Учебники

SAP Security — Краткое руководство

SAP Security — Обзор

В распределенной среде SAP всегда необходимо защищать критически важную информацию и данные от несанкционированного доступа. Человеческие ошибки, неправильное предоставление доступа не должно допускать несанкционированного доступа к какой-либо системе, поэтому необходимо поддерживать и просматривать политики профилей и политики безопасности системы в вашей среде SAP.

Для обеспечения безопасности системы вы должны хорошо понимать профили доступа пользователей, политики паролей, методы шифрования данных и авторизации, которые будут использоваться в системе. Следует регулярно проверять SAP System Landscape и отслеживать все изменения, вносимые в конфигурацию и профили доступа.

Стандартные суперпользователи должны быть хорошо защищены, а параметры и значения профиля пользователя должны быть тщательно установлены в соответствии с требованиями безопасности системы.

Во время связи по сети вы должны понимать, что топология сети и сетевые службы должны быть проверены и включены после значительных проверок. Данные по сети должны быть хорошо защищены с помощью закрытых ключей.

Почему требуется безопасность?

Чтобы получить доступ к информации в распределенной среде, существует вероятность того, что критическая информация и данные попадут в несанкционированный доступ и система безопасности будет нарушена из-за отсутствия политик паролей, неудовлетворительного обслуживания стандартных суперпользователей или по каким-либо другим причинам.

Вот несколько основных причин нарушения доступа в системе SAP:

  • Политика надежных паролей не поддерживается.

  • Обычные пользователи, суперпользователи, пользователи БД не обслуживаются должным образом и пароли не меняются регулярно.

  • Параметры профиля определены неправильно.

  • Неудачные попытки входа в систему не отслеживаются, и не определены политики завершения сеанса неактивного пользователя.

  • Безопасность сетевой связи не учитывается при отправке данных через Интернет и не требует использования ключей шифрования.

  • Пользователи базы данных не обслуживаются должным образом, и никакие меры безопасности не учитываются при настройке информационной базы данных.

  • Единая регистрация не настроена должным образом и не поддерживается в среде SAP.

Политика надежных паролей не поддерживается.

Обычные пользователи, суперпользователи, пользователи БД не обслуживаются должным образом и пароли не меняются регулярно.

Параметры профиля определены неправильно.

Неудачные попытки входа в систему не отслеживаются, и не определены политики завершения сеанса неактивного пользователя.

Безопасность сетевой связи не учитывается при отправке данных через Интернет и не требует использования ключей шифрования.

Пользователи базы данных не обслуживаются должным образом, и никакие меры безопасности не учитываются при настройке информационной базы данных.

Единая регистрация не настроена должным образом и не поддерживается в среде SAP.

Чтобы преодолеть все вышеперечисленные причины, необходимо определить политики безопасности в своей среде SAP. Должны быть определены параметры безопасности и политика паролей должна пересматриваться через регулярные промежутки времени.

Безопасность базы данных является одним из важнейших компонентов защиты вашей среды SAP. Поэтому необходимо управлять пользователями вашей базы данных и следить за тем, чтобы пароли были хорошо защищены.

В системе должен применяться следующий механизм безопасности для защиты среды SAP от любого несанкционированного доступа:

  • Аутентификация и управление пользователями
  • Безопасность сетевых коммуникаций
  • Защита обычных пользователей и суперпользователей
  • Защита от неудачного входа
  • Параметры профиля и политики паролей
  • SAP System Security в Unix и платформе Windows
  • Концепция единого входа

Политика безопасности SAP

Таким образом, безопасность в системе SAP требуется в распределенной среде, и вы должны быть уверены, что ваши данные и процессы соответствуют потребностям вашего бизнеса, не допуская несанкционированного доступа к важной информации. В системе SAP человеческие ошибки, халатность или попытки манипулирования системой могут привести к потере важной информации.

Аутентификация и управление пользователями

Если неавторизованный пользователь может получить доступ к системе SAP от имени известного авторизованного пользователя и может вносить изменения в конфигурацию и управлять конфигурацией системы и ключевыми политиками. Если авторизованный пользователь имеет доступ к важным данным и информации системы, то этот пользователь также может получить доступ к другой важной информации. Это расширяет возможности использования безопасной аутентификации для защиты доступности, целостности и конфиденциальности пользовательской системы.

Механизм аутентификации в системе SAP

Механизм аутентификации определяет способ доступа к вашей системе SAP. Существуют различные методы проверки подлинности:

  • Идентификаторы пользователей и инструменты управления пользователями
  • Безопасная сетевая связь
  • SAP Logon Билеты
  • Клиентские сертификаты X.509

Идентификаторы пользователей и инструменты управления пользователями

Наиболее распространенный метод аутентификации в системе SAP — использование имени пользователя и пароля для входа в систему. Идентификаторы пользователя для входа создаются администратором SAP. Чтобы обеспечить механизм безопасной аутентификации с помощью имени пользователя и пароля, необходимо определить политики паролей, которые не позволяют пользователям устанавливать легко предсказуемый пароль.

SAP предоставляет различные параметры по умолчанию, которые вы должны установить для определения политик паролей: длина пароля, сложность пароля, смена пароля по умолчанию и т. Д.

Идентификатор пользователя

Инструменты управления пользователями в системе SAP

Система SAP NetWeaver предоставляет различные инструменты управления пользователями, которые можно использовать для эффективного управления пользователями в вашей среде. Они обеспечивают очень строгий метод аутентификации для обоих типов серверов приложений NetWeaver — Java и ABAP.

Некоторые из наиболее распространенных инструментов управления пользователями —

Управление пользователями для сервера приложений ABAP (код транзакции: SU01)

Вы можете использовать Transaction-Code SU01 для управления пользователями для поддержки пользователей на серверах приложений на базе ABAP.

Инструмент управления пользователями

SAP NetWeaver Identity Management

Вы можете использовать SAP NetWeaver Identity Management для управления пользователями, а также для управления ролями и назначениями ролей в вашей среде SAP.

Показать личность

PFCG Роли

Вы можете использовать генератор профилей PFCG для создания ролей и назначения полномочий пользователям в системах на основе ABAP.

Код транзакции — PFCG

Показать документацию

Центральное управление пользователями

Вы можете использовать CUA для поддержки пользователей для нескольких систем на основе ABAP. Вы также можете синхронизировать его с вашими серверами каталогов. Используя этот инструмент, вы можете централизованно управлять всей основной записью пользователя с клиента системы.

Код транзакции — SCUA и создание модели распределения.

Центральное управление пользователями

Механизм управления пользователями UME

Вы можете использовать роли UME для управления авторизацией пользователей в системе. Администратор может использовать действия, которые представляют наименьший объект роли UME, который пользователь может использовать для создания прав доступа.

Вы можете открыть консоль администрирования UME, используя опцию администратора SAP NetWeaver.

Политика паролей

Политика паролей определяется как набор инструкций, которым пользователь должен следовать, чтобы повысить безопасность системы, используя надежные пароли и используя их правильно. Во многих организациях политика паролей является частью обучения по вопросам безопасности, и пользователи обязаны поддерживать политику безопасности критически важных систем и информации в организации.

Используя политику паролей в системе SAP, администратор может настроить пользователей системы для развертывания надежных паролей, которые нелегко взломать. Это также помогает менять пароль через регулярные промежутки времени для обеспечения безопасности системы.

Следующие политики паролей обычно используются в системе SAP —

Default / Initial Password Change

Это позволяет пользователям изменять первоначальный пароль сразу при первом использовании.

Длина пароля

В системе SAP минимальная длина паролей в системах SAP по умолчанию равна 3. Это значение можно изменить с помощью параметра профиля. Максимально допустимая длина — 8.

Код транзакции — RZ11

Имя параметра — логин / min_password_lng

Поддерживать параметры профиля

Вы можете нажать на документацию по параметру профиля для этой политики, и вы можете увидеть подробную документацию от SAP следующим образом:

Помощник по производительности

Параметр — логин / min_password_lng

Краткий текст — минимальная длина пароля

Описание параметра — Этот параметр указывает минимальную длину пароля для входа. Пароль должен содержать не менее трех символов. Однако администратор может указать большую минимальную длину. Этот параметр применяется при назначении новых паролей и при изменении или сбросе существующих паролей.

Область применения — вход в систему

Параметр Единица измерения — Количество символов (буквенно-цифровой)

Значение по умолчанию — 6

Кому разрешено вносить изменения? Покупатель

Ограничения операционной системы — нет

Системные ограничения базы данных — нет

Нелегальные пароли

Вы не можете выбрать первый символ любого пароля в виде знака вопроса (?) Или восклицательного знака (!). Вы также можете добавить другие символы, которые вы хотите ограничить в таблице недопустимых паролей.

Код транзакции — SM30 Название таблицы: USR40.

Нелегальные пароли

Как только вы войдете в таблицу USR40 и нажмете « Показать» вверху, она покажет вам список всех недопустимых паролей.

Недопустимые пароли

После того, как вы нажмете « Новые записи» , вы можете ввести новые значения в эту таблицу, а также установить флажок с учетом регистра.

Чувствительный к регистру флажок

Шаблон пароля

Вы также можете установить, чтобы первые три символа пароля не отображались в том же порядке, что и часть имени пользователя. Различные шаблоны паролей, которые могут быть ограничены с помощью политики паролей, включают:

  • Первые три символа не могут быть одинаковыми.
  • Первые три символа не могут содержать пробелы.
  • Пароль не может быть PASS или SAP.

Изменение пароля

В этой политике пользователю может быть разрешено менять свой пароль почти один раз в день, но администратор может менять пароль пользователя так часто, как это необходимо.

Пользователю не должно быть разрешено использовать последние пять паролей. Однако администратор может сбросить пароль, который ранее использовался пользователем.

Параметры профиля

Существуют различные параметры профиля, которые вы можете определить в системе SAP для управления пользователями и политики паролей.

