Tobias Schießl
28. Oktober 2021

Sicherer Zugriff auf interne Fiori-Anwendungen über das Internet

Software Programming Web Development Concept

Sie und Ihre Mitarbeiter können Fiori-Anwendungen aus nahezu jedem Unternehmensbereich in der Regel von überall ausnutzen – egal ob Buchhaltung, Personalmanagement oder Lagerverwaltung. In Ihren internen Anwendungen sind folglich viele relevante und auch vertrauliche Informationen gespeichert, die Sie vor dem Zugriff durch unbefugte Personen schützen sollten. Gleichzeitig ist oftmals der Zugang zu einigen internen Anwendungen durch externe Dienstleister notwendig, um gemeinsame Aufträge umzusetzen.

In diesem Beitrag erhalten Sie einen Überblick über drei Möglichkeiten, mit denen Sie und Ihre externen Kollegen einen sicheren Internet-Zugriff auf interne Fiori Apps erhalten, ohne dabei Sicherheitsrisiken einzugehen.

Warum ein sicherer Zugriff auf interne Fiori Apps wichtig ist

Die Verwendung von Fiori Apps und die Kooperation dieser untereinander sowie die Zusammenarbeit mit anderen Unternehmen über die Apps, sorgen für eine große Menge an Daten über Kunden, Bestellungen, Aufträge und vieles mehr. Der Zugriff auf diese Informationen sollte entsprechend gesichert sein. Sicherheitsrisiken können mit dem richtigen Vorgehen weitestgehend minimiert werden. Gleichzeitig sorgt die Auswahl der passenden Zugriffsoption auch dafür, dass befugte Personen, wie Mitarbeiter oder externe Dienstleister, Zugang zu den Daten haben, die sie benötigen.

Welche Möglichkeiten für einen sicheren Zugriff auf interne Fiori-Anwendungen gibt es?

Um den Zugriff auf interne Fiori-Anwendungen zu ermöglichen, können Sie zwischen den drei folgenden Verfahren wählen. Jede dieser Möglichkeiten hat ihre Vor- und Nachteile und nicht jede Option ist für jedes Unternehmen, jedes Projekt und jede Vorgehensweise gleichermaßen geeignet:

Zugriff auf das Fiori Launchpad über das SAP Cloud Platform Portal

Bei dieser Möglichkeit stellen Sie eine Verbindung zum internen Netzwerk (SAP Gateway) über den SAP Cloud Connector her. Wenn Sie die SAML (Security Assertion Markup Language) beim Aufruf der SAP Cloud Platform nutzen, wird eine Anmeldung beim Enterprise-Identitätsdienst Azure Actice Directory (Azure AD), den Active Directory Federation Services (ADFS) oder einem anderen Identity Provider gefordert.

Die Nutzung des SAP Cloud Platform Portals hat den Vorteil, dass Sie für den Zugriff keine internen Netzwerk-Ressourcen (Pfade) freigeben müssen, was eine erhebliche Sicherheitssteigerung zur Folge hat. Außerdem sorgt die Anmeldung über die Cloud dafür, dass nicht autorisierte Personen nicht einmal bis in die DMZ (Demilitarized Zone) gelangen.

SAP Fiori

E-Book: SAP Fiori

Wir erklären Ihnen, wie SAP Fiori in die SAP-Systemlandschaft einzuordnen ist und was die Technologie auszeichnet.

Ein weiterer Vorteil ist die gute Skalierbarkeit, die auch bei einer steigenden Nutzerzahl konstant bleibt, sowie die Möglichkeit, das Fiori Launchpad als zentrales Launchpad für mehrere Backend-Systeme zu nutzen. Dies ermöglicht die Verwendung mehrerer Launchpads. Außerdem ist bei dieser Option keine Anbindung des SAP Gateways an den Azure AD notwendig – eine Principal Propagation über den Cloud Connector ist ausreichend.

Ein großer Nachteil ist jedoch, dass Sie zusätzlich zu den SAP-Nutzer-Lizenzen auch SAP-Cloud-Platform-Lizenzen für den Identity & Authentication Service (IAS) in der Cloud Platform benötigen, was höhere Kosten zur Folge hat.

Zugang über die Freigabe des Fiori Launchpads im Gateway per Reverse Proxy

Die zweite Möglichkeit, um externen Personen den Zugriff auf Ihre internen Fiori-Anwendungen zu ermöglichen, ist die Freigabe vom SAP Gateway Server über den Reverse Proxy für das Internet. Die relevanten ICF-Pfade im Gateway sind /sap/bc, /sap/public und sap/opu. Mit SAML wird die Anmeldung beim Azure AD am Reverse Proxy oder am SAP Gateway erforderlich. Der größte Vorteil dieser Methode ist, dass keine zusätzlichen Kosten für weitere Lizenzen von Cloud Services auf Sie zukommen. Außerdem ist bei Bedarf eine Kombination mit Wrapper-Apps und Client-Zertifikaten auf den Clients möglich.

