Учебники

SAP Security — Концепция авторизации системы

Август 13, 2018

Концепция авторизации системы SAP направлена ​​на защиту системы SAP от выполнения транзакций и программ от несанкционированного доступа. Не следует разрешать пользователям выполнять транзакции и программы в системе SAP, пока они не определили полномочия для этого действия.

Чтобы сделать вашу систему более безопасной и реализовать надежную авторизацию, вам необходимо пересмотреть свой план авторизации, чтобы убедиться, что он соответствует требованиям безопасности компании и не имеет нарушений безопасности.

Типы пользователей

В предыдущих выпусках системы SAP типы пользователей были разделены только на две категории — пользователи диалога и пользователи без диалога, и только пользователи без диалогов были рекомендованы для связи между двумя системами. В SAP 4.6C типы пользователей были разделены на следующие категории:

  • Пользователь диалога — этот пользователь используется для индивидуального доступа к интерактивной системе, и большая часть работы клиента выполняется с использованием пользователя диалога. Пароль может быть изменен самим пользователем. В диалоге пользователя, несколько диалоговых входов может быть предотвращено.

  • Пользователь службы — используется для интерактивного доступа к системе для выполнения некоторой предопределенной задачи, например, отображения каталога продуктов. Для этого пользователя разрешено несколько входов в систему, и только администратор может изменить пароль для этого пользователя.

  • Пользователь системы — этот идентификатор пользователя используется для выполнения большинства задач, связанных с системой — Система управления транспортом, Определение рабочих процессов и ALE. Это не интерактивный системно-зависимый пользователь, и этому пользователю разрешено несколько входов в систему.

  • Эталонный пользователь — Эталонный пользователь не используется для входа в систему SAP. Этот пользователь используется для предоставления дополнительной авторизации внутренним пользователям. В системе SAP вы можете перейти на вкладку Роли и указать ссылочного пользователя для дополнительных прав для пользователей диалогов.

  • Пользователи связи — этот тип пользователя используется для ведения диалога без входа в систему между различными системами, такими как RFC-соединение, CPIC. Вход в диалог с использованием SAP GUI невозможен для пользователей Communication. Пользовательский тип может изменять свои пароли, как обычные пользователи диалога. Функциональный модуль RFC можно использовать для смены пароля.

Пользователь диалога — этот пользователь используется для индивидуального доступа к интерактивной системе, и большая часть работы клиента выполняется с использованием пользователя диалога. Пароль может быть изменен самим пользователем. В диалоге пользователя, несколько диалоговых входов может быть предотвращено.

Пользователь службы — используется для интерактивного доступа к системе для выполнения некоторой предопределенной задачи, например, отображения каталога продуктов. Для этого пользователя разрешено несколько входов в систему, и только администратор может изменить пароль для этого пользователя.

Пользователь системы — этот идентификатор пользователя используется для выполнения большинства задач, связанных с системой — Система управления транспортом, Определение рабочих процессов и ALE. Это не интерактивный системно-зависимый пользователь, и этому пользователю разрешено несколько входов в систему.

Эталонный пользователь — Эталонный пользователь не используется для входа в систему SAP. Этот пользователь используется для предоставления дополнительной авторизации внутренним пользователям. В системе SAP вы можете перейти на вкладку Роли и указать ссылочного пользователя для дополнительных прав для пользователей диалогов.

Пользователи связи — этот тип пользователя используется для ведения диалога без входа в систему между различными системами, такими как RFC-соединение, CPIC. Вход в диалог с использованием SAP GUI невозможен для пользователей Communication. Пользовательский тип может изменять свои пароли, как обычные пользователи диалога. Функциональный модуль RFC можно использовать для смены пароля.

Код транзакции: SU01 используется для создания пользователя в системе SAP. На следующем экране вы можете увидеть различные типы пользователей в системе SAP в транзакции SU01.