В системе SAP вы можете просмотреть документацию для каждого параметра профиля, выбрав Инструменты → CCMS → Конфигурация → Ведение профиля (Транзакция: RZ11). Введите имя параметра и нажмите « Показать» .

Параметры профиля

В следующем окне, которое появляется, вы должны ввести имя параметра, вы можете увидеть 2 варианта —

Просмотр — для отображения значения параметров в системе SAP.

Показать документацию — для просмотра документации SAP по этому параметру.

Показать документ

При нажатии на кнопку «Дисплей» вы перейдете на экран « Ведение параметров профиля» . Вы можете увидеть следующие детали —

  • название
  • Тип
  • Критерий выбора
  • Группа параметров
  • Описание параметров и многое другое

Внизу у вас есть текущее значение параметра login / min_password_lng

Текущее значение параметра

Когда вы щелкнете по опции Показать документ , он покажет документацию SAP для параметра.

SAP-документация для параметра

Описание параметра

Этот параметр указывает минимальную длину пароля для входа. Пароль должен содержать не менее трех символов. Однако администратор может указать большую минимальную длину. Этот параметр применяется при назначении новых паролей и при изменении или сбросе существующих паролей.

Каждый параметр имеет значение по умолчанию, допустимое значение, как показано ниже —

Описание параметра

В системе SAP есть разные параметры пароля. Вы можете ввести каждый параметр в транзакцию RZ11 и просмотреть документацию.

  • Войти / min_password_diff
  • Вход / min_password_digits
  • Вход / min_password_letters
  • Вход / min_password_specials
  • Войти / min_password_lowercase
  • Войти / min_password_uppercase
  • Войти / disable_password_logon
  • Войти / password_charset
  • Войти / password_downwards_compatibility
  • Войти / password_compliance_to_current_policy

Чтобы изменить значение параметра, запустите транзакцию RZ10 и выберите профиль, как показано ниже:

  • Несколько серверов приложений — Используйте профиль DEFAULT.

  • Отдельные серверы приложений — используйте профиль экземпляра.

Несколько серверов приложений — Используйте профиль DEFAULT.

Отдельные серверы приложений — используйте профиль экземпляра.

Выберите Расширенное обслуживание и нажмите « Показать» .

Редактировать профили

Выберите параметр, который хотите изменить, и нажмите « Параметр» вверху.

параметр

При нажатии на вкладку «Параметр» вы можете изменить значение параметра в новом окне. Вы также можете создать новый параметр, нажав кнопку « Создать» (F5) .

Вы также можете увидеть статус параметра в этом окне. Введите значение параметра и нажмите « Копировать» .

Кнопка Копировать

Вам будет предложено сохранить при выходе из экрана. Нажмите Да, чтобы сохранить значение параметра.

значение параметра

SAP Security — сетевые коммуникации

Безопасная сетевая связь (SNC) также может использоваться для входа на сервер приложений с использованием метода безопасной аутентификации. Вы можете использовать SNC для аутентификации пользователя через SAP GUI для окон или с помощью RFC-соединения.

SNC использует внешний продукт безопасности для проверки подлинности между партнерами по связи. Вы можете использовать меры безопасности, такие как инфраструктура открытых ключей PKI, и процедуры для генерации и распределения пар ключей.

Вы должны определить топологию сети, которая может устранить угрозы и предотвратить сетевые атаки. Когда пользователи не могут войти на уровень приложения или базы данных, злоумышленники не могут получить доступ к системе SAP или системе базы данных для доступа к критической информации.

Четко определенная топология сети не позволяет злоумышленникам подключаться к локальной сети компании и, следовательно, не имеет доступа к бреям в системе безопасности в сетевых службах или в системе SAP.

Топология сети в системе SAP

Архитектура вашей физической сети полностью зависит от размера вашей системы SAP. Система SAP обычно реализуется с архитектурой клиент-сервер, и каждая система обычно делится на следующие три уровня:

  • Уровень базы данных
  • Уровень приложений
  • Уровень представления

Когда ваша система SAP небольшая, у нее может не быть отдельного сервера приложений и базы данных. Однако в большой системе многие серверы приложений взаимодействуют с сервером базы данных и несколькими внешними интерфейсами. Это определяет топологию сети системы от простого к сложному, и вы должны учитывать различные сценарии при организации топологии сети.

В крупномасштабной организации рекомендуется устанавливать сервер приложений и базы данных на разных компьютерах и размещать их в отдельной локальной сети от внешней системы.

На следующем изображении вы видите предпочтительную топологию сети системы SAP —

Предпочтительная топология сети

Когда вы размещаете свою базу данных и сервер приложений в отдельной VLAN от внешней VLAN, это позволяет вам улучшить систему контроля доступа и, следовательно, повысить безопасность вашей системы SAP. Системы внешнего интерфейса находятся в разных VLAN, поэтому нелегко войти в VLAN сервера и, следовательно, обойти защиту вашей системы SAP.

Сетевые сервисы SAP

В вашей системе SAP есть различные сервисы, которые включены, но для запуска системы SAP требуется всего несколько. В системе SAP серверы ландшафта , базы данных и приложений являются наиболее распространенной целью сетевых атак. Многие сетевые службы работают в вашей среде, что позволяет получить доступ к этим серверам, и эти службы должны тщательно контролироваться.

На ваших компьютерах с Window / UNIX эти службы поддерживаются в / etc / services . Вы можете открыть этот файл на компьютере с Windows, перейдя по следующему пути —

system32 / драйверы / и т.д. / услуги

Windows Machine

Вы можете открыть этот файл в блокноте и просмотреть все активированные сервисы на вашем сервере —

Услуги Блокнот

Рекомендуется отключить все ненужные службы на ландшафтных серверах. Иногда эти сервисы содержат несколько ошибок, которые могут быть использованы злоумышленниками для получения несанкционированного доступа. Когда вы отключаете эти службы, вы уменьшаете вероятность атаки на вашу сеть.

Для высокого уровня безопасности также рекомендуется использовать статические файлы паролей в вашей среде SAP.

Частные ключи

SNC использует внешний продукт безопасности для проверки подлинности между партнерами по коммуникации. Вы можете использовать меры безопасности, такие как инфраструктура открытых ключей (PKI) и другие процедуры, для генерации и распространения пар ключей и для обеспечения надлежащей защиты личных ключей пользователей.

Существуют разные способы защиты закрытых ключей для сетевой авторизации.

  • Аппаратное решение
  • Программное решение

Давайте теперь обсудим их подробно.

Аппаратное решение

Вы можете защитить личные ключи для пользователей, используя аппаратное решение, при котором вы выдаете смарт-карту отдельным пользователям. Все ключи хранятся на смарт-карте, и пользователь должен пройти аутентификацию на своих смарт-картах с помощью биометрических данных, используя отпечатки пальцев или пароль PIN.

Эти смарт-карты должны быть защищены от кражи или потери каждым отдельным пользователем, и пользователи могут использовать карту для шифрования документов.

Пользователям не разрешается делиться смарт-картами или передавать их другим пользователям.

Программное решение

Также возможно использование программного решения для хранения приватных ключей для отдельных пользователей. Программное решение является менее дорогим решением по сравнению с аппаратным решением, но оно также менее безопасно.

Аппаратное решение для хранения приватных ключей

Когда пользователи хранят личные ключи в файлах и сведениях о пользователях, необходимо защитить эти файлы от несанкционированного доступа.

SAP Security — защита обычных пользователей

Когда вы устанавливаете систему SAP в первый раз, есть несколько пользователей по умолчанию, которые создаются для выполнения административных задач. По умолчанию в среде SAP создаются три клиента, которые:

  • Клиент 000 — Справочный клиент SAP

  • Клиент 001 — Шаблон клиента от SAP

  • Клиент 066 — Клиент раннего наблюдения SAP

Клиент 000 — Справочный клиент SAP

Клиент 001 — Шаблон клиента от SAP

Клиент 066 — Клиент раннего наблюдения SAP

SAP создает стандартных пользователей в вышеупомянутом клиенте в системе. Каждый стандартный пользователь имеет свой собственный пароль по умолчанию при первой установке.

Стандартные пользователи в системе SAP включают следующих пользователей под клиентом по умолчанию —

пользователь подробности клиент Пароль по умолчанию
SAP SAP System Super User 000, 001, 066 6071992
Все новые клиенты ПРОХОДИТЬ
DDIC ABAP Dictionary Super User 000, 001 19920706
SAPCPIC Пользователь CPI-C для SAP 000, 001 админ
EarlyWatch Пользователь раннего наблюдения 66 служба поддержки

Это стандартные пользователи в разделе Клиенты SAP по умолчанию для выполнения задач администрирования и конфигурации в системе SAP. Чтобы поддерживать безопасность в системе SAP, вы должны защищать этих пользователей —

  • Вы должны добавить этих пользователей в группу SUPER, чтобы они были изменены только администратором, который имеет право добавлять / изменять пользователей в группу SUPER.

  • Пароль по умолчанию для обычных пользователей должен быть изменен.

Вы должны добавить этих пользователей в группу SUPER, чтобы они были изменены только администратором, который имеет право добавлять / изменять пользователей в группу SUPER.

Пароль по умолчанию для обычных пользователей должен быть изменен.

Как просмотреть список клиентов в системе SAP?

Вы можете просмотреть список всех клиентов в вашей среде SAP с помощью транзакции SM30 , отобразить таблицу T000 .

Стол Т000

Когда вы войдете в таблицу и нажмете « Показать» , она покажет вам список всех клиентов вашей системы SAP. В этой таблице приведены сведения обо всех клиентах по умолчанию и новых клиентах, которые вы создаете в среде для совместного использования ресурсов.

Среда для совместного использования ресурсов

Вы можете использовать отчет RSUSR003, чтобы убедиться, что пользователь SAP был создан на всех клиентах и ​​что стандартные пароли были изменены для SAP, DDIC и SAPCPIC.

