SAP Cloud Connector
Inhaltsverzeichnis
Definition und Einsatzzweck
Einsatz in der SAP Cloud Platform (SCP)
Um den Begriff „SAP Cloud Connector” (kurz: SSC; ehemals HANA Cloud Connector) definieren zu können, müssen wir uns zunächst mit der SAP Cloud Platform (SCP) auseinandersetzen. Es handelt sich hierbei um die SAP-eigene, Cloud-basierte Plattform für die Entwicklung, die Integration und den Betrieb von Cloud-Applikationen sowie unternehmensindividuellen Erweiterungen für SAP-Systeme.
Bezeichnet werden Angebote dieser Art auch als Platform-as-a-Service. Vergleichbare Dienste werden beispielsweise von Microsoft (Microsoft Azure), Salesforce.com (force.com) und Amazon (Amazon Web Services) angeboten. Im Unterschied zu diesen Plattformen beinhaltet die SCP jedoch bereits zahlreiche vorgefertigte Services, die speziell für das SAP-Umfeld konzipiert sind. Zu nennen sind beispielsweise Java EE Webserver, SAP Web IDE und SAP Gateway.
Update 2021: Namensänderung der SCP in SAP Business Technology Platform
Anfang 2021 wurde die SCP in SAP Business Technology Platform (BTP) umbenannt. Die Services der SCP finden Sie nun in der SAP BTP. Warum die SAP sich für eine Namensänderung entschieden hat und welches Ziel sie damit verfolgt, können Sie hier nachlesen.
App-Entwicklung in der SAP BTP
Die SAP BTP wird insbesondere für die Entwicklung von UI5-, Fiori- und HANA-Anwendungen empfohlen. Diese Applikationen können in der BTP jedoch nicht nur entwickelt, sondern auch betrieben werden.
Kernaufgaben des SAP Cloud Connectors
Für die Entwicklung und den Betrieb der App sind Daten aus dem Back-End-System notwendig. Also muss eine Verbindung zwischen der BTP und dem On-Premise-System hergestellt werden. Hier kommt der SAP Cloud Connector ins Spiel. Gleichermaßen kann die Notwendigkeit bestehen, Daten über Cloud-basierte Apps an das Back-End zu übergeben. Auch das ist eine Kernaufgabe des SAP Cloud Connectors.
Anwendungsfälle
Da in klassischen Szenarien alle Unternehmensdaten in SAP-On-Premise-Systemen gespeichert sind, existieren zahlreiche Anwendungsfälle, in denen der Einsatz des Cloud Connectors sinnvoll ist. Nur einige Beispiele sind:
- Kennzahlen via Smartphone-App abrufen
- Arbeitszeiterfassung via App durchführen
- Freigabe-Workflows über mobile Endgeräte abbilden
- Cloud-basierte Webshops mit On-Premise-Systemen verbinden
Funktionsweise
Aus technischer Sicht wird der SAP Cloud Connector in einem unternehmenseigenen, gesicherten Netzwerk installiert. Dort dient er als sogenannter Reverse Invoke Proxy. Es handelt sich hierbei um eine Technik, bei der Netzwerkverbindungen stets aus einem geschützten Netz heraus aufgebaut werden. Im Vergleich zum umgekehrten Ansatz (Verbindungsaufbau von außen durch die Firewall) ist diese Vorgehensweise sicherer. Die Firewall des Unternehmens muss nicht geöffnet werden. Auch die Kommunikation selbst ist abgesichert. Sie erfolgt via Secure VPN.
Der Verbindungsaufbau erfolgt innerhalb sehr kurzer Zeit. Wichtig zu wissen ist jedoch, dass Daten bei diesem Ansatz niemals in der Cloud (zwischen)gespeichert werden. Der Abruf aus dem lokalen SAP-System erfolgt bei jedem Bedarfsfall erneut. Insgesamt erlaubt der SAP Cloud Connector eine detailliert abgestimmte Kontrolle folgender Komponenten:
- Ressourcen und On-Premise-Systeme, die über Cloud-Applikationen zugänglich sein sollen
- Cloud-Applikationen, die den SAP Cloud Connector nutzen sollen
Konnektivität
Der SAP Cloud Connector ermöglicht Ihnen eine sichere Verbindung zwischen verschiedenen SAP Cloud Applikationen und Ihrer On-Premise-Landschaft. Die BTP können Sie so sicher anbinden. Neben der Kommunikation in Cloud-2-On-Premise-Szenarien ist mit dem SAP Cloud Connector auch die andere Richtung, also On-Premise-2-Cloud möglich.
