Bei Kundenimplementierungen werden wir häufig gefragt, ob SAP-Transporte für Avantra erforderlich sind. Dieser Beitrag geht auf viele der häufigsten Fragen ein, die uns gestellt werden, und erläutert die Gründe für unsere Entscheidungen beim Plattformdesign.
Unsere Entscheidungen basieren auf dem Grundsatz „Sicherheit geht vor“, den Best Practices von SAP und unserer über 23-jährigen Erfahrung. Diese Grundsätze gewährleisten eine zuverlässige, sichere und effektive Lösung für unsere Kunden.
Sollten Sie eine Frage haben, die hier nicht behandelt wird, teilen Sie uns diese bitte mit; wir werden sie gerne in zukünftigen Updates beantworten.
Schnellzugriff
1. Ist der Avantra-Transport für alle Funktionen in Avantra erforderlich?
2. Warum benötigen Sie Zugriff auf mein SAP-System?
3. Ist es möglich, Automatisierungen auszuführen, ohne einen Transport zu verwenden?
4. Was ist mit Lösungen, bei denen angeblich kein Transport erforderlich ist?
5. Warum setzt Avantra lieber auf eigene Transportmittel?
6. Wie sieht es mit meiner SAP-RISE-Umgebung aus – kann ich dort Avantra-Transporte nutzen?
7. Wie sieht es mit SAP S/4HANA Cloud – Public Edition – aus – benötige ich dort einen Transport?
Ist der Avantra-Transport für alle Funktionen in Avantra erforderlich?
Nein, insbesondere im Bereich der Observability (Überwachung) funktionieren viele Überprüfungen auch ohne, dass der Transport bereits eingerichtet ist. Dies ist während der Bereitstellung äußerst nützlich, während Kunden darauf warten, dass Änderungsgenehmigungen bearbeitet werden.
Warum benötigen Sie Code in meinem SAP-System?
Die meisten Aufgaben in einem SAP-System erfordern eine lokale Ausführung, was bedeutet, dass sich Benutzer über die SAP-GUI- oder die Fiori-Oberfläche am System anmelden müssen. Diese Designentscheidung von SAP verbessert die Sicherheit, die Nachvollziehbarkeit und die Konsistenz bei der Ausführung von Geschäftsprozessen.
Bei Lösungen von Drittanbietern wie Avantra erfordert die Umsetzung von Überwachung und Automatisierung einen anderen Ansatz. Avantra erreicht dies durch die Einbindung von benutzerdefiniertem Code über einen SAP-„Transport“. Transporte ermöglichen das Hinzufügen oder Ändern von Code in einem SAP-System. SAP weist Drittanbietern eindeutige Namespaces oder Code-Präfixe zu, über die sie ihren Code bereitstellen können. Der Namespace von Avantra lautet beispielsweise „/syslink/“ und „/avantra/“, wo sich der gesamte Avantra-spezifische Code befindet.
Ist es möglich, Automatisierungen auszuführen, ohne einen Transport zu verwenden?
Ja, aber meistens nein. Wenn SAP die Remote-Ausführung eines Vorgangs ausdrücklich zulässt, wie zum Beispiel das Anlegen neuer Benutzer, ist kein Transport erforderlich.
In den meisten Anwendungsfällen ist dies jedoch nicht der Fall. SAP schränkt die Remote-Ausführung zum Schutz des Systems bewusst ein. Komplexe Aufgaben wie die Systemaktualisierung, die Pflege von Profilparametern, der Austausch von Zertifikaten und die Installation von SAP-HotNews-Updates sollten nur mit fundiertem Fachwissen automatisiert werden.
Bei Avantra setzen wir in unseren Transporten maßgeschneiderten Code ein, um diese Funktionen sicher in unserer Automatisierungs-Engine zu ermöglichen.
Was ist mit Lösungen, bei denen angeblich kein Transport erforderlich ist?
Avantra hält sich an die Richtlinien und Best Practices von SAP und vermeidet den Einsatz von dynamisch eingefügtem Code für komplexe Automatisierungen wie Systemaktualisierungen oder Zertifikatserneuerungen. SAP warnt ausdrücklich , dass „dynamische Programmiertechniken ein ernsthaftes Sicherheitsrisiko“ für seine Systeme darstellen können. Aus diesem Grund ist der gesamte Avantra-Code statisch in unseren Transporten vorhanden und wird nicht zur Laufzeit in das System eingefügt.