Код транзакции SU01

Создание пользователя

Чтобы создать пользователя или нескольких пользователей с разными правами доступа в системе SAP, выполните следующие действия.

Шаг 1 — Используйте код транзакции — SU01 .

Шаг 2 — Введите имя пользователя, которое вы хотите создать, нажмите на иконку создания, как показано на следующем скриншоте.

Создание пользователя

Шаг 3 — Вы будете перенаправлены на следующую вкладку — вкладку Адрес. Здесь вам необходимо ввести такие данные, как имя, фамилия, номер телефона, идентификатор электронной почты и т. Д.

Адрес

Шаг 4 — Далее вы будете перенаправлены на следующую вкладку — Данные для входа . Введите тип пользователя на вкладке «Данные входа». У нас есть пять разных типов пользователей.

диалог

Шаг 5 — Введите первый пароль для входа в систему → Новый пароль → Повторить пароль.

новый пароль

Шаг 6 — Вы будете перенаправлены на следующую вкладку — Роли — назначьте роли пользователю.

Следующая вкладка

Шаг 7 — Далее вы будете перенаправлены на следующую вкладку — Профили — назначьте Профили пользователям.

Назначить профиль пользователям

Шаг 8 — Нажмите Сохранить, чтобы получить подтверждение.

Центральное управление пользователями (CUA)

Центральное администрирование пользователей является одной из ключевых концепций, которая позволяет управлять всеми пользователями в системном ландшафте SAP с помощью центральной системы. Используя этот инструмент, вы можете централизованно управлять всеми основными записями пользователей в одной системе. Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

Преимущества центрального администрирования пользователей:

  • При настройке CUA в ландшафте SAP вы можете создавать или удалять пользователей, используя только центральную систему.

  • Все необходимые роли и полномочия существуют в дочерней системе в активных формах.

  • Все пользователи контролируются и управляются централизованно, что упрощает задачу администрирования и обеспечивает более четкое представление обо всех действиях по управлению пользователями в сложной системной среде.

  • Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

При настройке CUA в ландшафте SAP вы можете создавать или удалять пользователей, используя только центральную систему.

Все необходимые роли и полномочия существуют в дочерней системе в активных формах.

Все пользователи контролируются и управляются централизованно, что упрощает задачу администрирования и обеспечивает более четкое представление обо всех действиях по управлению пользователями в сложной системной среде.

Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

Обмен данными осуществлялся с использованием ландшафта ALE, называемого Application Link Enabling, который позволяет осуществлять обмен данными контролируемым образом. ALE используется центральным администратором пользователей для обмена данными с дочерними системами в системном ландшафте SAP.

В сложной ландшафтной среде вы определяете одну систему как центральную систему со средой ALE, и это связано со всеми дочерними системами, использующими двунаправленный обмен данными. Дочерние системы в ландшафте не связаны друг с другом.

Для реализации централизованного администрирования пользователей необходимо учитывать следующие моменты:

  • Вам нужна среда SAP с несколькими клиентами в одной / распределенной среде.

  • Администратор для управления пользователями, требуется авторизация на следующих кодах транзакций —

    • SU01

    • SCC4

    • SCUA

    • SCUM

    • SM59

    • BD54

    • BD64

  • Вы должны создать доверительные отношения между системами.

  • Вы должны создавать пользователей системы в центральной и дочерней системе.

  • Создать логическую систему и назначить логическую систему соответствующему клиенту.

  • Создайте вид модели и BAPI для вида модели.

  • Создайте Central User Administrator и установите параметры распределения для полей.

  • Синхронизировать адреса компаний

  • Передача пользователей

Вам нужна среда SAP с несколькими клиентами в одной / распределенной среде.

Администратор для управления пользователями, требуется авторизация на следующих кодах транзакций —

SU01

SCC4

SCUA

SCUM

SM59

BD54

BD64

Вы должны создать доверительные отношения между системами.

Вы должны создавать пользователей системы в центральной и дочерней системе.