Перейдите в ABAP Editor SE38, введите имя отчета и нажмите «ВЫПОЛНИТЬ».

ABAP Editor

Введите заголовок отчета и нажмите кнопку « Выполнить» . В нем будут отображаться все клиенты и стандартные пользователи в системе SAP, статус пароля, причина использования блокировки, действительный от и действительный до и т. Д.

Тестовое задание

Защита суперпользователя системы SAP

Чтобы защитить суперпользователя SAP System «SAP», вы можете выполнить следующие шаги в системе:

Шаг 1 — Вам необходимо определить нового Суперпользователя в системе SAP и деактивировать пользователя SAP. Обратите внимание, что вы не должны удалять пользователя SAP в системе. Чтобы деактивировать пользователя с жестким кодом, вы можете использовать параметр профиля: login / no_automatic_user_sapstar.

Если основная запись пользователя пользователя SAP * удалена, можно войти в систему с «SAP» и исходным паролем PASS.

Пользователь «SAP» обладает следующими свойствами:

Пользователь имеет полные полномочия, поскольку проверки полномочий не выполняются.

  • Пароль PASS по умолчанию изменить нельзя.

  • Вы можете использовать параметр профиля login / no_automatic_user_sapstar, чтобы отключить эти специальные свойства SAP и управлять автоматическим входом в систему пользователя SAP *.

Пароль PASS по умолчанию изменить нельзя.

Вы можете использовать параметр профиля login / no_automatic_user_sapstar, чтобы отключить эти специальные свойства SAP и управлять автоматическим входом в систему пользователя SAP *.

Шаг 2 — Чтобы проверить значение этого параметра, запустите транзакцию RZ11 и введите имя параметра.

Запустить транзакцию

дисплей

Допустимые значения — 0, 1, в которых —

  • 0 — автоматический пользовательский SAP * допустим.

  • 1 — автоматический пользовательский SAP * деактивирован.

0 — автоматический пользовательский SAP * допустим.

1 — автоматический пользовательский SAP * деактивирован.

Шаг 3 — В следующей системе вы видите, что значение этого параметра установлено в 1. Это показывает, что суперпользователь «SAP» деактивирован в системе.

Шаг 4 — Нажмите на Display, и вы увидите текущее значение этого параметра.

Кнопка дисплея

Чтобы создать нового суперпользователя в системе, определите новую основную запись пользователя и назначьте профиль SAP_ALL этому суперпользователю.

DDIC Защита пользователей

Пользователь DDIC требуется для выполнения определенных задач, связанных с логистикой программного обеспечения, словарем ABAP и задачами, связанными с установкой и обновлением. Чтобы защитить этого пользователя, рекомендуется заблокировать этого пользователя в системе SAP. Вы не должны удалять этого пользователя, чтобы выполнить несколько функций для будущего использования.

Чтобы заблокировать пользователя, используйте код транзакции: SU01 .

DDIC Защита пользователей

Если вы хотите защитить этого пользователя, вы можете назначить ему авторизацию SAP_ALL во время установки, а затем заблокировать ее.

Защита пользователя SAPCPIC

Пользователь SAPCPIC используется для вызова определенных программ и функциональных модулей в системе SAP и является пользователем без диалогов.

Вы должны заблокировать этого пользователя и изменить пароль для этого пользователя, чтобы защитить его. В предыдущих выпусках, когда вы блокируете пользователя SAPCPIC или изменяете пароль, это влияет на дополнительные программы RSCOLL00, RSCOLL30 и LSYPGU01.

Защита Раннего Дозора

Клиент 066 — это называется SAP Early watch и используется для диагностического сканирования и службы мониторинга в системе SAP, а пользователь EARLYWATCH является интерактивным пользователем для службы Early Watch в клиенте 066. Чтобы защитить этого пользователя, вы можете выполнить следующие действия:

  • Блокируйте пользователя EARLYWATCH до тех пор, пока он не потребуется в среде SAP.
  • Измените пароль по умолчанию для этого пользователя.

Ключевые моменты

Чтобы защитить пользователей SAP Standard и защитить клиентов в среде SAP, вы должны рассмотреть следующие ключевые моменты:

  • Вы должны правильно обслуживать клиентов в системе SAP и убедиться, что не существует неизвестных клиентов, которые существуют.

  • Необходимо убедиться, что суперпользователь SAP «SAP» существует и был деактивирован на всех клиентах.

  • Необходимо убедиться, что пароль по умолчанию изменен для всех стандартных пользователей SAP, пользователей SAP, DDIC и EARLYWATCH.

  • Необходимо убедиться, что все стандартные пользователи были добавлены в группу SUPER в системе SAP, и единственный пользователь, уполномоченный вносить изменения в группу SUPER, может редактировать только этих пользователей.

  • Необходимо убедиться, что пароль по умолчанию для SAPCPIC был изменен, и этот пользователь заблокирован и разблокирован, когда это требуется.

  • Все стандартные пользователи SAP должны быть заблокированы и могут быть разблокированы только тогда, когда это необходимо. Пароль должен быть хорошо защищен для всех этих пользователей.

Вы должны правильно обслуживать клиентов в системе SAP и убедиться, что не существует неизвестных клиентов, которые существуют.

Необходимо убедиться, что суперпользователь SAP «SAP» существует и был деактивирован на всех клиентах.

Необходимо убедиться, что пароль по умолчанию изменен для всех стандартных пользователей SAP, пользователей SAP, DDIC и EARLYWATCH.

Необходимо убедиться, что все стандартные пользователи были добавлены в группу SUPER в системе SAP, и единственный пользователь, уполномоченный вносить изменения в группу SUPER, может редактировать только этих пользователей.

Необходимо убедиться, что пароль по умолчанию для SAPCPIC был изменен, и этот пользователь заблокирован и разблокирован, когда это требуется.

Все стандартные пользователи SAP должны быть заблокированы и могут быть разблокированы только тогда, когда это необходимо. Пароль должен быть хорошо защищен для всех этих пользователей.

Как сменить пароль обычного пользователя?

Вы должны убедиться, что пароль для всех стандартных пользователей SAP должен быть изменен на всех клиентах, поддерживаемых в таблице T000, а пользователь «SAP» должен существовать для всех клиентов.

Смена пароля

Чтобы сменить пароль, авторизуйтесь с суперпользователем. Введите идентификатор пользователя в поле Имя пользователя, для которого вы хотите изменить пароль. Нажмите кнопку «Изменить пароль», как показано на следующем снимке экрана.

Изменить пароль

Введите новый пароль, повторите пароль и нажмите « Применить» . Вы должны повторить один и тот же процесс для всех стандартных пользователей.

Окно Изменить пароль

Отмена авторизации защиты при входе

Для обеспечения безопасности в системе SAP необходимо отслеживать неудачный вход в систему в среде SAP. Когда кто-то пытается войти в систему, используя неверный пароль, система должна либо заблокировать имя пользователя на некоторое время, либо этот сеанс должен быть прерван после определенного числа попыток.

Для несанкционированных попыток входа можно установить различные параметры безопасности.

  • Завершение сеанса
  • Блокировка пользователя
  • Активация заставок
  • Мониторинг неудачных попыток входа
  • Запись попыток входа

Давайте теперь обсудим каждый из них в деталях.

Завершение сеанса

Когда для одного идентификатора пользователя сделано несколько неудачных попыток входа в систему, система завершает сеанс для этого пользователя. Это должно быть отправлено с использованием параметра профиля — login / fails_to_session_end.

Чтобы изменить значение параметра, запустите транзакцию RZ10 и выберите профиль, как показано на следующем снимке экрана. Выберите «Расширенное обслуживание» и нажмите « Показать» .

Расширенное обслуживание

Выберите параметр, который хотите изменить, и нажмите кнопку « Параметр» вверху, как показано ниже.

Кнопка параметров

При нажатии на вкладку «Параметр» вы можете изменить значение параметра в новом окне. Вы также можете создать новый параметр, нажав кнопку « Создать» (F5) .

Чтобы просмотреть подробную информацию об этом параметре, запустите код транзакции: RZ11 и введите имя профиля — login / fails_to_session_end и нажмите кнопку « Показать документ» .

  • Параметр — login / fails_to_session_end

  • Краткий текст — количество недопустимых попыток входа в систему до окончания сеанса.

  • Описание параметра — Количество недопустимых попыток входа в систему, которые могут быть сделаны с основной записью пользователя, пока процедура входа в систему не будет завершена.

  • Область применения — вход в систему

  • Значение по умолчанию — 3

  • Кому разрешено вносить изменения? — Клиент

  • Ограничения операционной системы — нет

  • Системные ограничения базы данных — нет

  • Другие параметры влияют или зависят? — нет

  • Допустимые значения — 1 — 99

Параметр — login / fails_to_session_end

Краткий текст — количество недопустимых попыток входа в систему до окончания сеанса.

Описание параметра — Количество недопустимых попыток входа в систему, которые могут быть сделаны с основной записью пользователя, пока процедура входа в систему не будет завершена.

Область применения — вход в систему

Значение по умолчанию — 3

Кому разрешено вносить изменения? — Клиент

Ограничения операционной системы — нет

Системные ограничения базы данных — нет

Другие параметры влияют или зависят? — нет

Допустимые значения — 1 — 99

Войти / Не удается завершить сеанс

На приведенном выше снимке экрана видно, что значение этого параметра равно 3, то есть значение по умолчанию тоже. После 3 неудачных попыток входа в систему сеанс будет прерван для одного пользователя.

Блокировка пользователя

Вы также можете поставить галочку на определенном Идентификаторе пользователя, если установленное количество последовательных неудачных попыток входа в систему превышено по одному Идентификатору пользователя. Установите количество недопустимых попыток входа в систему, которые разрешены в параметре профиля: login / fails_to_user_lock .

