 |
|
|
|
Aktuell 4 Gäste und 0 registrierte Benutzer online.
Anmeldung
|
|
|
| Autor | Sichere Zone und Portalanwendung |
tammy
85
86
87
88
89
Beiträge:  verfasst:
17.08.2004, 18:46 Uhr
|
Hallo,
ich wollte mir euch mal kurz über die Möglichkeit einer "sicheren Zone" sowie die Machbarkeit dessen sprechen. Angenommen der Fall wir haben ein EP6 richtig und toll aufgebaut (Internet -> Firewall -> (DMZ) -> Firewall -> EP6 auf WebAS, WebAS, WebAS ... -> Firewall -> (Backend Systeme).
Nun möchte ich jedoch eine weitere Zone, abgespalten von der Portal-Zone, erzeugen. In dieser könnte dann ein weitere Web AS JAVA und ein IIS (in einem separierten Netz vom EP 6.0) stehen. Aus
Sicherheitsgründen wäre dieses sicherlich der richtige Weg, wenn Daten
und Programme darauf laufen sollen die nur über das Portal erreichbar sein
sollen, nur für wenige User, und zudem hochkritisch sind.
Im Augenbick können also User auf das Portal zugreifen und dort (sagen wir mal Portal = Linksammlung) auf einen weiteren WebAS Java innerhalb der Portal-Zone weitergeleitet werden um dort eine bestimmte Anwendung (innerhab eines iViews) ausführen zu können. Das Portal bekommt nun nix mehr mit von der Kommunikation in diesem einen bestimmten iView.
Was aber, wenn ich nun sehr kritische Anwendungen (innerhalb iViews) habe, die auf einem anderen WebAS stehen. Was, wenn zwar das Portal in diese Zone zugreifen darf, der User von ausserhalb jedoch nicht. Kann das Portal dann perfekt als Proxy arbeiten? Auch wenn es heavy ASP Seiten sind, die eine u.U. sehr IE-nahe Kommunikation benötigen? Wie kann ich das alles richtig einstellen?
Gruß Tammy  | | |
PHoefer
Beiträge: 1verfasst:
20.08.2004, 13:14 Uhr |
Hallo Tammy,
normalerweise stellt das Portal eingebundene Inhalte nur in einem iFrame dar, daher arbeitet das SAP Portal nicht als Proxy. Die Inhalte werden also erst auf dem Clientrechner zusammengesetzt.
Deine Benutzer brauchen also zugriff auf die Webinhalte die dargestellt werden sollen.
Du solltest dir ausserdem noch gedanken über die Authentifizierung machen. Der Benutzer muss sich ja irgendwie an dem Webserver anmelden.
Man kann den IIS so erweitern das er SAP SSO2 Zertifikate versteht. Wenn im Portal und im IIS die gleichen Benutzernamen verwendet werden (am besten ist es, wenn beide auf das Active Directory gehen), dann kann Ich den IIS auf dem deine ASP Anwendungen laufen so anpassen das er die SAP SSO2 Zertifikate versteht. Dadurch hast Du ein Single Sign On zu deinen Legacy Anwendungen.
Das ist aber recht aufwendig und kann man nicht so einfach im Forum erklären. Ich benötige so drei Tage dafür bis das richtig läuft. Wenn Du da interresse hast, kann ich euch soetwas bauen.
Viele Grüße,
Patrick
| | |
tammy
Beiträge: verfasst:
20.08.2004, 14:27 Uhr |
Hallo,
> daher arbeitet das SAP Portal nicht als Proxy
ja genau. Trotz allem ist ja meine Frage, ob ich eine sichere Zone erschaffen kann, die nur vom Portalrechner aus erreichbar ist. Applikationen innerhalb der Zone müssten also über den Portalrechner zum Client gehen. Das das einstellbar ist, weiss ich - nur ... klappt es mit jeglichen Applikationen? (Also auch solchen, die eine strenge Anbindung an den IE benötigen).
> Die Inhalte werden also erst auf dem Clientrechner zusammengesetzt.
Ja, das so oder so (Browser). Mir geht es nur um den Weg. Also nicht:
1. Client <-> Portal (dann Auswahlt)
2. Client <-> Applikation
sondern:
1. Client <-> Portal (dann Auswahlt)
2. Client <-> Portal <-> Applikation
> Deine Benutzer brauchen also zugriff auf die Webinhalte die dargestellt werden sollen.
Und genau das will ich ja nicht. Zumindest keinen direkten Zugriff.
Gruß Tammy
| | |
PHoefer
Beiträge: 1verfasst:
20.08.2004, 16:33 Uhr |
Hallo Tammy,
<fieldset style="background-color: #cccccc; text-align: left; border: 1px solid black;"><legend style="font-weight: bold;">Zitat</legend>
> daher arbeitet das SAP Portal nicht als Proxy
ja genau. Trotz allem ist ja meine Frage, ob ich eine sichere Zone erschaffen kann, die nur vom Portalrechner aus erreichbar ist. Applikationen innerhalb der Zone müssten also über den Portalrechner zum Client gehen. Das das einstellbar ist, weiss ich - nur ... klappt es mit jeglichen Applikationen? (Also auch solchen, die eine strenge Anbindung an den IE benötigen).
</fieldset>
hmm, da weisst Du mehr als ich. Wie soll das denn gehen? Ich habe noch nie gehört, dass das Portal automatisch als Proxy funktionieren kann
Was man machen kann ist, das man sowas selber Programmiert. Mann baut sich ein Java iView und läd die Daten über ein URL-Connection Objekt auf den Portal Server. Dann schreibt man den Datenstrom in das response Objekt. So wie in dem Thread hier beschrieben: http://www.unternehmensportale.biz/phpBB_14-viewtopic-topic-2-start-15.html
Aber das funktioniert nur für einfache Anzeigefunktionen so. Sobald man eine komplette Anwendung hat muss man ja die ganzen URL umschrieben. Die Zugriffe gehen ja sonst wieder auf den Quellserver und man würde wieder den Portalserver umgehen.
Viele Grüße,
Patrick | | |
tammy
Beiträge: verfasst:
21.08.2004, 00:45 Uhr |
Hallo Patrick,
ich habe gesehen, dass iViews in der Isolation Method als pumped angegeben werden können:
Pumped (Rapid Loading of Multiple Frames' Content) iViews. When content is "pumped" it means that the portal server gets the content and loads it into memory. When all the content has loaded, the server sends it all at once to the client, and the browser "pumps" it into its corresponding iFrame.
Das ist doch eine Art Proxy-Funktionalität - oder?
Kann man dann wohl den direkten Zugriff vom CLient auf die Programme sperren, sodass nur noch das Portal die Programme erreicht?
Gruß
| | |
|
|
|
|