Создать логическую систему и назначить логическую систему соответствующему клиенту.

Создайте вид модели и BAPI для вида модели.

Создайте Central User Administrator и установите параметры распределения для полей.

Синхронизировать адреса компаний

Передача пользователей

В централизованно управляемой среде сначала необходимо создать администратора. Войдите во все логические системы будущего CUA как пользователь SAP * с паролем по умолчанию PASS.

Запустите транзакцию SU01 и создайте пользователя с назначенной ему ролью администратора.

SU01

Для определения логической системы используйте транзакцию BD54. Нажмите на Новые записи, чтобы создать новую логическую систему.

Изменить представление логических систем

Создайте новое логическое имя заглавными буквами для Central User Administration для центральной и всех дочерних систем, в том числе из других систем SAP.

Новое логическое имя

Чтобы легко идентифицировать систему, у вас есть следующее соглашение об именах, которое можно использовать для идентификации системы централизованного администрирования пользователей:

<Идентификатор системы> CLNT <клиент>

Введите некоторое полезное описание логической системы. Сохраните свою запись, нажав на кнопку Сохранить . Далее следует создать логическое имя системы для центральной системы во всех дочерних системах.

Чтобы назначить клиенту логическую систему, используйте транзакцию SCC4 и переключитесь в режим изменения.

Показать представление

Откройте клиент, которого вы хотите назначить для логической системы, дважды щелкнув мышью или нажав кнопку « Подробнее» . Клиент может быть назначен только одной логической системе.

В поле логической системы в деталях клиента введите логическое имя системы, которой вы хотите назначить этого клиента.

Логическая система

Выполните описанные выше шаги для всех клиентов в среде SAP, которые вы хотите включить в Central User Administrator. Чтобы сохранить настройки, нажмите кнопку « Сохранить» вверху.

Сохранить

Защита определенных профилей в SAP

Для обеспечения безопасности в системе SAP необходимо поддерживать определенные профили, которые содержат критические полномочия. Существуют различные профили авторизации SAP, которые необходимо защитить в системе SAP с полной авторизацией.

Несколько профилей, которые необходимо защитить в системе SAP, —

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

SAP_ALL Профиль авторизации

Профиль авторизации SAP_ALL позволяет пользователю выполнять все задачи в системе SAP. Это составной профиль, который содержит все полномочия в системе SAP. Пользователи с этой авторизацией могут выполнять все действия в системе SAP, поэтому этот профиль не следует назначать ни одному пользователю в вашей системе.

Рекомендуется поддерживать одного пользователя с профилем. При этом пароль должен быть надежно защищен для этого пользователя и использоваться только тогда, когда это необходимо.

Вместо назначения полномочий SAP_ALL следует назначить отдельные полномочия соответствующим пользователям. Ваш системный суперпользователь / системное администрирование, вместо того, чтобы назначать им полномочия SAP_ALL, вы должны использовать индивидуальные необходимые полномочия.

Авторизация Sap

Авторизация SAP_NEW

Авторизация SAP_NEW содержит все полномочия, которые требуются в новом выпуске. После завершения обновления системы этот профиль используется для правильного выполнения некоторых задач.

Вы должны помнить следующие пункты об этой авторизации —

  • При выполнении обновления системы необходимо удалить профили SAP_NEW для выпусков до этого.

  • Вам необходимо назначить отдельные полномочия в профиле SAP_NEW для разных пользователей в вашей среде.

  • Этот профиль не должен оставаться активным слишком долго.

  • Когда у вас есть длинный список профилей SAP_NEW в среде, это показывает, что вам необходимо пересмотреть свою политику авторизации в системе.

При выполнении обновления системы необходимо удалить профили SAP_NEW для выпусков до этого.

Вам необходимо назначить отдельные полномочия в профиле SAP_NEW для разных пользователей в вашей среде.

Этот профиль не должен оставаться активным слишком долго.