- Verbindung mit der SAP BTP:
Der Identity Provider liefert die Userbase für den Subaccount, über den dann die Verbindung erfolgt. Das Zertifikat wird im Dateisystem des Cloud Connectors gespeichert, sodass Sie bei der Änderung eines Passworts im Platform Identity Provider keine Aktualisierung im Cloud Connector vornehmen müssen.
- Verbindung mit den Back-Ends
Die Verbindung mit Ihren Back-End-Systemen erfolgt ebenfalls über einen Sub-Account und zwar mithilfe eines virtuellen Hostnamens und einem zugehörigen Port. Achten Sie darauf, dass Sie den virtuellen Hostnamen in den Cloud Services zwingend verwenden müssen. Wenn Sie den virtuellen Host im Sub-Account verwenden, bildet der Cloud Connector diesen dann auf den physischen Hostnamen Ihrer On-Premise-Systeme ab. Welche Ressourcen aus dem Back-End angesprochen werden dürfen, können Sie direkt im Cloud Connector definieren. Den Cloud Connector können Sie prinzipiell für alle relevanten Protokolle verwenden.
Architektur des SAP Cloud Connectors
SAP Cloud Connector Architektur. Quelle: SAP
Auf dem Bild erhalten Sie eine grobe Zusammenfassung der Architektur des SAP Cloud Connectors. Dieses Tool errichtet einen geschützten TLS-Tunnel zur Cloud, welcher eine sichere Übertragung von Daten gewährleistet. Wenn Sie weitere Unterstützung zu diesem Thema benötigen, laden wir Sie herzlich ein, sich über unsere vielfältigen Dienstleistungen im Bereich der SAP- und IT-Sicherheitsberatung zu informieren. Gerne können Sie auch unverbindlich und kostenfrei eine Anfrage stellen. Unser Team steht Ihnen mit fachkundigem Rat zur Seite.
SAP Cloud Connector Sicherheit
Wichtige Sicherheitsaspekte müssen beim Einsatz des Cloud Connectors berücksichtigt werden. Besonders hervorzuheben ist die Authentifizierung Ihrer Administratoren und anderer Benutzer über einen LDAP-Server. Dies gewährleistet eine sichere Umgebung. Zudem ist es ratsam, das mitgelieferte selbstsignierte SSL-Zertifikat des CC schnellstmöglich durch eines mit dem Hostnamen als CN zu ersetzen, um die Sicherheit weiter zu erhöhen.
Für den Zugriff auf die Administrations-Benutzeroberfläche des SAP Cloud Connectors ist ausschließlich HTTPS vorgesehen. In der Standardinstallation ist der Port 8443 dafür vorgesehen. Diesen Port können Sie leicht über die Skripte “changeport.bat” oder “changeport.sh” ändern. Der Cloud Connector wird initial mit einem selbstsignierten SSL-Zertifikat ausgeliefert, das jedoch empfohlen wird, gegen ein offizielles Zertifikat auszutauschen. Im SAP Cloud Connector haben Sie die Möglichkeit, direkt einen Certificate Signing Request (CSR) zu erstellen, um dies zu realisieren. Damit gewährleisten Sie eine optimale Sicherheitslage.
Features und Vorteile
Der SAP Cloud Connector ist mit zahlreichen Funktionen ausgestattet, die ihn insgesamt zu einem äußerst leistungsfähigen und vielseitigen Werkzeug machen. Neben der Möglichkeit, den sicheren Reverse-Invoke-Proxy-Ansatz zu nutzen, werden zusätzliche Protokolle wie RFC unterstützt. Auf diese Weise kann etwa ein nativer Zugriff auf ABAP-Systeme realisiert werden, um Funktionsbausteine aufzurufen.
Wird eine Verbindung unterbrochen, so wird sie von dem Tool automatisch wieder aufgebaut. Zudem ist eine Protokollierung des Datenverkehrs und der Konfigurationsänderungen möglich. Dies hat insbesondere für Audits Relevanz. Allgemein ist der Zugriff restriktiv abgesichert. Jeder URL und jeder Service erfordert eine separate Freigabe.
Was den Datenzugriff betrifft, so unterstützt der Cloud Connector ein Single-Sign-On-Verfahren für das lokale SAP-System und die SAP Business Technology Platform.
Anwender können somit nur diejenigen Informationen einsehen, für die sie im On-Premise-Umfeld die entsprechende Berechtigung besitzen. Der Zugriff auf den Cloud Connector selbst sollte aus Sicherheitsgründen auf eine minimale Benutzeranzahl beschränkt werden.
Im Übrigen kann der SAP Cloud Connector auch dazu verwendet werden, SAP HANA Datenbanken in der Cloud mit lokalen Datenbanken oder Business Intelligence Tools bidirektional zu verbinden. Zu den weiteren Vorteilen zählen die einfache Installation und Konfiguration sowie die niedrigen Betriebskosten.
Integration & technische Voraussetzungen
Der SAP Cloud Connector lässt sich auf allen gängigen Betriebssystemen betreiben. Auch hinsichtlich der Hardware bestehen keine besonderen Voraussetzungen. Er benötigt einen Zugriff auf das SAP System, das mit der Cloud verbunden werden soll. Typischerweise wird er daher im selben Netzwerk installiert, in dem sich auch die SAP Installationen befinden. Vorteilhaft ist, dass das Back-End-System nicht via Internet erreichbar sein muss. Entsprechend müssen auf der Firewall auch keine Ports geöffnet werden.
Der Cloud Connector selbst benötigt jedoch einen Internetzugang, um auf die SAP Business Technology Platform zuzugreifen. Bei Bedarf kann eine Einschränkung auf bestimmte URLs erfolgen. Zum Setup des Tools sind grundsätzlich Admin-Rechte erforderlich.
Besonderheiten
Alternativ können Anwendungen und On-Premise-Dienste via Reverse Proxy für das Internet zur Verfügung gestellt werden. Hierdurch ist es möglich, die entsprechenden Services von der SAP Business Technology Platform aufzurufen. Dies kann beispielsweise sinnvoll sein, wenn bereits ein entsprechendes Setup in der bestehenden Netzwerkumgebung vorhanden ist.
Nachteilig ist bei diesem Ansatz, dass das betroffene SAP System via Internet erreichbar wird und Services allgemein zugänglich sind. Dies erhöht die Angriffsfläche für Cyber-Attacken. Zudem wird bei diesem Szenario nicht das RFC Protokoll unterstützt, wodurch Cloud-Anwendungen nicht auf RFC Dienste zugreifen können. Auch ein Single-Sign-On-Verfahren lässt sich in diesem Fall nicht (oder nur mit hohem Aufwand) umsetzen.
Websession mit Tobias Schießl
Sie haben den SAP Cloud Connector bereits im Einsatz oder denken darüber nach? Das System läuft nicht optimal oder Ihnen fehlen noch Information um sich zu entscheiden? In einer kostenlosen Websession besprechen wir Ihre Herausforderungen und Möglichkeiten.
FAQ
Was ist der SAP Cloud Connector?
Der SAP Cloud Connector bietet einen sicheren Tunnel zwischen SAP Cloud Plattform-Anwendungen und On-Premise-Systemen. Er läuft als Reverse Invoke Proxy zwischen dem On-Premise-Netzwerk und der SAP Cloud Plattform und enthält zusätzliche Funktionen, die für geschäftskritische Szenarien erforderlich sind.
Wie benutze ich den Cloud Connector in SAP?
- Installieren Sie den Cloud Connector: Installation.
- Führen Sie die Erstkonfiguration für den Cloud Connector durch: Erstmalige Konfiguration.
- Registrieren Sie den Cloud Connector für ihr SAP BTP-Unterkonto: Unterkonten verwalten.
Was sind SAP Cloud Platform Open Connectors?
Open Connectors sind eine Kernkomponente der SAP-Integration Suite, die vorgefertigte und funktionsreiche Konnektoren bereitstellen, um die Konnektivität und nahtlose Integration mit Non-SAP Cloud-Anwendungen zu vereinfachen.