  • Можно установить блокировку для определенных идентификаторов пользователя.

  • Блокировки применяются к идентификатору пользователя до полуночи. Однако он также может быть удален вручную в любое время системным администратором.

  • В системе SAP вы также можете установить значение параметра, позволяющее устанавливать блокировку на идентификатор пользователя, пока они не будут удалены вручную. Имя параметра: login / failed_user_auto_unlock .

Можно установить блокировку для определенных идентификаторов пользователя.

Блокировки применяются к идентификатору пользователя до полуночи. Однако он также может быть удален вручную в любое время системным администратором.

В системе SAP вы также можете установить значение параметра, позволяющее устанавливать блокировку на идентификатор пользователя, пока они не будут удалены вручную. Имя параметра: login / failed_user_auto_unlock .

Параметр профиля: login / fails_to_user_lock

Каждый раз, когда вводится неправильный пароль для входа, счетчик неудачных попыток входа для соответствующей основной записи пользователя увеличивается. Попытки входа в систему могут быть зарегистрированы в журнале аудита безопасности. Если предел, указанный в этом параметре, превышен, соответствующий пользователь блокируется. Этот процесс также зарегистрирован в системном журнале.

Блокировка больше не действительна после окончания текущего дня. (Другое условие -login / failed_user_auto_unlock)

Счетчик неудачных входов в систему сбрасывается после входа пользователя с использованием правильного пароля. Вход в систему, не основанный на пароле, не влияет на счетчик неудачных попыток входа. Тем не менее, активные блокировки входа проверяются для каждого входа.

  • Допустимые значения — 1 — 99

Допустимые значения — 1 — 99

Чтобы увидеть текущее значение этого параметра, используйте T-код: RZ11 .

Логин не может заблокировать пользователя

Метаданные для параметра

  • Имя параметра — логин / failed_user_auto_unlock

  • Краткий текст — отключите автоматическую разблокировку заблокированного пользователя в полночь.

  • Описание параметров — Управляет разблокировкой пользователей, заблокированных при неправильном входе в систему. Если для параметра установлено значение 1, блокировки, которые были установлены из-за неудачных попыток входа в систему с паролем, применяются только в тот же день (как и блокировка). Если для параметра установлено значение 0, блокировки остаются в силе.

  • Область применения — вход в систему.

  • Значение по умолчанию — 0.

Имя параметра — логин / failed_user_auto_unlock

Краткий текст — отключите автоматическую разблокировку заблокированного пользователя в полночь.

Описание параметров — Управляет разблокировкой пользователей, заблокированных при неправильном входе в систему. Если для параметра установлено значение 1, блокировки, которые были установлены из-за неудачных попыток входа в систему с паролем, применяются только в тот же день (как и блокировка). Если для параметра установлено значение 0, блокировки остаются в силе.

Область применения — вход в систему.

Значение по умолчанию — 0.

Активация заставок

Системные администраторы также могут активировать экранные заставки для защиты экрана веб-интерфейса от несанкционированного доступа. Эти заставки могут быть защищены паролем.

Мониторинг неудачных попыток входа и запись попыток входа

В системе SAP вы можете использовать отчет RSUSR006, чтобы проверить, есть ли пользователи, которые пытались выполнить любые неудачные попытки входа в систему. Этот отчет содержит подробную информацию о количестве неверных попыток входа в систему пользователем и блокировках пользователя, и вы можете запланировать этот отчет в соответствии с вашими требованиями.

Перейдите в ABAP Editor SE38 и введите имя отчета, а затем нажмите « ВЫПОЛНИТЬ» .

казнить

В этом отчете у вас есть разные данные, такие как Имя пользователя, Тип, Создано, Создатель, Пароль, Блокировка и Неверные данные для входа.

Список пользователей

В системе SAP также возможно использование журнала аудита безопасности (транзакции SM18, SM19 и SM20) для записи всех успешных и неудачных попыток входа в систему. Вы можете анализировать журналы аудита безопасности с помощью транзакции SM20, но в системе должен быть активирован аудит безопасности для мониторинга журналов аудита безопасности.

Журнал аудита безопасности

Выход из режима ожидания

Когда пользователь уже вошел в систему SAP и сеанс неактивен в течение определенного периода, вы также можете настроить его на выход из системы, чтобы избежать несанкционированного доступа.

Чтобы включить этот параметр, вам нужно указать это значение в параметре профиля: rdisp / gui_auto_logout .

  • Описание параметров. Можно определить, что неактивные пользователи графического пользовательского интерфейса SAP автоматически выходят из системы SAP по истечении предварительно определенного периода. Параметр настраивает это время. Автоматический выход из системы в системе SAP по умолчанию деактивирован (значение 0), то есть пользователи не выходят из системы, даже если они не выполняют никаких действий в течение более длительного периода.

  • Допустимые значения — n [единица измерения], где n> = 0 и единица измерения = S | М | H | D

Описание параметров. Можно определить, что неактивные пользователи графического пользовательского интерфейса SAP автоматически выходят из системы SAP по истечении предварительно определенного периода. Параметр настраивает это время. Автоматический выход из системы в системе SAP по умолчанию деактивирован (значение 0), то есть пользователи не выходят из системы, даже если они не выполняют никаких действий в течение более длительного периода.

Допустимые значения — n [единица измерения], где n> = 0 и единица измерения = S | М | H | D

Чтобы увидеть текущее значение параметра, запустите T-Code: RZ11 .

T код RZ11

Текущая стоимость

В следующей таблице приведен список ключевых параметров, их значения по умолчанию и разрешенные значения в системе SAP —

параметр Описание По умолчанию Разрешенная стоимость
Войти / fails_to_session_end Количество неверных попыток входа в систему до конца сеанса 3 1-99
Войти / fails_to_user_lock Количество неверных попыток входа в систему до блокировки пользователя 12 1-99
Войти / failed_user_auto_unlock Когда устанавливается t 1: блокировки применяются в день, когда они установлены. Они удаляются на следующий день, когда пользователь входит в систему 1 0 или 1
rdisp / gui_auto_output Максимальное время простоя для пользователя в секундах 0 (без ограничений) неограниченный

SAP Security — Концепция авторизации системы

Концепция авторизации системы SAP направлена ​​на защиту системы SAP от выполнения транзакций и программ от несанкционированного доступа. Не следует разрешать пользователям выполнять транзакции и программы в системе SAP, пока они не определили полномочия для этого действия.

Чтобы сделать вашу систему более безопасной и реализовать надежную авторизацию, вам необходимо пересмотреть свой план авторизации, чтобы убедиться, что он соответствует требованиям безопасности компании и не имеет нарушений безопасности.

Типы пользователей

В предыдущих выпусках системы SAP типы пользователей были разделены только на две категории — пользователи диалога и пользователи без диалога, и только пользователи без диалогов были рекомендованы для связи между двумя системами. В SAP 4.6C типы пользователей были разделены на следующие категории:

  • Пользователь диалога — этот пользователь используется для индивидуального доступа к интерактивной системе, и большая часть работы клиента выполняется с использованием пользователя диалога. Пароль может быть изменен самим пользователем. В диалоге пользователя, несколько диалоговых входов может быть предотвращено.

  • Пользователь службы — используется для интерактивного доступа к системе для выполнения некоторой предопределенной задачи, например, отображения каталога продуктов. Для этого пользователя разрешено несколько входов в систему, и только администратор может изменить пароль для этого пользователя.

  • Пользователь системы — этот идентификатор пользователя используется для выполнения большинства задач, связанных с системой — Система управления транспортом, Определение рабочих процессов и ALE. Это не интерактивный системно-зависимый пользователь, и этому пользователю разрешено несколько входов в систему.

  • Эталонный пользователь — Эталонный пользователь не используется для входа в систему SAP. Этот пользователь используется для предоставления дополнительной авторизации внутренним пользователям. В системе SAP вы можете перейти на вкладку Роли и указать ссылочного пользователя для дополнительных прав для пользователей диалогов.

  • Пользователи связи — этот тип пользователя используется для ведения диалога без входа в систему между различными системами, такими как RFC-соединение, CPIC. Вход в диалог с использованием SAP GUI невозможен для пользователей Communication. Пользовательский тип может изменять свои пароли, как обычные пользователи диалога. Функциональный модуль RFC можно использовать для смены пароля.

Пользователь диалога — этот пользователь используется для индивидуального доступа к интерактивной системе, и большая часть работы клиента выполняется с использованием пользователя диалога. Пароль может быть изменен самим пользователем. В диалоге пользователя, несколько диалоговых входов может быть предотвращено.

Пользователь службы — используется для интерактивного доступа к системе для выполнения некоторой предопределенной задачи, например, отображения каталога продуктов. Для этого пользователя разрешено несколько входов в систему, и только администратор может изменить пароль для этого пользователя.

Пользователь системы — этот идентификатор пользователя используется для выполнения большинства задач, связанных с системой — Система управления транспортом, Определение рабочих процессов и ALE. Это не интерактивный системно-зависимый пользователь, и этому пользователю разрешено несколько входов в систему.

Эталонный пользователь — Эталонный пользователь не используется для входа в систему SAP. Этот пользователь используется для предоставления дополнительной авторизации внутренним пользователям. В системе SAP вы можете перейти на вкладку Роли и указать ссылочного пользователя для дополнительных прав для пользователей диалогов.

Пользователи связи — этот тип пользователя используется для ведения диалога без входа в систему между различными системами, такими как RFC-соединение, CPIC. Вход в диалог с использованием SAP GUI невозможен для пользователей Communication. Пользовательский тип может изменять свои пароли, как обычные пользователи диалога. Функциональный модуль RFC можно использовать для смены пароля.

Код транзакции: SU01 используется для создания пользователя в системе SAP. На следующем экране вы можете увидеть различные типы пользователей в системе SAP в транзакции SU01.

Код транзакции SU01

Создание пользователя

Чтобы создать пользователя или нескольких пользователей с разными правами доступа в системе SAP, выполните следующие действия.

Шаг 1 — Используйте код транзакции — SU01 .

Шаг 2 — Введите имя пользователя, которое вы хотите создать, нажмите на иконку создания, как показано на следующем скриншоте.

Создание пользователя

Шаг 3 — Вы будете перенаправлены на следующую вкладку — вкладку Адрес. Здесь вам необходимо ввести такие данные, как имя, фамилия, номер телефона, идентификатор электронной почты и т. Д.

Адрес

Шаг 4 — Далее вы будете перенаправлены на следующую вкладку — Данные для входа . Введите тип пользователя на вкладке «Данные входа». У нас есть пять разных типов пользователей.

диалог

Шаг 5 — Введите первый пароль для входа в систему → Новый пароль → Повторить пароль.

новый пароль

Шаг 6 — Вы будете перенаправлены на следующую вкладку — Роли — назначьте роли пользователю.

Следующая вкладка

Шаг 7 — Далее вы будете перенаправлены на следующую вкладку — Профили — назначьте Профили пользователям.

Назначить профиль пользователям

Шаг 8 — Нажмите Сохранить, чтобы получить подтверждение.

Центральное управление пользователями (CUA)

Центральное администрирование пользователей является одной из ключевых концепций, которая позволяет управлять всеми пользователями в системном ландшафте SAP с помощью центральной системы. Используя этот инструмент, вы можете централизованно управлять всеми основными записями пользователей в одной системе. Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

Преимущества центрального администрирования пользователей:

  • При настройке CUA в ландшафте SAP вы можете создавать или удалять пользователей, используя только центральную систему.

  • Все необходимые роли и полномочия существуют в дочерней системе в активных формах.

  • Все пользователи контролируются и управляются централизованно, что упрощает задачу администрирования и обеспечивает более четкое представление обо всех действиях по управлению пользователями в сложной системной среде.

  • Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

При настройке CUA в ландшафте SAP вы можете создавать или удалять пользователей, используя только центральную систему.

Все необходимые роли и полномочия существуют в дочерней системе в активных формах.

Все пользователи контролируются и управляются централизованно, что упрощает задачу администрирования и обеспечивает более четкое представление обо всех действиях по управлению пользователями в сложной системной среде.

Центральный пользовательский администратор позволяет вам сэкономить деньги и ресурсы на управлении аналогичными пользователями в одной системной среде.

Обмен данными осуществлялся с использованием ландшафта ALE, называемого Application Link Enabling, который позволяет осуществлять обмен данными контролируемым образом. ALE используется центральным администратором пользователей для обмена данными с дочерними системами в системном ландшафте SAP.

В сложной ландшафтной среде вы определяете одну систему как центральную систему со средой ALE, и это связано со всеми дочерними системами, использующими двунаправленный обмен данными. Дочерние системы в ландшафте не связаны друг с другом.

Для реализации централизованного администрирования пользователей необходимо учитывать следующие моменты:

  • Вам нужна среда SAP с несколькими клиентами в одной / распределенной среде.

  • Администратор для управления пользователями, требуется авторизация на следующих кодах транзакций —

    • SU01

    • SCC4

    • SCUA

    • SCUM

    • SM59

    • BD54

    • BD64

  • Вы должны создать доверительные отношения между системами.

  • Вы должны создавать пользователей системы в центральной и дочерней системе.

  • Создать логическую систему и назначить логическую систему соответствующему клиенту.

  • Создайте вид модели и BAPI для вида модели.

  • Создайте Central User Administrator и установите параметры распределения для полей.

  • Синхронизировать адреса компаний

  • Передача пользователей

Вам нужна среда SAP с несколькими клиентами в одной / распределенной среде.

Администратор для управления пользователями, требуется авторизация на следующих кодах транзакций —

SU01

SCC4

SCUA

SCUM

SM59

BD54

BD64

Вы должны создать доверительные отношения между системами.

Вы должны создавать пользователей системы в центральной и дочерней системе.

Создать логическую систему и назначить логическую систему соответствующему клиенту.

Создайте вид модели и BAPI для вида модели.

Создайте Central User Administrator и установите параметры распределения для полей.

Синхронизировать адреса компаний

Передача пользователей

В централизованно управляемой среде сначала необходимо создать администратора. Войдите во все логические системы будущего CUA как пользователь SAP * с паролем по умолчанию PASS.

Запустите транзакцию SU01 и создайте пользователя с назначенной ему ролью администратора.

SU01

Для определения логической системы используйте транзакцию BD54. Нажмите на Новые записи, чтобы создать новую логическую систему.

Изменить представление логических систем

Создайте новое логическое имя заглавными буквами для Central User Administration для центральной и всех дочерних систем, в том числе из других систем SAP.

Новое логическое имя

Чтобы легко идентифицировать систему, у вас есть следующее соглашение об именах, которое можно использовать для идентификации системы централизованного администрирования пользователей:

<Идентификатор системы> CLNT <клиент>

Введите некоторое полезное описание логической системы. Сохраните свою запись, нажав на кнопку Сохранить . Далее следует создать логическое имя системы для центральной системы во всех дочерних системах.

Чтобы назначить клиенту логическую систему, используйте транзакцию SCC4 и переключитесь в режим изменения.

Показать представление

Откройте клиент, которого вы хотите назначить для логической системы, дважды щелкнув мышью или нажав кнопку « Подробнее» . Клиент может быть назначен только одной логической системе.

В поле логической системы в деталях клиента введите логическое имя системы, которой вы хотите назначить этого клиента.

Логическая система

Выполните описанные выше шаги для всех клиентов в среде SAP, которые вы хотите включить в Central User Administrator. Чтобы сохранить настройки, нажмите кнопку « Сохранить» вверху.

Сохранить

Защита определенных профилей в SAP

Для обеспечения безопасности в системе SAP необходимо поддерживать определенные профили, которые содержат критические полномочия. Существуют различные профили авторизации SAP, которые необходимо защитить в системе SAP с полной авторизацией.

Несколько профилей, которые необходимо защитить в системе SAP, —

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

SAP_ALL Профиль авторизации

Профиль авторизации SAP_ALL позволяет пользователю выполнять все задачи в системе SAP. Это составной профиль, который содержит все полномочия в системе SAP. Пользователи с этой авторизацией могут выполнять все действия в системе SAP, поэтому этот профиль не следует назначать ни одному пользователю в вашей системе.

Рекомендуется поддерживать одного пользователя с профилем. При этом пароль должен быть надежно защищен для этого пользователя и использоваться только тогда, когда это необходимо.

Вместо назначения полномочий SAP_ALL следует назначить отдельные полномочия соответствующим пользователям. Ваш системный суперпользователь / системное администрирование, вместо того, чтобы назначать им полномочия SAP_ALL, вы должны использовать индивидуальные необходимые полномочия.

Авторизация Sap

Авторизация SAP_NEW

Авторизация SAP_NEW содержит все полномочия, которые требуются в новом выпуске. После завершения обновления системы этот профиль используется для правильного выполнения некоторых задач.

Вы должны помнить следующие пункты об этой авторизации —

  • При выполнении обновления системы необходимо удалить профили SAP_NEW для выпусков до этого.

  • Вам необходимо назначить отдельные полномочия в профиле SAP_NEW для разных пользователей в вашей среде.

  • Этот профиль не должен оставаться активным слишком долго.

  • Когда у вас есть длинный список профилей SAP_NEW в среде, это показывает, что вам необходимо пересмотреть свою политику авторизации в системе.

При выполнении обновления системы необходимо удалить профили SAP_NEW для выпусков до этого.

Вам необходимо назначить отдельные полномочия в профиле SAP_NEW для разных пользователей в вашей среде.

Этот профиль не должен оставаться активным слишком долго.

Когда у вас есть длинный список профилей SAP_NEW в среде, это показывает, что вам необходимо пересмотреть свою политику авторизации в системе.

профили

Чтобы просмотреть список всех профилей SAP_NEW, вы должны выбрать этот профиль, дважды щелкнув, а затем → перейти к выбору .

выберите

P_BAS_ALL Авторизация

Эта авторизация позволяет пользователю просматривать содержимое таблиц из других приложений. Эта авторизация содержит авторизацию P_TABU_DIS . Эта авторизация позволяет пользователю PA видеть содержимое таблицы, которая не принадлежит их группе.

Обслуживание ролей PFCG

Обслуживание ролей PFCG может использоваться для управления ролями и авторизацией в системе SAP. В PFCG роль представляет собой работу, которую человек выполняет, связанную с реальными сценариями. PFCG позволяет вам определять набор транзакций, которые могут быть назначены человеку для выполнения его повседневной работы.

Когда роли создаются в транзакции PFCG, вы можете использовать транзакцию SU01 для назначения этих ролей отдельным пользователям. Пользователю в системе SAP может быть назначено несколько ролей, которые связаны с его / ее повседневными задачами в реальной жизни.

Эти роли связаны между пользователем и полномочиями в системе SAP. Фактические полномочия и профили хранятся в виде объектов в системе SAP.

Используя PFCG Role Maintenance, вы можете выполнять следующие функции:

  • Изменение и назначение ролей
  • Создание ролей
  • Создание составных ролей
  • Транспортировка и распределение ролей

Давайте теперь обсудим эти функции подробно.

Изменение и назначение ролей

Выполнить транзакцию: PFCG

PFCG

Это приведет вас к окну обслуживания ролей. Чтобы изменить существующую роль, введите имя поставленной роли в поле.

Обслуживание ролей

Скопируйте стандартную роль, нажав кнопку «Копировать роль». Введите имя из пространства имен. Нажмите на кнопку выбора значения и выберите роль, в которую вы хотите скопировать это.

Вы также можете выбрать поставленные роли SAP, начиная с SAP_, но тогда роли по умолчанию будут перезаписаны.