Leider ist diese Option auch mit einigen Nachteilen verbunden, wie zum Beispiel, dass Routing-Regeln mitunter komplex werden können – insbesondere dann, wenn mehrere Ressourcen aus dem internen Netzwerk für das Internet freigegeben werden. Zudem erfolgt die Anmeldung am Reverse Proxy (DMZ) oder gar am Gateway (Intranet), sodass mit dieser Option nicht-autorisierte Personen sehr weit ins interne Netzwerk vordringen können, bevor sie sich authentifizieren müssen.

In diesem Webinar möchten wir Ihnen einen Überblick über die wichtigsten Aspekte und Best Practices rund um SAP Fiori bieten.

Außerdem wird die Network Edge Authentication nur von der SAP Web-Dynpro-Technologie in Verbindung mit der Software-Authentifizierung SAP Single Sign-On 3.0 (SSO) unterstützt, sodass für die SSO 3.0 Zusatzkosten anfallen. Weitere Nachteile sind die schlechte Skalierbarkeit bei steigender Nutzerzahl und die Notwendigkeit einer direkten Anbindung des SAP Gateways an den Azure AD / die ADF.

Zugang mittels eines VPN-Clients auf einem mobilen Endgerät

Als dritte und letzte Option können Sie den Zugang mit Hilfe eines VPN-Clients auf einem mobilen Endgerät regeln. Dabei verbindet sich das Endgerät per VPN (Virtual Private Network) mit Ihrem internen Netzwerk. Für die Umsetzung sind daher eine VPN-Client-Software, Zertifikate auf dem Endgerät sowie ein VPN-Endpunkt im internen Netzwerk notwendig. Wenn die SAML genutzt wird, wird die Anmeldung beim Enterprise-Identitätsdienst Azure AD oder bei den ADFS von den internen Systemen gefordert und erfolgt unabhängig vom VPN.

Ein Vorteil dieser Methode ist, dass Sie interne Netzwerk-Ressourcen (Pfade) für das Internet nicht freigeben müssen, sodass die Sicherheit an dieser Stelle deutlich erhöht wird. Des Weiteren sind keine zusätzlichen Lizenzen für Cloud-Services notwendig, da alle benötigten Komponenten komplett On-Premises laufen.

Einen Nachteil stellt dagegen die Notwendigkeit eines MDMs (Mobile-Device-Managers) oder eines sehr IT-affinen Mitarbeiters dar, um die benötigte VPN-Software und die dazugehörigen Zertifikate auf dem mobilen Endgerät zu installieren. Für den Einsatz eines MDMs müssen Sie mit erhöhten Kosten rechnen.

Außerdem erfolgt die SAML-Authentifizierung auch bei diesem Vorgehen erst innerhalb des internen Netzwerks, da bei der Verwendung des VPN-Tunnels allein noch keine Anmeldung beim Azure AD erforderlich ist, sondern erst beim Aufruf der internen Systeme.

Ein sicherer Zugriff auf interne Fiori-Anwendungen in Ihrem Unternehmen

Wir hoffen, dieser Beitrag konnte Ihre Fragen zum Thema „Sicherer Zugriff auf interne Fiori-Anwendungen über das Internet“ beantworten.

Tobias Schießl

Sicherer Zugriff auf interne Fiori-Anwendungen

Stehen Sie vor der Herausforderung, eine der drei Möglichkeiten für Ihr Unternehmen auswählen zu müssen? Welche Option die Richtige für Sie ist, muss individuell bewertet werden. Wir unterstützen Sie gerne dabei!

Tobias Schießl

Tobias Schießl

Mein Name ist Tobias Schießl und ich bin begeisterter SAP Consultant im Bereich Mobility. Gerne unterstütze ich Sie bei den Themen mobile Infrastrukturen und App-Entwicklung mit SAPUI5 oder Neptune.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

In diesem Blogbeitrag möchte ich Ihnen die Vorteile einer plattformunabhängigen Programmiersprache am Beispiel von jQuery Mobile und der SAP Learninig Solution zeigen.

weiterlesen

Sind Sie auch ein eingeschweißter ABAP-Entwickler? Wenn jemand einen Funktionsbaustein oder einen neuen Report braucht stürzen Sie sich auf die SE37 oder SE80 und sind in Ihrem Element? Egal welches Modul, Sie können die Tabellen rauf und runter singen?

weiterlesen

Die SAP bietet mit dem „ABAP-RESTful-Application-Programming-Modell“ eine Möglichkeit, die App-Entwicklung mit Fiori zu vereinfachen. In meinem letzten Blogbeitrag dazu erfahren Sie, was es mit diesem Modell auf sich hat und wie Sie Daten in einer generierten Fiori-App in 5 Schritten […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Sophie Weber
Sophie Weber Kundenservice