Когда у вас есть длинный список профилей SAP_NEW в среде, это показывает, что вам необходимо пересмотреть свою политику авторизации в системе.

профили

Чтобы просмотреть список всех профилей SAP_NEW, вы должны выбрать этот профиль, дважды щелкнув, а затем → перейти к выбору .

выберите

P_BAS_ALL Авторизация

Эта авторизация позволяет пользователю просматривать содержимое таблиц из других приложений. Эта авторизация содержит авторизацию P_TABU_DIS . Эта авторизация позволяет пользователю PA видеть содержимое таблицы, которая не принадлежит их группе.

Обслуживание ролей PFCG

Обслуживание ролей PFCG может использоваться для управления ролями и авторизацией в системе SAP. В PFCG роль представляет собой работу, которую человек выполняет, связанную с реальными сценариями. PFCG позволяет вам определять набор транзакций, которые могут быть назначены человеку для выполнения его повседневной работы.

Когда роли создаются в транзакции PFCG, вы можете использовать транзакцию SU01 для назначения этих ролей отдельным пользователям. Пользователю в системе SAP может быть назначено несколько ролей, которые связаны с его / ее повседневными задачами в реальной жизни.

Эти роли связаны между пользователем и полномочиями в системе SAP. Фактические полномочия и профили хранятся в виде объектов в системе SAP.

Используя PFCG Role Maintenance, вы можете выполнять следующие функции:

  • Изменение и назначение ролей
  • Создание ролей
  • Создание составных ролей
  • Транспортировка и распределение ролей

Давайте теперь обсудим эти функции подробно.

Изменение и назначение ролей

Выполнить транзакцию: PFCG

PFCG

Это приведет вас к окну обслуживания ролей. Чтобы изменить существующую роль, введите имя поставленной роли в поле.

Обслуживание ролей

Скопируйте стандартную роль, нажав кнопку «Копировать роль». Введите имя из пространства имен. Нажмите на кнопку выбора значения и выберите роль, в которую вы хотите скопировать это.

Вы также можете выбрать поставленные роли SAP, начиная с SAP_, но тогда роли по умолчанию будут перезаписаны.

Перезаписанная

Чтобы изменить роль, нажмите кнопку « Изменить» в разделе «Обслуживание ролей».

Кнопка Изменить

Перейдите на вкладку «Меню», чтобы изменить меню пользователя на вкладке «Меню». Перейдите на вкладку «Авторизация», чтобы изменить данные авторизации для этого пользователя.

Авторизации

Вы также можете использовать Экспертный режим, чтобы настроить полномочия для изменений меню в разделе Авторизация. Нажмите кнопку «Создать», чтобы создать профиль для этой роли.

Изменить полномочия

Чтобы назначить пользователям эту роль, перейдите на вкладку «Пользователь» в параметре «Роль изменений». Чтобы назначить пользователю эту роль, она должна существовать в системе.

пользователь

Вы также можете выполнить сравнение пользователей, если это необходимо. Нажмите на опцию Сравнение пользователей. Вы также можете нажать кнопку «Информация», чтобы узнать больше об отдельных и составных ролях и параметре «Сравнение пользователей» для сравнения основных записей.

Сравнение пользователей

Создание ролей в PFCG

Вы можете создавать как отдельные роли, так и составные роли в PFCG. Введите имя роли и нажмите «Создать отдельные или составные роли», как показано на снимке экрана ниже.

Создать одну роль

Вы можете выбрать из пространства имен клиента, как Y_ или Z_. Поставленные роли SAP начинаются с SAP_, и вы не можете взять имя из поставленных ролей SAP.

После того, как вы нажмете кнопку Создать роль, вы должны добавить Транзакции, Отчеты и Веб-адреса на вкладке МЕНЮ в определении роли.

Вкладка МЕНЮ

Перейдите на вкладку «Авторизация», чтобы создать профиль, нажмите «Изменить данные авторизации».