Перезаписанная

Чтобы изменить роль, нажмите кнопку « Изменить» в разделе «Обслуживание ролей».

Кнопка Изменить

Перейдите на вкладку «Меню», чтобы изменить меню пользователя на вкладке «Меню». Перейдите на вкладку «Авторизация», чтобы изменить данные авторизации для этого пользователя.

Авторизации

Вы также можете использовать Экспертный режим, чтобы настроить полномочия для изменений меню в разделе Авторизация. Нажмите кнопку «Создать», чтобы создать профиль для этой роли.

Изменить полномочия

Чтобы назначить пользователям эту роль, перейдите на вкладку «Пользователь» в параметре «Роль изменений». Чтобы назначить пользователю эту роль, она должна существовать в системе.

пользователь

Вы также можете выполнить сравнение пользователей, если это необходимо. Нажмите на опцию Сравнение пользователей. Вы также можете нажать кнопку «Информация», чтобы узнать больше об отдельных и составных ролях и параметре «Сравнение пользователей» для сравнения основных записей.

Сравнение пользователей

Создание ролей в PFCG

Вы можете создавать как отдельные роли, так и составные роли в PFCG. Введите имя роли и нажмите «Создать отдельные или составные роли», как показано на снимке экрана ниже.

Создать одну роль

Вы можете выбрать из пространства имен клиента, как Y_ или Z_. Поставленные роли SAP начинаются с SAP_, и вы не можете взять имя из поставленных ролей SAP.

После того, как вы нажмете кнопку Создать роль, вы должны добавить Транзакции, Отчеты и Веб-адреса на вкладке МЕНЮ в определении роли.

Вкладка МЕНЮ

Перейдите на вкладку «Авторизация», чтобы создать профиль, нажмите «Изменить данные авторизации».

Опция данных авторизации

В соответствии с выбранным видом деятельности вам предлагается ввести организационные уровни. Когда вы вводите конкретное значение в диалоговом окне, поля авторизации роли автоматически сохраняются.

Вы можете адаптировать ссылку для ролей. Как только определение роли выполнено, вам нужно сгенерировать роль. Нажмите на Generate (Shift + F5).

Shift F5

В этой структуре, когда вы видите красный светофор, он показывает организационные уровни без значений. Вы можете ввести и изменить организационные уровни с помощью Организационных уровней рядом с вкладкой Поддерживаемые.

Введите имя профиля и щелкните опцию галочки, чтобы завершить шаг создания.

Вариант галочки

Нажмите Сохранить, чтобы сохранить профиль. Вы можете напрямую назначить эту роль пользователям, перейдя на вкладки Пользователь. Аналогичным образом вы можете создавать составные роли, используя опцию обслуживания ролей PFCG.

Транспортировка и распределение ролей

Запустите транзакцию — PFCG, введите имя роли, которую вы хотите транспортировать, и нажмите Транспортная роль.

коммунальные услуги

Вы доберетесь до роли транспортной опции. У вас есть несколько вариантов в разделе Транспортные роли —

  • Транспортируйте отдельные роли для составных ролей.
  • Транспортируйте сгенерированные профили для ролей.
  • Персонализация данных.

Роль транспорта

В следующем диалоговом окне вы должны указать назначение пользователя, и данные персонализации также должны быть перенесены. Если пользовательские назначения также переносятся, они заменят все пользовательские назначения ролей в целевой системе.

Чтобы заблокировать систему, чтобы пользовательские назначения ролей не могли быть импортированы, введите ее в таблицу настройки PRGN_CUST с помощью транзакции SM30 и выберите поле значения USER_REL_IMPORT номер .

Незамедлительный

Эта роль вводится в запросе на настройку. Вы можете просмотреть это с помощью транзакции SE10 .

Транзакция SE10

В запросе настройки профили авторизации переносятся вместе с ролями.

Информация об авторизации транзакции системы — SUIM

В управлении авторизацией SUIM является ключевым инструментом, с помощью которого можно найти профили пользователей в системе SAP, а также назначить эти профили этому идентификатору пользователя. SUIM предоставляет начальный экран с параметрами поиска пользователей, ролей, профилей, авторизаций, транзакций и сравнения.

Чтобы открыть Информационную систему пользователя, запустите транзакцию: SUIM .

Информационная система пользователя

В информационной системе пользователя имеются разные узлы, которые можно использовать для выполнения различных функций в системе SAP. Как и в пользовательском узле, вы можете выполнять поиск пользователей на основе критериев выбора. Вы можете получить заблокированный список пользователей, пользователей, имеющих доступ к определенному набору транзакций и т. Д.

Когда вы раскрываете каждую вкладку, у вас есть возможность создавать разные отчеты на основе разных критериев выбора. Как и при расширении вкладки пользователя, у вас есть следующие опции —

Состав

Когда вы нажимаете на пользователей по сложным критериям выбора, вы можете применять несколько условий выбора одновременно. На следующем снимке экрана показаны различные критерии выбора.

Критерии выбора

Ролевый узел

Аналогичным образом вы можете получить доступ к различным узлам, таким как роли, профили, полномочия и различные другие параметры в этой информационной системе пользователя.

Вы также можете использовать инструмент SUIM для поиска ролей и профилей. Вы можете назначить список транзакций определенному набору идентификаторов пользователей, выполнив поиск по транзакциям и назначению в SUIM и назначив эти роли этому идентификатору пользователя.

информация о пользователе

Используя Информационную систему пользователя, вы можете выполнять различные поиски в системе SAP. Вы можете ввести различные критерии выбора и получить отчеты на основе пользователей, профилей, ролей, транзакций и других критериев.

RSUSR002 — Пользователи по сложным критериям выбора.

Комплексные критерии выбора

SAP Security — Unix Platform

Вам необходимо принимать различные меры безопасности при использовании определенных свойств Unix, файлов или служб, защите файлов паролей и отключении удаленных служб BSD для rlogin и remsh .

Защита паролем

На платформе Unix злоумышленник может использовать программу атаки по словарю для обнаружения информации о пароле, хранящейся в ОС Unix. Вы можете хранить пароли в файле теневых паролей, и только пользователь root может иметь доступ к этому файлу для повышения безопасности в системе.

Деактивация удаленных сервисов

BSD Remote Services обеспечивает удаленный доступ к системам Unix. Когда инициируется удаленное соединение /etc/host.equiv и используется $ HOME / .rhosts , и если эти файлы содержат информацию об имени хоста и IP-адресе источника соединения или любых подстановочных знаках, ввод пароля не требуется во время входа.

В этом сценарии удаленные службы rlogin и remsh представляют собой угрозу безопасности, и вам необходимо отключить эти службы. Вы можете отключить эти службы, перейдя в файл inetd.conf в системе Unix.

Unix System

В системе Unix rlogin — это клиент удаленной оболочки (например, SSH), который разработан так, чтобы быть быстрым и небольшим. Он не зашифрован, что может иметь некоторые небольшие недостатки в средах с высоким уровнем безопасности, но он может работать на очень высоких скоростях. И сервер, и клиент не используют много памяти.

SSH

Защита сетевой файловой системы в UNIX

На платформе UNIX сетевая файловая система используется для доступа к транспортным и рабочим каталогам по сети из системы SAP. Для доступа к рабочим каталогам процесс аутентификации включает сетевые адреса. Возможно, что несанкционированный доступ может быть получен злоумышленниками через сетевую файловую систему с использованием IP-спуфинга.

Для обеспечения безопасности системы не следует распространять домашний каталог через сетевую файловую систему, и необходимо тщательно назначать права на запись в эти каталоги.

Доступ к системному каталогу SAP для системы SAP в UNIX

Вы должны установить следующие права доступа для системных каталогов SAP в UNIX:

Справочник SAP Восьмеричная форма Access Privilege владелец группа
/ Sapmnt / <SID> / ех 775 <SID> адм sapsys
/ Sapmnt / <SID> / EXE / saposcol 4755 корень sapsys
/ Sapmnt / <SID> / глобальной 700 <SID> адм sapsys
/ Sapmnt / <SID> / Профиль 755 <SID> адм sapsys
/ USR / сок / <SID> 751 <SID> адм sapsys
/ usr / sap / <SID> / <ID экземпляра> 755 <SID> адм sapsys
/ usr / sap / <SID> / <ID экземпляра> / * 750 <SID> адм sapsys
/ usr / sap / <SID> / <ID экземпляра> / сек 700 <SID> адм sapsys
/ USR / сок / <SID> / SYS 755 <SID> адм sapsys
/ USR / сок / <SID> / SYS / * 755 <SID> адм sapsys
/ USR / сок / транс 775 <SID> адм sapsys
/ USR / сок / транс / * 770 <SID> адм sapsys
/usr/sap/trans/.sapconf 775 <SID> адм sapsys
<домашний каталог <sid> adm> 700 <SID> адм sapsys
<домашний каталог <sid> adm> / * 700 <SID> адм sapsys

SAP Security — платформа Windows

Вам нужно создать разных пользователей и группы на платформе Windows для безопасной работы вашей системы SAP. Чтобы упростить задачу управления пользователями, предлагается добавить всех пользователей WIN NT в группу пользователей с правильными правами доступа на уровне ОС. В операционной системе Windows есть разные уровни группы —

  • Глобальные группы
  • Локальные группы

Новая Глобальная Группа

Глобальные группы

Глобальные группы в WIN доступны на уровне домена и могут использоваться для назначения пользователей с нескольких серверов. Глобальные группы доступны для всех серверов в одном домене.

Вы можете выбрать название глобальных групп по вашему усмотрению. Однако рекомендуется использовать соглашения об именах в соответствии с Системной установкой SAP R / 3 , которая является стандартной Глобальной группой для системных администраторов SAP и определяется как SAP_ <SID> _GlobalAdmin .

В Window Platform существуют различные обычно созданные глобальные группы, которые можно использовать для запуска системы SAP.

  • SAPadmin — эта группа содержит список всех системных администраторов SAP.

  • SAPusers — эта группа содержит список всех пользователей приложений SAP.

  • SAPservices — эта группа содержит список всех системных программ SAP.

  • Администратор домена — эта группа содержит список всех администраторов всех доменов.

SAPadmin — эта группа содержит список всех системных администраторов SAP.

SAPusers — эта группа содержит список всех пользователей приложений SAP.

SAPservices — эта группа содержит список всех системных программ SAP.

Администратор домена — эта группа содержит список всех администраторов всех доменов.

Локальные группы

Локальные группы на платформе Windows ограничены одним сервером в домене. Во время установки права назначаются отдельным пользователям, а не группам. Однако рекомендуется назначать права доступа локальным группам, а не отдельным пользователям.

Локальные группы используются для повышения безопасности среды Windows в общих доменах. Кроме того, вы можете назначить глобальных пользователей и глобальные группы локальной группе. Вы можете создать локальную группу с любым именем, но рекомендуется использовать имя локальной группы как: SAP_ <SID> _LocalAdmin .

Вы можете определить различные отношения между пользователями, локальными группами и глобальными группами —

  • Один пользователь может быть частью глобальной группы, а также локальной группы.
  • Вы также можете включить глобальную группу в локальную группу.

Стандартные пользователи на платформе Windows

Когда вы запускаете систему SAP на платформе Windows, есть стандартные пользователи, которыми нужно тщательно управлять. Ниже приведены некоторые из стандартных пользователей в Windows —

Пользователь Windows NT

  • Администратор — Администратор учетных записей с доступом ко всем ресурсам.

  • Гость — только гостевой доступ ко всем ресурсам системы.

Администратор — Администратор учетных записей с доступом ко всем ресурсам.

Гость — только гостевой доступ ко всем ресурсам системы.

Пользователь системы SAP

  • <SID> ADM SAP — системный администратор с полным доступом ко всем ресурсам SAP.

  • SAPService <SID> — Специальный пользователь, ответственный за запуск сервисов SAP.

<SID> ADM SAP — системный администратор с полным доступом ко всем ресурсам SAP.

SAPService <SID> — Специальный пользователь, ответственный за запуск сервисов SAP.

Пользователи базы данных

  • <DBService> — запускать специфичные для базы данных сервисы на платформе Window.

  • <DBuser> — Пользователь базы данных для выполнения общих операций с БД.

<DBService> — запускать специфичные для базы данных сервисы на платформе Window.

<DBuser> — Пользователь базы данных для выполнения общих операций с БД.

Также обратите внимание, что администратор и гость создаются в процессе установки и используются для выполнения определенных задач Windows. Все эти пользователи должны быть защищены в платформе Window.

SAP Security — Базы данных

Очень важно и важно защитить пользователей вашей базы данных в системе SAP. База данных может быть базой данных Oracle, SQL Server или базой данных MYSQL. Вам необходимо защитить обычных пользователей от этих баз данных. Пароль должен быть защищен для обычных пользователей, и они должны регулярно меняться.

Стандартные пользователи Oracle

В следующей таблице приведен список обычных пользователей в среде Windows. Пароль должен быть сохранен для всех этих пользователей.

Имя пользователя Тип Метод смены пароля
<SID> ADM Пользователь операционной системы Механизм OPS $
SAPServic <SID> Пользователь операционной системы Механизм OPS $
SYS (внутренний) Пользователь операционной системы SAPDBA
СИСТЕМА Пользователь операционной системы SAPDBA
SAPR3 Пользователь операционной системы SAPDBA

Как создать пользователя OPS $ для ADM <SID>?

Чтобы создать пользователя OPS $, вам необходимо войти в систему с помощью <SID> ADM. Сначала необходимо остановить систему SAP, если она работает, а затем выполнить команду, указанную ниже.

Создать пользовательское OPS $ <adm_user> табличное пространство по умолчанию psapuserid временное табличное пространство psaptemp, идентифицированное извне;

Здесь <adm_user> —

  • ADM <SID> для более старых версий Oracle

  • <domain_name> \ <SID> последние выпуски ADM

ADM <SID> для более старых версий Oracle

<domain_name> \ <SID> последние выпуски ADM

Тогда вы должны следовать инструкциям ниже:

  • Предоставить подключение, ресурс для OPS $ <adm_user> l;

  • Connect /

  • Создать таблицу SAPUSER (USERID Varchar (20), PASSWD VARCHAR2 (20));

  • Вставить в значения SAPUSER («SAPR3», «<пароль>);

  • Подключите внутренний

  • Изменить пользователя SAPR3, идентифицированного как <пароль>;

Предоставить подключение, ресурс для OPS $ <adm_user> l;

Connect /

Создать таблицу SAPUSER (USERID Varchar (20), PASSWD VARCHAR2 (20));

Вставить в значения SAPUSER («SAPR3», «<пароль>);

Подключите внутренний

Изменить пользователя SAPR3, идентифицированного как <пароль>;

Аналогичным образом вы можете создать OPS $ для SAPService <SID> . В следующей команде вы должны использовать SAP_service_user вместо adm_user.

Создать пользовательское OPS $ <SAP_service_user> табличное пространство по умолчанию psapuserid временное табличное пространство psaptemp, идентифицированное извне;

Здесь <SAP_service_user> есть —

  • SAPService <SID> для старых версий Oracle

  • <имя_домена> \ SAPservice <SID> для последних выпусков

SAPService <SID> для старых версий Oracle

<имя_домена> \ SAPservice <SID> для последних выпусков

Управление паролями для пользователей БД

Необходимо управлять паролями для обычных пользователей в вашей базе данных. Существуют различные утилиты, которые вы можете использовать для смены пароля.

Как изменить пароль для пользователя DBA, использующего SAPDBA?

Пароль может быть изменен для пользователя DBA с помощью командной строки или графического интерфейса. Чтобы изменить пароль с помощью командной строки, вы должны использовать следующую команду —

Sapdba [-u <user1> / <user1_password>] –user2 <user2_password>

В приведенной выше команде user1 — это пользователь базы данных, который SAPDBA использует для входа в базу данных.

  • <user1_password> — это пароль для пароля user1.

  • <user2> показывает пользователя базы данных, для которого должен быть изменен пароль.

  • <user2_password> — это новый пароль для того же пользователя.

<user1_password> — это пароль для пароля user1.

<user2> показывает пользователя базы данных, для которого должен быть изменен пароль.

<user2_password> — это новый пароль для того же пользователя.

Если вы хотите войти в систему, используя имя пользователя «SYSTEM» со своим паролем по умолчанию, вы можете опустить –u в команде.

Sapdba –u system / <системный_пароль>] –sapr3 <sapr3_password>

Как изменить пароль для SAPR3 с помощью SVRMGRL?

SVRMGRL — это старая утилита, которая поставлялась с предыдущими выпусками Oracle и использовалась для выполнения функций базы данных, упомянутых ниже. В последних выпусках команды диспетчера сервера теперь доступны в SQL * Plus .

  • Создание базы данных
  • Запустить и закрыть базу данных
  • Восстановление базы данных
  • Управление паролями

Чтобы сменить пароль, вы должны выполнить следующие шаги:

  • Запустите SVRMGRL.
  • Подключитесь к базе данных с помощью внутренней команды connect.
  • SVRMGR> подключи внутренний.
  • Связано.

Следующий шаг — обновить таблицу SAPUSER, введя приведенную ниже команду —

Обновить OPS $ <SID> ADM.SAPUSER set PASSWD = ‘<new_password>’, где USERID = ‘SAPR3’;

Вы должны обновить пароль для SAPR3 в базе данных, используя командную строку.

Изменить пользователя sapr3 идентифицируется по <new_password>

Командная строка SQL

Аутентификация пользователя и единый вход

Единая регистрация (SSO) — это одна из ключевых концепций, которая позволяет вам войти в одну систему и получить доступ к нескольким системам в бэкэнде. SSO позволяет пользователю получать доступ к программным ресурсам через системы SAP в бэкэнде.

Единый вход с платформой NetWeaver обеспечивает аутентификацию пользователей и помогает системным администраторам управлять пользовательскими нагрузками в сложной системной среде SAP. Настройка единого входа упрощает процесс входа пользователя в системы и приложения SAP в ландшафте, усиливая меры безопасности и сокращая задачи управления паролями для нескольких систем.

Единый вход помогает организации снизить эксплуатационные расходы за счет уменьшения количества обращений в службу поддержки, связанных с проблемами с паролями, и, следовательно, повышения производительности бизнес-пользователей. Механизм интеграции SAP NetWeaver позволяет вам легко интегрировать вашу систему SAP NetWeaver в концепцию единого входа и обеспечивает легкий доступ к внутренним системам в среде SAP System Landscape.

Концепция единого входа SAP

Единый вход может быть настроен с помощью mySAP Workplace, что позволяет пользователям ежедневно входить в mySAP Workplace и получать доступ к приложениям без повторного ввода своего имени пользователя и пароля.

Вы можете настроить единый вход с mySAP Workplace, используя следующие методы аутентификации:

  • Имя пользователя и пароль
  • SAP Logon Билеты
  • Сертификаты клиента X.509

Интеграция в единый вход

Единый вход с платформой NetWeaver обеспечивает аутентификацию пользователей и помогает системным администраторам управлять пользовательскими нагрузками в сложной системной среде SAP. Конфигурация единого входа упрощает процесс входа пользователя в системы и приложения SAP в ландшафте за счет усиления мер безопасности и сокращения задач управления паролями для нескольких систем.

Использование SAP NetWeaver позволяет настраивать различные механизмы, которые авторизованные пользователи используют для доступа к Системе NetWeaver с использованием метода SSO. Механизм входа в систему зависит от технологии системы SAP NetWeaver и различных каналов связи, используемых для доступа к этим системам.

Настройка единого входа в SAP GUI

Чтобы настроить единый вход, вам необходимо иметь доступ к следующим T-кодам:

  • RZ10
  • STRUST

После того, как у вас есть эти T-коды, вы должны выполнить следующие шаги:

Шаг 1 — Войдите в любую систему SAP ECC с помощью SAP GUI, перейдите к T-коду RZ10 .

RZ10

Шаг 2 — Выберите профиль по умолчанию и расширенное обслуживание после этого.

ограничения

Шаг 3 — Нажмите «Изменить», и вы увидите список параметров для профиля.

Шаг 4 — Измените следующие параметры профиля —

  • login / create_sso2_ticket = 1
  • login / accept_sso2_ticket = 1

Список параметров

Шаг 5 — Сохраните и активируйте профиль. Это создаст новый профиль.

Шаг 6 — Экспортируйте сертификат R3SSO из Trust Manager, перейдите к транзакции STRUST .

Доверительный менеджер

Шаг 7 — Дважды щелкните текстовое поле справа от собственного сертификата. Информация о сертификате отображается. Запишите значения этого сертификата, так как вам нужно ввести значения.

Шаг 8 — Нажмите на иконку Экспорт сертификата.

Экспортный сертификат

Шаг 9 — Сохраните файл как <R3_Name> — <Client> .crt.

Пример — EBS-300.crt

Выберите файл

Шаг 10 — Нажмите на флажок, чтобы создать файл в родительском каталоге.

Шаг 11 — Импортируйте сертификат R3 SSO в движок Java с помощью инструмента администратора.

Примечание. Убедитесь, что Java-движок запущен.

Шаг 12 — Откройте инструмент администрирования Java.

Шаг 13 — Введите пароль администратора Java Engine и нажмите «Подключиться».

Шаг 14 — Выберите Сервер → Сервисный ключ → Хранилище.

Шаг 15 — Нажмите на хранилище ключей билетов на панели просмотра.

Шаг 16 — Нажмите «Загрузить» в групповом поле «Запись». Выберите файл .crt, который вы экспортировали на предыдущем шаге.

Шаг 17 — Сконфигурируйте службу провайдера безопасности в движке SAP Java с помощью инструмента администратора.

Шаг 18 — Выберите поставщика услуг сервера.

Шаг 19 — Выберите тикет на панели компонентов и перейдите на вкладку Аутентификация.

Шаг 20. Измените параметры модуля Evaluate Ticket Login и добавьте следующие свойства в каждую бэкэнд-систему, в которой вы хотите настроить единый вход.

Единый вход для веб-доступа

С помощью единого входа можно настроить несколько параметров для доступа к системе SAP NetWeaver. Вы также можете получить доступ к SAP NetWeaver System через веб-браузер или другой веб-клиент. Используя единый вход, пользователи могут получить доступ к внутренним системам и другой защищенной информации, расположенной в сети компании.

SSO позволяет использовать несколько методов аутентификации для обеспечения безопасности при интеграции доступа пользователей через Интернет на серверах приложений NetWeaver. Вы также можете реализовать различные методы защиты сетевых коммуникаций, такие как криптография, для отправки информации по сети.

Следующие методы аутентификации можно настроить с помощью единого входа для доступа к данным через серверы приложений.

  • Использование идентификатора пользователя и пароля
  • Использование входных билетов
  • Использование клиентских сертификатов X.509
  • Использование SAML Browser Artifacts
  • Использование SAML 2.0
  • Использование аутентификации Kerberos

При доступе к данным через Интернет вы также можете использовать механизм безопасности в сети и на транспортном уровне.

SAP Security — входные билеты

Можно настроить входные билеты SAP с цифровой подписью для настройки единого входа для доступа к интегрированным приложениям в среде SAP. Вы можете настроить портал для выдачи пользователям входных билетов SAP, и пользователям необходимо аутентифицировать эту систему для начального доступа. Когда пользователи получают входные билеты SAP, они сохраняются в веб-браузерах и позволяют пользователю входить в различные системы с использованием единого входа.

На сервере приложений ABAP можно настроить два разных типа входа в систему:

  • Билеты на вход — эти билеты разрешают доступ через Интернет с использованием метода единого входа.

  • Билеты подтверждения аутентификации — эти билеты используются для связи системы с системой.

Билеты на вход — эти билеты разрешают доступ через Интернет с использованием метода единого входа.

Билеты подтверждения аутентификации — эти билеты используются для связи системы с системой.

Чтобы настроить входные билеты SAP, в профиле пользователя должны быть установлены следующие параметры.

Войти / accept_sso2_ticket

Билеты единого входа (SSO) можно использовать для обеспечения единого входа между системами SAP и даже за пределами систем, отличных от SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет для входа передается в виде файла cookie с именем MYSAPSSO2 . Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Примечание. Это требует дополнительных шагов настройки для выдачи и принятия систем. Компонентные системы SSO должны разрешать вход по билету SSO (login / accept_sso2_ticket = 1).

Если для единого входа используется только процедура (сертификат клиента X.509) или если вы не хотите использовать единый вход для этой системы, вы можете деактивировать этот вход с помощью билета единого входа (login / accept_sso2_ticket = 0).

Чтобы установить параметр, используйте транзакцию RZ11.

Допустимые значения — 0/1

Допустимые значения

Войти / create_sso2_ticket

Билеты с единым входом (SSO) можно использовать для обеспечения единого входа между системами SAP и даже вне систем, не входящих в SAP. Билет SSO может быть билетом входа в систему или билетом подтверждения. Билет для входа передается в виде файла cookie с именем MYSAPSSO2. Билет подтверждения передается как переменная заголовка HTTP с именем MYSAPSSO2.

Примечание. Для этого требуются дополнительные шаги по настройке для выдачи и принятия систем.

Система выдачи должна разрешать генерацию билета SSO —

  • login / create_sso2_ticket = 1: билет SSO, включая сертификат

  • login / create_sso2_ticket = 2: билет SSO без сертификата

  • login / create_sso2_ticket = 3: генерировать только заявки на подтверждение

login / create_sso2_ticket = 1: билет SSO, включая сертификат

login / create_sso2_ticket = 2: билет SSO без сертификата

login / create_sso2_ticket = 3: генерировать только заявки на подтверждение

Допустимые значения — 0/1/2/3

Метаданные для данных входа в систему параметров

Войти / ticket_expiration_time

Чтобы иметь возможность единого входа (SSO) при использовании mySAP.com Workplace, можно использовать билеты SSO. При создании заявки на единый вход вы можете установить срок действия. По истечении этого срока билет SSO больше не может использоваться для входа в системы компонентов рабочего места. Затем пользователю необходимо снова войти на сервер рабочего места, чтобы получить новый билет SSO.

Допустимые значения — <Часы> [: <Минуты>]

Если введены неправильные значения, используется значение по умолчанию (8 часов).

Правильные значения будут такими, как показано ниже —

  • 24 → 24 часа
  • 1:30 → 1 час 30 минут
  • 0:05 → 5 минут

Неправильные значения будут следующими:

  • 40 (0:40 будет правильно)
  • 0:60 (1 будет правильно)
  • 10 000 (10 будет правильно)
  • 24: (24 будет правильно)
  • 1: A3

Метаданные для данных входа в систему и срока действия

Клиентские сертификаты X.509

Используя метод единого входа, вы можете использовать клиентские сертификаты X.509 для аутентификации сервера приложений NetWeaver. В клиентских сертификатах используются очень надежные методы криптографии для защиты доступа пользователей к серверу приложений NetWeaver, поэтому ваш сервер приложений NetWeaver должен быть включен с использованием надежных методов криптографии.

На серверах приложений SAP NetWeaver должен быть настроен протокол SSL, поскольку аутентификация выполняется с использованием протокола SSL без ввода имени пользователя и пароля. Для использования протокола SSL требуется соединение HTTPS для связи между веб-браузером и сервером приложений NetWeaver ABAP.

Язык разметки утверждений безопасности (SAML2.0)

SAML2.0 можно использовать в качестве аутентификации с помощью единого входа с единым входом, и он обеспечивает единый вход для разных доменов. SAML 2.0 разработан названием организации OASIS. Он также предоставляет опцию «Единый выход», что означает, что когда пользователь выходит из всех систем, поставщик услуг в системе SAP уведомляет поставщиков удостоверений, которые, в свою очередь, выходят из всех сеансов.

Ниже приведены преимущества использования аутентификации SAML2.0 —

  • Вы можете уменьшить накладные расходы на поддержание аутентификации для системы, в которой размещено приложение для другой системы.

  • Вы также можете поддерживать аутентификацию для внешних поставщиков услуг, не поддерживая идентификационные данные пользователей в системах.

  • Возможность единого выхода из системы во всех системах.

  • Для сопоставления учетных записей пользователей автоматически.

Вы можете уменьшить накладные расходы на поддержание аутентификации для системы, в которой размещено приложение для другой системы.

Вы также можете поддерживать аутентификацию для внешних поставщиков услуг, не поддерживая идентификационные данные пользователей в системах.

Возможность единого выхода из системы во всех системах.

Для сопоставления учетных записей пользователей автоматически.

Аутентификация Kerberos

Вы также можете использовать Kerberos Authentication для сервера приложений SAP NetWeaver, используя доступ через веб-клиенты и веб-браузеры. Он использует простой и защищенный механизм согласования API GSS SPNego, который также требует единого входа SSO 2.0 или более поздней версии с дополнительными лицензиями для использования этой аутентификации. SPNego не поддерживает безопасность транспортного уровня, поэтому рекомендуется использовать протокол SSL для добавления безопасности транспортного уровня для взаимодействия с сервером приложений NetWeaver.

Новый пользователь

На скриншоте выше вы можете увидеть различные методы аутентификации, которые можно настроить в профиле пользователя для аутентификации.

Каждый метод аутентификации в SAP имеет свои преимущества и может использоваться в различных сценариях.