Das Einfügen von Code zur Laufzeit ist aus drei wesentlichen Gründen gefährlich:
- Gefährliche Berechtigungen
Für die dynamische Code-Einfügung muss ein Drittanbieter die Berechtigung haben, Code spontan zu erstellen und zu löschen. Dies birgt erhebliche Sicherheitsrisiken, da keine Kontrolle oder Überwachung darüber besteht, was der eingefügte Code tut. - Mangelnde Nachvollziehbarkeit
Code, der zur Laufzeit eingefügt wird, wird nach der Ausführung wieder entfernt, sodass nicht nachvollzogen werden kann, welche Aktionen durchgeführt oder welcher Code im System ausgeführt wurde. Diese mangelnde Nachvollziehbarkeit stellt ein erhebliches Problem hinsichtlich der Einhaltung von Vorschriften und der Sicherheit dar. - Risiken durch Code-Manipulation
Dynamischer Code ist anfällig für Änderungen, die ohne angemessene Kontrolle oder Überprüfung vorgenommen werden. Der ausgeführte Code kann sich im Laufe der Zeit ändern, ohne dass diese Änderungen überprüft werden können. Verliert das Fremdsystem die Kontrolle über den eingefügten Code, könnte das SAP-System dadurch für Angriffe anfällig werden.
Vor vielen Jahren hat Avantra in Absprache mit einigen unserer Großkunden den Einsatz von dynamisch eingefügtem Code eingestellt, um den Richtlinien von SAP und den bewährten Verfahren der Branche zu entsprechen und so eine sichere, nachvollziehbare und zuverlässige Automatisierung zu gewährleisten.
Warum setzt Avantra lieber auf eigene Transportmittel?
Abgesehen von den offensichtlichen Sicherheitsaspekten zieht Avantra es aus einer Reihe weiterer Gründe vor, bei einem Transport unseren eigenen Code zu verwenden:
SAP-zertifiziertes Add-in
Avantra ist als „Works with SAP RISE“-Lösung (Bericht Nr. 20704), „Integration für SAP NetWeaver“ und „Integration mit SAP S/4HANA“ zertifiziert. Wir durchlaufen regelmäßig Zertifizierungsprozesse bei SAP, in deren Rahmen unsere Funktionalität und unser Code analysiert werden, um sicherzustellen, dass sie den Standards und Erwartungen von SAP für Automatisierungsintegrationen von Drittanbietern entsprechen.
Prüfungen
Avantra stellt statische, einsehbare Transportdateien bereit, damit Kunden umfassende End-to-End-Prüfungen unserer Funktionen und unseres Codes durchführen können. So wird sichergestellt, dass unsere Lösungen ihren hohen Sicherheits- und Qualitätsstandards entsprechen. Eine solche Transparenz wäre bei einer dynamischen Code-Einbindung nicht möglich, was unser Engagement für einen sicheren und zuverlässigen Betrieb unterstreicht.
Penetrationstests
Avantra und seine Kunden führen regelmäßig umfassende Penetrationstests der Plattform und ihrer Funktionen durch. Wir setzen nicht auf „Sicherheit durch Verschleierung“ und legen unsere SAP-Transporte vollständig offen. Wir empfehlen unseren Kunden, die Transporte vor dem Einsatz in geschäftskritischen Umgebungen zu prüfen, zu testen und zu verifizieren, um Vertrauen und Zuverlässigkeit zu gewährleisten.
Wie sieht es mit meiner SAP-RISE-Umgebung aus – kann ich dort Avantra-Transporte verwenden?
Avantra ist eine zertifizierte „Works with RISE with SAP“-Lösung (Bericht Nr. 20704). Wenn Ihre Avantra-Transporte bereits vor der Umstellung auf SAP RISE eingerichtet sind, können Sie diese wie gewohnt weiterverwenden. Ist dies nicht der Fall, arbeiten Sie mit SAP oder Ihrem Dienstleister zusammen, um sie zu implementieren und die entsprechenden Benutzerzugriffe einzurichten.
In einem RISE-Szenario werden bestimmte Automatisierungen, wie beispielsweise Systemaktualisierungen, in der Regel von SAP oder Ihrem Dienstleister verwaltet, der möglicherweise ebenfalls Avantra nutzt. Zahlreiche andere Avantra-Automatisierungen stehen Ihnen jedoch weiterhin zur Verfügung. 
Im Gegensatz dazu basieren Automatisierungen, die keinen ABAP-Code (über den Transport) verwenden, in der Regel auf OS-Befehlen und Skripten bzw. Ansible und können daher in einer RISE-Umgebung nicht eingesetzt werden.
Wie sieht es mit SAP S/4HANA Cloud – Public Edition – aus? Benötige ich dort einen Transport?
SAP S/4HANA Cloud Public Edition ist ein SaaS-Produkt, sodass Observability- und Automatisierungslösungen über öffentliche APIs integriert werden und nicht über die herkömmlichen Installationsmethoden für On-Premise- oder Cloud-Umgebungen. Da es sich um öffentliche APIs handelt, ist kein Transport erforderlich. Sie konfigurieren lediglich den Systemstandort und die Anmeldedaten in Avantra, und die Integration sollte nahtlos funktionieren.
Sprechen Sie noch heute mit einem unserer SAP-Experten noch heute, um mehr zu erfahren.