Учебники

Аутентификация и управление пользователями

Август 13, 2018

Если неавторизованный пользователь может получить доступ к системе SAP от имени известного авторизованного пользователя и может вносить изменения в конфигурацию и управлять конфигурацией системы и ключевыми политиками. Если авторизованный пользователь имеет доступ к важным данным и информации системы, то этот пользователь также может получить доступ к другой важной информации. Это расширяет возможности использования безопасной аутентификации для защиты доступности, целостности и конфиденциальности пользовательской системы.

Механизм аутентификации в системе SAP

Механизм аутентификации определяет способ доступа к вашей системе SAP. Существуют различные методы проверки подлинности:

  • Идентификаторы пользователей и инструменты управления пользователями
  • Безопасная сетевая связь
  • SAP Logon Билеты
  • Клиентские сертификаты X.509

Идентификаторы пользователей и инструменты управления пользователями

Наиболее распространенный метод аутентификации в системе SAP — использование имени пользователя и пароля для входа в систему. Идентификаторы пользователя для входа создаются администратором SAP. Чтобы обеспечить механизм безопасной аутентификации с помощью имени пользователя и пароля, необходимо определить политики паролей, которые не позволяют пользователям устанавливать легко предсказуемый пароль.

SAP предоставляет различные параметры по умолчанию, которые вы должны установить для определения политик паролей: длина пароля, сложность пароля, смена пароля по умолчанию и т. Д.

Идентификатор пользователя

Инструменты управления пользователями в системе SAP

Система SAP NetWeaver предоставляет различные инструменты управления пользователями, которые можно использовать для эффективного управления пользователями в вашей среде. Они обеспечивают очень строгий метод аутентификации для обоих типов серверов приложений NetWeaver — Java и ABAP.

Некоторые из наиболее распространенных инструментов управления пользователями —

Управление пользователями для сервера приложений ABAP (код транзакции: SU01)

Вы можете использовать Transaction-Code SU01 для управления пользователями для поддержки пользователей на серверах приложений на базе ABAP.

Инструмент управления пользователями

SAP NetWeaver Identity Management

Вы можете использовать SAP NetWeaver Identity Management для управления пользователями, а также для управления ролями и назначениями ролей в вашей среде SAP.

Показать личность

PFCG Роли

Вы можете использовать генератор профилей PFCG для создания ролей и назначения полномочий пользователям в системах на основе ABAP.

Код транзакции — PFCG

Показать документацию

Центральное управление пользователями

Вы можете использовать CUA для поддержки пользователей для нескольких систем на основе ABAP. Вы также можете синхронизировать его с вашими серверами каталогов. Используя этот инструмент, вы можете централизованно управлять всей основной записью пользователя с клиента системы.

Код транзакции — SCUA и создание модели распределения.

Центральное управление пользователями

Механизм управления пользователями UME

Вы можете использовать роли UME для управления авторизацией пользователей в системе. Администратор может использовать действия, которые представляют наименьший объект роли UME, который пользователь может использовать для создания прав доступа.

Вы можете открыть консоль администрирования UME, используя опцию администратора SAP NetWeaver.

Политика паролей

Политика паролей определяется как набор инструкций, которым пользователь должен следовать, чтобы повысить безопасность системы, используя надежные пароли и используя их правильно. Во многих организациях политика паролей является частью обучения по вопросам безопасности, и пользователи обязаны поддерживать политику безопасности критически важных систем и информации в организации.

Используя политику паролей в системе SAP, администратор может настроить пользователей системы для развертывания надежных паролей, которые нелегко взломать. Это также помогает менять пароль через регулярные промежутки времени для обеспечения безопасности системы.

Следующие политики паролей обычно используются в системе SAP —

Default / Initial Password Change

Это позволяет пользователям изменять первоначальный пароль сразу при первом использовании.

Длина пароля

В системе SAP минимальная длина паролей в системах SAP по умолчанию равна 3. Это значение можно изменить с помощью параметра профиля. Максимально допустимая длина — 8.

Код транзакции — RZ11

Имя параметра — логин / min_password_lng

Поддерживать параметры профиля

Вы можете нажать на документацию по параметру профиля для этой политики, и вы можете увидеть подробную документацию от SAP следующим образом:

Помощник по производительности

Параметр — логин / min_password_lng

Краткий текст — минимальная длина пароля

Описание параметра — Этот параметр указывает минимальную длину пароля для входа. Пароль должен содержать не менее трех символов. Однако администратор может указать большую минимальную длину. Этот параметр применяется при назначении новых паролей и при изменении или сбросе существующих паролей.

Область применения — вход в систему

Параметр Единица измерения — Количество символов (буквенно-цифровой)

Значение по умолчанию — 6

Кому разрешено вносить изменения? Покупатель

Ограничения операционной системы — нет

Системные ограничения базы данных — нет

Нелегальные пароли

Вы не можете выбрать первый символ любого пароля в виде знака вопроса (?) Или восклицательного знака (!). Вы также можете добавить другие символы, которые вы хотите ограничить в таблице недопустимых паролей.

Код транзакции — SM30 Название таблицы: USR40.

Нелегальные пароли

Как только вы войдете в таблицу USR40 и нажмете « Показать» вверху, она покажет вам список всех недопустимых паролей.

Недопустимые пароли

После того, как вы нажмете « Новые записи» , вы можете ввести новые значения в эту таблицу, а также установить флажок с учетом регистра.

Чувствительный к регистру флажок

Шаблон пароля

Вы также можете установить, чтобы первые три символа пароля не отображались в том же порядке, что и часть имени пользователя. Различные шаблоны паролей, которые могут быть ограничены с помощью политики паролей, включают:

  • Первые три символа не могут быть одинаковыми.
  • Первые три символа не могут содержать пробелы.
  • Пароль не может быть PASS или SAP.

Изменение пароля

В этой политике пользователю может быть разрешено менять свой пароль почти один раз в день, но администратор может менять пароль пользователя так часто, как это необходимо.

Пользователю не должно быть разрешено использовать последние пять паролей. Однако администратор может сбросить пароль, который ранее использовался пользователем.

Параметры профиля

Существуют различные параметры профиля, которые вы можете определить в системе SAP для управления пользователями и политики паролей.

В системе SAP вы можете просмотреть документацию для каждого параметра профиля, выбрав Инструменты → CCMS → Конфигурация → Ведение профиля (Транзакция: RZ11). Введите имя параметра и нажмите « Показать» .

Параметры профиля

В следующем окне, которое появляется, вы должны ввести имя параметра, вы можете увидеть 2 варианта —

Просмотр — для отображения значения параметров в системе SAP.

Показать документацию — для просмотра документации SAP по этому параметру.

Показать документ

При нажатии на кнопку «Дисплей» вы перейдете на экран « Ведение параметров профиля» . Вы можете увидеть следующие детали —

  • название
  • Тип
  • Критерий выбора
  • Группа параметров
  • Описание параметров и многое другое

Внизу у вас есть текущее значение параметра login / min_password_lng

Текущее значение параметра

Когда вы щелкнете по опции Показать документ , он покажет документацию SAP для параметра.

SAP-документация для параметра

Описание параметра

Этот параметр указывает минимальную длину пароля для входа. Пароль должен содержать не менее трех символов. Однако администратор может указать большую минимальную длину. Этот параметр применяется при назначении новых паролей и при изменении или сбросе существующих паролей.

Каждый параметр имеет значение по умолчанию, допустимое значение, как показано ниже —

Описание параметра

В системе SAP есть разные параметры пароля. Вы можете ввести каждый параметр в транзакцию RZ11 и просмотреть документацию.

  • Войти / min_password_diff
  • Вход / min_password_digits
  • Вход / min_password_letters
  • Вход / min_password_specials
  • Войти / min_password_lowercase
  • Войти / min_password_uppercase
  • Войти / disable_password_logon
  • Войти / password_charset
  • Войти / password_downwards_compatibility
  • Войти / password_compliance_to_current_policy

Чтобы изменить значение параметра, запустите транзакцию RZ10 и выберите профиль, как показано ниже:

  • Несколько серверов приложений — Используйте профиль DEFAULT.

  • Отдельные серверы приложений — используйте профиль экземпляра.

Несколько серверов приложений — Используйте профиль DEFAULT.

Отдельные серверы приложений — используйте профиль экземпляра.

Выберите Расширенное обслуживание и нажмите « Показать» .

Редактировать профили

Выберите параметр, который хотите изменить, и нажмите « Параметр» вверху.

параметр

При нажатии на вкладку «Параметр» вы можете изменить значение параметра в новом окне. Вы также можете создать новый параметр, нажав кнопку « Создать» (F5) .

Вы также можете увидеть статус параметра в этом окне. Введите значение параметра и нажмите « Копировать» .

Кнопка Копировать

Вам будет предложено сохранить при выходе из экрана. Нажмите Да, чтобы сохранить значение параметра.

1335
Share: