche Sicherheitssteigerung zur Folge hat. Außerdem sorgt die Anmeldung über die Cloud dafür, dass nicht autorisierte Personen nicht einmal bis in die DMZ (Demilitarized Zone) gelangen.
Ein weiterer Vorteil ist die gute Skalierbarkeit, die auch bei einer steigenden Nutzerzahl konstant bleibt, sowie die Möglichkeit, das Fiori Launchpad als zentrales Launchpad für mehrere Backend-Systeme zu nutzen. Dies ermöglicht die Verwendung mehrerer Launchpads. Außerdem ist bei dieser Option keine Anbindung des SAP Gateways an den Azure AD notwendig – eine Principal Propagation über den Cloud Connector ist ausreichend.
Ein großer Nachteil ist jedoch, dass Sie zusätzlich zu den SAP-Nutzer-Lizenzen auch SAP-Cloud-Platform-Lizenzen für den Identity & Authentication Service (IAS) in der SAP Business Technology Platform benötigen, was höhere Kosten zur Folge hat.
Zugang über die Freigabe des Fiori Launchpads im Gateway per Reverse Proxy
Die zweite Möglichkeit, um externen Personen den Zugriff auf Ihre internen Fiori-Anwendungen zu ermöglichen, ist die Freigabe vom SAP Gateway Server über den Reverse Proxy für das Internet. Die relevanten ICF-Pfade im Gateway sind /sap/bc, /sap/public und sap/opu. Mit SAML wird die Anmeldung beim Azure AD am Reverse Proxy oder am SAP Gateway erforderlich. Der größte Vorteil dieser Methode ist, dass keine zusätzlichen Kosten für weitere Lizenzen von Cloud Services auf Sie zukommen. Außerdem ist bei Bedarf eine Kombination mit Wrapper-Apps und Client-Zertifikaten auf den Clients möglich.
Leider ist diese Option auch mit einigen Nachteilen verbunden, wie zum Beispiel, dass Routing-Regeln mitunter komplex werden können – insbesondere dann, wenn mehrere Ressourcen aus dem internen Netzwerk für das Internet freigegeben werden. Zudem erfolgt die Anmeldung am Reverse Proxy (DMZ) oder gar am Gateway (Intranet), sodass mit dieser Option nicht-autorisierte Personen sehr weit ins interne Netzwerk vordringen können, bevor sie sich authentifizieren müssen.
Außerdem wird die Network Edge Authentication nur von der SAP Web-Dynpro-Technologie in Verbindung mit der Software-Authentifizierung SAP Single Sign-On 3.0 (SSO) unterstützt, sodass für die SSO 3.0 Zusatzkosten anfallen. Weitere Nachteile sind die schlechte Skalierbarkeit bei steigender Nutzerzahl und die Notwendigkeit einer direkten Anbindung des SAP Gateways an den Azure AD / die ADF.
Zugang mittels eines VPN-Clients auf einem mobilen Endgerät
Als dritte und letzte Option können Sie den Zugang mit Hilfe eines VPN-Clients auf einem mobilen Endgerät regeln. Dabei verbindet sich das Endgerät per VPN (Virtual Private Network) mit Ihrem internen Netzwerk. Für die Umsetzung sind daher eine VPN-Client-Software, Zertifikate auf dem Endgerät sowie ein VPN-Endpunkt im internen Netzwerk notwendig. Wenn die SAML genutzt wird, wird die Anmeldung beim Enterprise-Identitätsdienst Azure AD oder bei den ADFS von den internen Systemen gefordert und erfolgt unabhängig vom VPN.
Ein Vorteil dieser Methode ist, dass Sie interne Netzwerk-Ressourcen (Pfade) für das Internet nicht freigeben müssen, sodass die Sicherheit an dieser Stelle deutlich erhöht wird. Des Weiteren sind keine zusätzlichen Lizenzen für Cloud-Services notwendig, da alle benötigten Komponenten komplett On-Premises laufen.
Einen Nachteil stellt dagegen die Notwendigkeit eines MDMs (Mobile-Device-Managers) oder eines sehr IT-affinen Mitarbeiters dar, um die benötigte VPN-Software und die dazugehörigen Zertifikate auf dem mobilen Endgerät zu installieren. Für den Einsatz eines MDMs müssen Sie mit erhöhten Kosten rechnen.
Außerdem erfolgt die SAML-Authentifizierung auch bei diesem Vorgehen erst innerhalb des internen Netzwerks, da bei der Verwendung des VPN-Tunnels allein noch keine Anmeldung beim Azure AD erforderlich ist, sondern erst beim Aufruf der internen Systeme.
Ein sicherer Zugriff auf interne Fiori-Anwendungen in Ihrem Unternehmen
Wir hoffen, dieser Beitrag konnte Ihre Fragen zum Thema „Sicherer Zugriff auf interne Fiori-Anwendungen über das Internet“ beantworten.
Sicherer Zugriff auf interne Fiori-Anwendungen
Stehen Sie vor der Herausforderung, eine der drei Möglichkeiten für Ihr Unternehmen auswählen zu müssen? Welche Option die Richtige für Sie ist, muss individuell bewertet werden. Wir unterstützen Sie gerne dabei!