Опция данных авторизации

В соответствии с выбранным видом деятельности вам предлагается ввести организационные уровни. Когда вы вводите конкретное значение в диалоговом окне, поля авторизации роли автоматически сохраняются.

Вы можете адаптировать ссылку для ролей. Как только определение роли выполнено, вам нужно сгенерировать роль. Нажмите на Generate (Shift + F5).

Shift F5

В этой структуре, когда вы видите красный светофор, он показывает организационные уровни без значений. Вы можете ввести и изменить организационные уровни с помощью Организационных уровней рядом с вкладкой Поддерживаемые.

Введите имя профиля и щелкните опцию галочки, чтобы завершить шаг создания.

Вариант галочки

Нажмите Сохранить, чтобы сохранить профиль. Вы можете напрямую назначить эту роль пользователям, перейдя на вкладки Пользователь. Аналогичным образом вы можете создавать составные роли, используя опцию обслуживания ролей PFCG.

Транспортировка и распределение ролей

Запустите транзакцию — PFCG, введите имя роли, которую вы хотите транспортировать, и нажмите Транспортная роль.

коммунальные услуги

Вы доберетесь до роли транспортной опции. У вас есть несколько вариантов в разделе Транспортные роли —

  • Транспортируйте отдельные роли для составных ролей.
  • Транспортируйте сгенерированные профили для ролей.
  • Персонализация данных.

Роль транспорта

В следующем диалоговом окне вы должны указать назначение пользователя, и данные персонализации также должны быть перенесены. Если пользовательские назначения также переносятся, они заменят все пользовательские назначения ролей в целевой системе.

Чтобы заблокировать систему, чтобы пользовательские назначения ролей не могли быть импортированы, введите ее в таблицу настройки PRGN_CUST с помощью транзакции SM30 и выберите поле значения USER_REL_IMPORT номер .

Незамедлительный

Эта роль вводится в запросе на настройку. Вы можете просмотреть это с помощью транзакции SE10 .

Транзакция SE10

В запросе настройки профили авторизации переносятся вместе с ролями.

Информация об авторизации транзакции системы — SUIM

В управлении авторизацией SUIM является ключевым инструментом, с помощью которого можно найти профили пользователей в системе SAP, а также назначить эти профили этому идентификатору пользователя. SUIM предоставляет начальный экран с параметрами поиска пользователей, ролей, профилей, авторизаций, транзакций и сравнения.

Чтобы открыть Информационную систему пользователя, запустите транзакцию: SUIM .

Информационная система пользователя

В информационной системе пользователя имеются разные узлы, которые можно использовать для выполнения различных функций в системе SAP. Как и в пользовательском узле, вы можете выполнять поиск пользователей на основе критериев выбора. Вы можете получить заблокированный список пользователей, пользователей, имеющих доступ к определенному набору транзакций и т. Д.

Когда вы раскрываете каждую вкладку, у вас есть возможность создавать разные отчеты на основе разных критериев выбора. Как и при расширении вкладки пользователя, у вас есть следующие опции —

Состав

Когда вы нажимаете на пользователей по сложным критериям выбора, вы можете применять несколько условий выбора одновременно. На следующем снимке экрана показаны различные критерии выбора.

Критерии выбора

Ролевый узел

Аналогичным образом вы можете получить доступ к различным узлам, таким как роли, профили, полномочия и различные другие параметры в этой информационной системе пользователя.

Вы также можете использовать инструмент SUIM для поиска ролей и профилей. Вы можете назначить список транзакций определенному набору идентификаторов пользователей, выполнив поиск по транзакциям и назначению в SUIM и назначив эти роли этому идентификатору пользователя.

информация о пользователе

Используя Информационную систему пользователя, вы можете выполнять различные поиски в системе SAP. Вы можете ввести различные критерии выбора и получить отчеты на основе пользователей, профилей, ролей, транзакций и других критериев.

RSUSR002 — Пользователи по сложным критериям выбора.

312
Share: