Текущее время: Чт, мар 28 2024, 22:40

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: Ограничение полномочий пользователя в XI
СообщениеДобавлено: Вт, апр 20 2010, 10:05 
Начинающий
Начинающий

Зарегистрирован:
Вт, апр 20 2010, 08:58
Сообщения: 1
Посоветуйте, как правильно ограничить пользователя, чтобы он мог вызывать Веб-сервис XI, но не мог подключиться к SAP XI Tools (SLD; Integration Builder-Repository, Directory)
Роль SAP_XI_APPL_SERV_USER -позволяет подкючиться и проводить изменения в Integration Builder-Repository, Directory.
Вызов Веб-сервиса будет осуществляться от сторонней организации.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ограничение полномочий пользователя в XI
СообщениеДобавлено: Пт, апр 23 2010, 08:54 
Директор
Директор

Зарегистрирован:
Вт, июл 18 2006, 17:44
Сообщения: 1001
Откуда: что и все
Пол: Мужской
готового ответа не дам, сам бы просто начал с минимальной роли типа SAP_BC_ENDUSER и постепенно добавляя туда нужные джавашные роли. Далее идёт лирическо-техническое отступление от темы вопроса.


Что если доступ надо дать сторонней организации то как правило лучше вообще их не пускать в http://intimhost:5xx00 -- ведь это просто опасно давать к внутренней сети потенциально опасный доступ. Слишком дыряв нетвивер, задосить или найти дыру могут в этом или другом сервисе, и тогда весь XI падёт.

Есть другой более здравый вариант -- вынести все веб-сервисы для внешнего вызова из Central Adapter Engine в другой AE, например в J2SE Plain AE. Потребляет памяти он немного (в 100-200 метров ОЗУ влазит), параметров много, база пользователей полностью своя, разворачивается на практически любой ОС за считанные часы. Этот выносной АЕ ставим в зону с доступом извне к любому _одному_ порту (хоть 80му), а он уже имеет доступ к XI http://intimhost:5xx00. Конечно, и его могут ломануть, но это доп.преграда.

Можно также поставить PCK в ДМЗ, но это труднее -- целую джава-инстанцию надо ставить, зато в мониторинге проще.

Вариант с Plain J2SE AE работает в одном проекте в продуктивном режиме для доступа через SOAP (внешняя фирма вызывает XI через выносной адаптер) уже достаточно долго, в целом удобно.

_________________
Telegram-chat: PO, CPI-PI, java, groovy


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB