SAP-Sicherheit - Kurzanleitung
In einer verteilten SAP-Umgebung müssen Sie Ihre kritischen Informationen und Daten immer vor unbefugtem Zugriff schützen. Menschliche Fehler, falsche Zugriffsbereitstellung sollte keinen unbefugten Zugriff auf ein System zulassen, und es ist erforderlich, die Profilrichtlinien und Systemsicherheitsrichtlinien in Ihrer SAP-Umgebung zu pflegen und zu überprüfen.
Um das System sicher zu machen, sollten Sie über gute Kenntnisse der Benutzerzugriffsprofile, Kennwortrichtlinien, Datenverschlüsselung und Autorisierungsmethoden verfügen, die im System verwendet werden sollen. Sie sollten regelmäßig überprüfenSAP System Landscape und überwachen Sie alle Änderungen, die an Konfigurations- und Zugriffsprofilen vorgenommen werden.
Die Standard-Superuser sollten gut geschützt sein und Benutzerprofilparameter und -werte sollten sorgfältig festgelegt werden, um die Sicherheitsanforderungen des Systems zu erfüllen.
Während der Kommunikation über ein Netzwerk sollten Sie verstehen, dass die Netzwerktopologie und die Netzwerkdienste nach umfangreichen Überprüfungen überprüft und aktiviert werden sollten. Daten über das Netzwerk sollten durch die Verwendung privater Schlüssel gut geschützt werden.
Warum ist Sicherheit erforderlich?
Um in einer verteilten Umgebung auf die Informationen zuzugreifen, besteht die Möglichkeit, dass wichtige Informationen und Daten an unbefugten Zugriff weitergegeben werden und die Systemsicherheit beeinträchtigt wird, weil entweder - Fehlende Kennwortrichtlinien, Standard-Superuser nicht gut gewartet werden oder aus anderen Gründen.
Einige Hauptgründe für die Verletzung des Zugriffs in einem SAP-System sind:
Starke Passwortrichtlinien werden nicht beibehalten.
Standardbenutzer, Superuser und DB-Benutzer werden nicht ordnungsgemäß verwaltet und Kennwörter werden nicht regelmäßig geändert.
Profilparameter sind nicht korrekt definiert.
Nicht erfolgreiche Anmeldeversuche werden nicht überwacht und Richtlinien für das Ende der Sitzung für nicht genutzte Benutzer werden nicht definiert.
Die Sicherheit der Netzwerkkommunikation wird beim Senden von Daten über das Internet und ohne Verwendung von Verschlüsselungsschlüsseln nicht berücksichtigt.
Datenbankbenutzer werden nicht ordnungsgemäß gewartet und beim Einrichten der Informationsdatenbank werden keine Sicherheitsmaßnahmen berücksichtigt.
Single Sign-Ons werden in einer SAP-Umgebung nicht ordnungsgemäß konfiguriert und verwaltet.
Um alle oben genannten Gründe zu überwinden, müssen Sie Sicherheitsrichtlinien in Ihrer SAP-Umgebung definieren. Sicherheitsparameter sollten definiert und Kennwortrichtlinien nach regelmäßigen Zeitintervallen überprüft werden.
Die Datenbanksicherheit ist eine der entscheidenden Komponenten für die Sicherung Ihrer SAP-Umgebung. Daher müssen Sie Ihre Datenbankbenutzer verwalten und sicherstellen, dass Kennwörter gut geschützt sind.
Der folgende Sicherheitsmechanismus sollte im System angewendet werden, um die SAP-Umgebung vor unbefugtem Zugriff zu schützen:
- Benutzerauthentifizierung und -verwaltung
- Sicherheit der Netzwerkkommunikation
- Schutz von Standardbenutzern und Superusern
- Schutz vor nicht erfolgreichen Anmeldungen
- Profilparameter und Kennwortrichtlinien
- SAP-Systemsicherheit unter Unix und Windows Platform
- Single Sign-On-Konzept
Daher ist die Sicherheit im SAP-System in einer verteilten Umgebung erforderlich, und Sie müssen sicherstellen, dass Ihre Daten und Prozesse Ihre Geschäftsanforderungen erfüllen, ohne den unbefugten Zugriff auf wichtige Informationen zuzulassen. In einem SAP-System können menschliche Fehler, Nachlässigkeit oder versuchte Manipulationen am System zum Verlust kritischer Informationen führen.
Wenn ein nicht autorisierter Benutzer unter einem bekannten autorisierten Benutzer auf das SAP-System zugreifen und Konfigurationsänderungen vornehmen sowie die Systemkonfiguration und die wichtigsten Richtlinien bearbeiten kann. Wenn ein autorisierter Benutzer Zugriff auf wichtige Daten und Informationen eines Systems hat, kann dieser Benutzer auch auf andere wichtige Informationen zugreifen. Dies verbessert die Verwendung einer sicheren Authentifizierung, um die Verfügbarkeit, Integrität und Privatsphäre eines Benutzersystems zu schützen.
Authentifizierungsmechanismus in einem SAP-System
Der Authentifizierungsmechanismus definiert die Art und Weise, wie Sie auf Ihr SAP-System zugreifen. Es werden verschiedene Authentifizierungsmethoden bereitgestellt -
- Benutzer-IDs und Benutzerverwaltungstools
- Sichere Netzwerkkommunikation
- SAP-Anmeldetickets
- X.509-Client-Zertifikate
Benutzer-IDs und Benutzerverwaltungstools
Die häufigste Authentifizierungsmethode in einem SAP-System ist die Verwendung des Benutzernamens und des Kennworts zur Anmeldung. Die anzumeldenden Benutzer-IDs werden vom SAP-Administrator erstellt. Um einen sicheren Authentifizierungsmechanismus über den Benutzernamen und das Kennwort bereitzustellen, müssen Kennwortrichtlinien definiert werden, mit denen Benutzer kein einfach vorhergesagtes Kennwort festlegen können.
SAP bietet verschiedene Standardparameter, die Sie festlegen sollten, um Kennwortrichtlinien zu definieren - Kennwortlänge, Kennwortkomplexität, Standardkennwortänderung usw.
User Management Tools in einem SAP-System
SAP NetWeaver Systembietet verschiedene Benutzerverwaltungstools, mit denen Benutzer in Ihrer Umgebung effektiv verwaltet werden können. Sie bieten eine sehr starke Authentifizierungsmethode für beide Arten von NetWeaver-Anwendungsservern - Java und ABAP.
Einige der gängigsten Benutzerverwaltungstools sind:
Benutzerverwaltung für ABAP Application Server (Transaktionscode: SU01)
Mit der Benutzerverwaltung Transaction-Code SU01 können Sie Benutzer in Ihren ABAP-basierten Anwendungsservern verwalten.
SAP NetWeaver Identity Management
Sie können SAP NetWeaver Identity Management sowohl für die Benutzerverwaltung als auch für die Verwaltung von Rollen und Rollenzuweisungen in Ihrer SAP-Umgebung verwenden.
PFCG-Rollen
Mit dem Profilgenerator PFCG können Sie Rollen erstellen und Benutzern in ABAP-basierten Systemen Berechtigungen zuweisen.
Transaction Code - PFCG
Zentrale Benutzerverwaltung
Mit CUA können Sie Benutzer für mehrere ABAP-basierte Systeme verwalten. Sie können es auch mit Ihren Verzeichnisservern synchronisieren. Mit diesem Tool können Sie den gesamten Benutzerstammsatz zentral vom Client des Systems aus verwalten.
Transaction Code - SCUA und Verteilungsmodell erstellen.
User Management Engine UME
Sie können UME-Rollen verwenden, um die Benutzerberechtigung im System zu steuern. Ein Administrator kann Aktionen verwenden, die die kleinste Entität der UME-Rolle darstellen, mit der ein Benutzer Zugriffsrechte erstellen kann.
Sie können die UME-Verwaltungskonsole mit der Option SAP NetWeaver Administrator öffnen.
Kennwortrichtlinie
Eine Kennwortrichtlinie ist definiert als eine Reihe von Anweisungen, die ein Benutzer befolgen muss, um die Systemsicherheit zu verbessern, indem er sichere Kennwörter verwendet und diese ordnungsgemäß verwendet. In vielen Organisationen wird die Kennwortrichtlinie als Teil des Sicherheitsbewusstseins-Trainings gemeinsam genutzt, und Benutzer müssen die Sicherheitsrichtlinie für kritische Systeme und Informationen in einer Organisation einhalten.
Mithilfe der Kennwortrichtlinie in einem SAP-System kann ein Administrator Systembenutzer so einrichten, dass sichere Kennwörter bereitgestellt werden, die nicht leicht zu knacken sind. Dies hilft auch, das Kennwort aus Gründen der Systemsicherheit in regelmäßigen Zeitabständen zu ändern.
Die folgenden Kennwortrichtlinien werden häufig in einem SAP-System verwendet:
Standard- / Erstkennwortänderung
Auf diese Weise können die Benutzer das ursprüngliche Kennwort bei der ersten Verwendung sofort ändern.
Passwortlänge
In einem SAP-System beträgt die Mindestlänge für Kennwörter in SAP-Systemen standardmäßig 3. Dieser Wert kann mithilfe des Profilparameters geändert werden. Die maximal zulässige Länge beträgt 8.
Transaction Code - RZ11
Parameter Name - login / min_password_lng
Sie können auf die Dokumentation des Profilparameters für diese Richtlinie klicken und die detaillierte Dokumentation von SAP wie folgt anzeigen:
Parameter - login / min_password_lng
Short text - Minimale Passwortlänge
Parameter Description- Dieser Parameter gibt die Mindestlänge des Anmeldekennworts an. Das Passwort muss mindestens drei Zeichen enthalten. Der Administrator kann jedoch eine größere Mindestlänge angeben. Diese Einstellung gilt, wenn neue Kennwörter zugewiesen werden und wenn vorhandene Kennwörter geändert oder zurückgesetzt werden.
Application Area - Anmeldung
Parameter Unit - Anzahl der Zeichen (alphanumerisch)
Default Value - 6
Who is permitted to make changes? Kunde
Operating System Restrictions - Keine
Database System Restrictions - Keine
Illegale Passwörter
Sie können das erste Zeichen eines Passworts nicht als Fragezeichen (?) Oder Ausrufezeichen (!) Auswählen. Sie können auch die anderen Zeichen, die Sie einschränken möchten, in die Tabelle für unzulässige Kennwörter einfügen.
Transaction Code - SM30-Tabellenname: USR40.
Sobald Sie die Tabelle betreten - USR40 und klicken Sie auf Display Oben wird die Liste aller unzulässigen Passwörter angezeigt.
Sobald Sie auf klicken New Entrieskönnen Sie die neuen Werte in diese Tabelle eingeben und das Kontrollkästchen Groß- und Kleinschreibung beachten aktivieren.
Passwortmuster
Sie können auch festlegen, dass die ersten drei Zeichen des Kennworts nicht in derselben Reihenfolge wie der Benutzername angezeigt werden. Verschiedene Kennwortmuster, die mithilfe der Kennwortrichtlinie eingeschränkt werden können, umfassen:
- Die ersten drei Zeichen können nicht alle gleich sein.
- Die ersten drei Zeichen dürfen keine Leerzeichen enthalten.
- Das Passwort darf nicht PASS oder SAP sein.
Passwortänderung
In dieser Richtlinie kann ein Benutzer sein Kennwort fast einmal am Tag ändern, ein Administrator kann das Kennwort eines Benutzers jedoch so oft wie nötig zurücksetzen.
Ein Benutzer sollte nicht berechtigt sein, die letzten fünf Passwörter wiederzuverwenden. Ein Administrator kann jedoch das Kennwort zurücksetzen, das zuvor von einem Benutzer verwendet wurde.
Profilparameter
Es gibt verschiedene Profilparameter, die Sie in einem SAP-System für die Benutzerverwaltung und Kennwortrichtlinie definieren können.
In einem SAP-System können Sie die Dokumentation für jeden Profilparameter anzeigen, indem Sie auf gehen Tools → CCMS → Configuration →Profile Maintenance(Transaktion: RZ11). Geben Sie den Parameternamen ein und klicken Sie aufDisplay.
Im nächsten Fenster, das angezeigt wird, müssen Sie den Parameternamen eingeben, Sie können 2 Optionen sehen -
Display - Anzeige des Wertes von Parametern im SAP-System.
Display Docu - Anzeigen der SAP-Dokumentation für diesen Parameter.
Wenn Sie auf die Schaltfläche Anzeigen klicken, werden Sie zu verschoben Maintain Profile ParameterBildschirm. Sie können die folgenden Details sehen -
- Name
- Type
- Auswahlkriterium
- Parametergruppe
- Parameterbeschreibung und vieles mehr
Unten haben Sie den aktuellen Parameterwert login/min_password_lng
Wenn Sie auf klicken Display Doc Mit dieser Option wird die SAP-Dokumentation für den Parameter angezeigt.
Parameterbeschreibung
Dieser Parameter gibt die Mindestlänge des Anmeldekennworts an. Das Passwort muss mindestens drei Zeichen enthalten. Der Administrator kann jedoch eine größere Mindestlänge angeben. Diese Einstellung gilt, wenn neue Kennwörter zugewiesen werden und wenn vorhandene Kennwörter geändert oder zurückgesetzt werden.
Jeder Parameter hat einen Standardwert, zulässiger Wert wie folgt -
In einem SAP-System gibt es verschiedene Passwortparameter. Sie können jeden Parameter in das Feld eingebenRZ11 Transaktion und kann die Dokumentation anzeigen.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Führen Sie aus, um den Parameterwert zu ändern Transaction RZ10 und wählen Sie das Profil wie unten gezeigt -
Multiple application servers - Verwenden Sie das DEFAULT-Profil.
Single Application servers - Verwenden Sie das Instanzprofil.
Wählen Extended Maintenance und klicken Sie auf Display.
Wählen Sie den Parameter aus, den Sie ändern möchten, und klicken Sie auf Parameter oben.
Wenn Sie auf die Registerkarte Parameter klicken, können Sie den Wert des Parameters in einem neuen Fenster ändern. Sie können den neuen Parameter auch erstellen, indem Sie auf klickenCreate (F5).
In diesem Fenster können Sie auch den Status des Parameters anzeigen. Geben Sie den Parameterwert ein und klicken Sie aufCopy.
Sie werden aufgefordert, zu speichern, wenn Sie den Bildschirm verlassen. Klicken Sie auf Ja, um den Parameterwert zu speichern.
Secure Network Communication (SNC)kann auch verwendet werden, um sich mit einer sicheren Authentifizierungsmethode bei einem Anwendungsserver anzumelden. Sie können SNC zur Benutzerauthentifizierung über SAP GUI für Windows oder über eine RFC-Verbindung verwenden.
Die SNC verwendet ein externes Sicherheitsprodukt, um die Authentifizierung zwischen den Kommunikationspartnern durchzuführen. Sie können Sicherheitsmaßnahmen wie die PKI der öffentlichen Schlüsselinfrastruktur und Verfahren zum Generieren und Verteilen von Schlüsselpaaren verwenden.
Sie sollten eine Netzwerktopologie definieren, mit der Bedrohungen beseitigt und Netzwerkangriffe verhindert werden können. Wenn sich Benutzer nicht bei der Anwendungs- oder Datenbankebene anmelden können, können Angreifer nicht auf das SAP-System oder das Datenbanksystem zugreifen, um auf wichtige Informationen zuzugreifen.
Eine genau definierte Netzwerktopologie ermöglicht es Eindringlingen nicht, eine Verbindung zum LAN des Unternehmens herzustellen, und bietet daher keinen Zugriff auf Sicherheitslücken in den Netzwerkdiensten oder im SAP-System.
Netzwerktopologie in einem SAP-System
Ihre physische Netzwerkarchitektur hängt vollständig von der Größe Ihres SAP-Systems ab. Ein SAP-System wird üblicherweise mit einer Client-Server-Architektur implementiert, und jedes System ist üblicherweise in die folgenden drei Schichten unterteilt:
- Datenbankebene
- Anwendungsschicht
- Präsentationsfolie
Wenn Ihr SAP-System klein ist, verfügt es möglicherweise nicht über einen separaten Anwendungs- und Datenbankserver. In einem großen System kommunizieren jedoch viele Anwendungsserver mit einem Datenbankserver und mehreren Frontends. Dies definiert die Netzwerktopologie eines Systems von einfach bis komplex. Bei der Organisation Ihrer Netzwerktopologie sollten Sie verschiedene Szenarien berücksichtigen.
In einer großen Organisation wird empfohlen, dass Sie Ihre Anwendung und Ihren Datenbankserver auf verschiedenen Computern installieren und in einem vom Frontend-System getrennten LAN platzieren.
In der folgenden Abbildung sehen Sie die bevorzugte Netzwerktopologie eines SAP-Systems -
Wenn Sie Ihre Datenbank und Ihren Anwendungsserver in einem vom Frontend-VLAN getrennten VLAN platzieren, können Sie das Zugriffskontrollsystem verbessern und damit die Sicherheit Ihres SAP-Systems erhöhen. Frontend-Systeme befinden sich in unterschiedlichen VLANs, sodass es nicht einfach ist, in das Server-VLAN zu gelangen und somit die Sicherheit Ihres SAP-Systems zu umgehen.
SAP Network Services
In Ihrem SAP-System sind verschiedene Services aktiviert, für die Ausführung des SAP-Systems sind jedoch nur wenige erforderlich. In einem SAP-System ist dieLandscape, Database und Application Serverssind das häufigste Ziel von Netzwerkangriffen. In Ihrer Landschaft werden viele Netzwerkdienste ausgeführt, die den Zugriff auf diese Server ermöglichen, und diese Dienste sollten sorgfältig überwacht werden.
Auf Ihren Windows / UNIX-Computern werden diese Dienste in verwaltet /etc/services. Sie können diese Datei auf einem Windows-Computer öffnen, indem Sie zum folgenden Pfad gehen:
system32/drivers/etc/services
Sie können diese Datei in einem Editor öffnen und alle aktivierten Dienste auf Ihrem Server überprüfen.
Es wird empfohlen, alle nicht erforderlichen Dienste auf Landschaftsservern zu deaktivieren. Manchmal enthalten diese Dienste einige Fehler, die von Eindringlingen verwendet werden können, um unbefugten Zugriff zu erhalten. Wenn Sie diese Dienste deaktivieren, verringern Sie die Wahrscheinlichkeit eines Angriffs auf Ihr Netzwerk.
Für ein hohes Maß an Sicherheit wird außerdem empfohlen, statische Kennwortdateien in Ihrer SAP-Umgebung zu verwenden.
Private Schlüssel
SNC verwendet ein externes Sicherheitsprodukt, um die Authentifizierung zwischen den Kommunikationspartnern durchzuführen. Sie können Sicherheitsmaßnahmen wie verwendenPublic Key Infrastructure (PKI) und andere Verfahren zum Generieren und Verteilen von Schlüsselpaaren und zum Sicherstellen, dass private Schlüssel für Benutzer ordnungsgemäß gesichert sind.
Es gibt verschiedene Möglichkeiten, die privaten Schlüssel für eine Netzwerkautorisierung zu sichern:
- Hardwarelösung
- Softwarelösung
Lassen Sie uns sie jetzt im Detail diskutieren.
Hardwarelösung
Sie können private Schlüssel für Benutzer mithilfe einer Hardwarelösung schützen, bei der Sie einzelnen Benutzern eine Smartcard ausstellen. Alle Schlüssel sind auf einer Smartcard gespeichert, und der Benutzer sollte sich mithilfe von Fingerabdrücken oder einem PIN-Passwort biometrisch bei seinen Smartcards authentifizieren.
Diese Smartcards sollten von jedem einzelnen Benutzer vor Diebstahl oder Verlust geschützt werden, und Benutzer können die Karte zum Verschlüsseln der Dokumente verwenden.
Benutzer dürfen die Smartcards nicht freigeben oder anderen Benutzern geben.
Softwarelösung
Es ist auch möglich, eine Softwarelösung zum Speichern privater Schlüssel für einzelne Benutzer zu verwenden. Softwarelösungen sind im Vergleich zu Hardwarelösungen kostengünstiger, aber auch weniger sicher.
Wenn Benutzer private Schlüssel in Dateien und Benutzerdetails speichern, müssen diese Dateien für den unbefugten Zugriff gesichert werden.
Wenn Sie das SAP-System zum ersten Mal installieren, werden einige Standardbenutzer erstellt, um Verwaltungsaufgaben auszuführen. Standardmäßig werden drei Clients in der SAP-Umgebung erstellt:
Client 000 - SAP-Referenzclient
Client 001 - Template Client von SAP
Client 066 - SAP Early Watch Client
SAP erstellt Standardbenutzer im oben genannten Client im System. Jeder Standardbenutzer hat bei der ersten Installation ein eigenes Standardkennwort.
Standardbenutzer in einem SAP-System umfassen die folgenden Benutzer unter Standardclient:
Nutzer | Einzelheiten | Klient | Standard-Passwort |
---|---|---|---|
SAFT | SAP System Super User | 000, 001, 066 | 6071992 |
Alle neuen Kunden | BESTEHEN | ||
DDIC | ABAP Dictionary Super User | 000, 001 | 19920706 |
SAPCPIC | CPI-C-Benutzer für SAP | 000, 001 | Administrator |
EARLYWATCH | Early Watch User | 66 | Unterstützung |
Dies sind die Standardbenutzer unter SAP-Standardclients, die Verwaltungs- und Konfigurationsaufgaben im SAP-System ausführen. Um die Sicherheit in einem SAP-System zu gewährleisten, sollten Sie diese Benutzer schützen -
Sie sollten diese Benutzer zur Gruppe SUPER hinzufügen, damit sie nur von einem Administrator geändert werden, der die Berechtigung hat, Benutzer zur Gruppe SUPER hinzuzufügen / zu ändern.
Das Standardkennwort für Standardbenutzer sollte geändert werden.
Wie wird die Liste der Kunden in einem SAP-System angezeigt?
Mit Transaction können Sie die Liste aller Clients in Ihrer SAP-Umgebung anzeigen SM30, Tabelle anzeigen T000.
Wenn Sie die Tabelle betreten, klicken Sie auf DisplayEs zeigt Ihnen die Liste aller Clients in Ihrem SAP-System. Diese Tabelle enthält Details zu allen Standardclients und neuen Clients, die Sie in einer Umgebung für die gemeinsame Nutzung von Ressourcen erstellen.
Sie können den Bericht verwenden RSUSR003 um sicherzustellen, dass der Benutzer SAP in allen Clients erstellt wurde und dass die Standardkennwörter für SAP, DDIC und SAPCPIC geändert wurden.
Gehe zu ABAP Editor SE38 Geben Sie den Berichtsnamen ein und klicken Sie auf AUSFÜHREN.
Geben Sie den Titel des Berichts ein und klicken Sie auf ExecuteTaste. Es werden alle Clients und Standardbenutzer in SAP-System, Kennwortstatus, Verwendungsgrundsperre, Gültig von und Gültig bis usw. angezeigt.
Schutz des SAP System Super User
Um einen SAP-System-Superuser „SAP“ zu schützen, können Sie in einem System die folgenden Schritte ausführen:
Step 1- Sie müssen den neuen Super User in einem SAP-System definieren und den SAP-User deaktivieren. Beachten Sie, dass Sie den Benutzer SAP im System nicht löschen dürfen. Um den fest codierten Benutzer zu deaktivieren, können Sie den Profilparameter verwenden:login/no_automatic_user_sapstar.
Wenn der Benutzerstammsatz des Benutzers SAP * gelöscht wird, ist es möglich, sich mit „SAP“ und dem Anfangskennwort PASS anzumelden.
Der Benutzer "SAP" hat die folgenden Eigenschaften:
Der Benutzer verfügt über vollständige Berechtigungen, da keine Berechtigungsprüfungen durchgeführt werden.
Das Standardkennwort PASS kann nicht geändert werden.
Sie können den Profilparameter verwenden login/no_automatic_user_sapstar um diese speziellen Eigenschaften von SAP zu deaktivieren und die automatische Anmeldung des Benutzers SAP * zu steuern.
Step 2 - Um den Wert dieses Parameters zu überprüfen, führen Sie Transaktion aus RZ11 und geben Sie den Parameternamen ein.
Values allowed - 0, 1, in denen -
0 - Automatischer Benutzer SAP * ist zulässig.
1 - Der automatische Benutzer SAP * ist deaktiviert.
Step 3 - Im folgenden System sehen Sie, dass der Wert dieses Parameters auf 1 gesetzt ist. Dies zeigt, dass der Superuser „SAP“ im System deaktiviert ist.
Step 4 - Klicken Sie auf Display und Sie können den aktuellen Wert dieses Parameters sehen.
Um einen neuen Superuser im System anzulegen, definieren Sie einen neuen Benutzerstammsatz und weisen Sie das Profil zu SAP_ALL an diesen Superuser.
DDIC-Benutzerschutz
Ein DDIC-Benutzer ist für bestimmte Aufgaben im Zusammenhang mit Softwarelogistik, ABAP Dictionary und Aufgaben im Zusammenhang mit Installation und Upgrade erforderlich. Um diesen Benutzer zu schützen, ist es ratsam, diesen Benutzer in einem SAP-System zu sperren. Sie sollten diesen Benutzer nicht löschen, um einige Funktionen für die zukünftige Verwendung auszuführen.
Verwenden Sie den Transaktionscode, um den Benutzer zu sperren: SU01.
Wenn Sie diesen Benutzer schützen möchten, können Sie die zuweisen SAP_ALL Autorisierung für diesen Benutzer zum Zeitpunkt der Installation und später sperren.
Schutz des SAPCPIC-Benutzers
Ein SAPCPIC-Benutzer wird zum Aufrufen bestimmter Programme und Funktionsbausteine in einem SAP-System verwendet und ist kein Nicht-Dialogbenutzer.
Sie sollten diesen Benutzer sperren und das Kennwort für diesen Benutzer ändern, um ihn zu schützen. Wenn Sie in früheren Versionen den SAPCPIC-Benutzer sperren oder das Kennwort ändern, wirkt sich dies auf zusätzliche Programme RSCOLL00, RSCOLL30 und LSYPGU01 aus.
Schutz der frühen Uhr
A 066-Client - Dies wird als SAP Early Watch bezeichnet und für Diagnose-Scans und Überwachungsdienste im SAP-System verwendet. Der Benutzer EARLYWATCH ist der interaktive Benutzer für den Early Watch-Dienst im Client 066. Um diesen Benutzer zu sichern, können Sie die folgenden Aktionen ausführen:
- Sperren Sie den EARLYWATCH-Benutzer, bis er in einer SAP-Umgebung nicht mehr benötigt wird.
- Ändern Sie das Standardkennwort für diesen Benutzer.
Wichtige Punkte
Um SAP Standard-Benutzer und Clients in der SAP-Landschaft zu schützen, sollten Sie die folgenden wichtigen Punkte berücksichtigen:
Sie sollten die Clients in einem SAP-System ordnungsgemäß verwalten und sicherstellen, dass keine unbekannten Clients vorhanden sind.
Sie müssen sicherstellen, dass der SAP-Superuser „SAP“ in allen Clients vorhanden und deaktiviert ist.
Sie müssen sicherstellen, dass das Standardkennwort für alle SAP-Standardbenutzer SAP, DDIC und EARLYWATCH geändert wird.
Sie müssen sicherstellen, dass alle Standardbenutzer der SUPER-Gruppe in einem SAP-System hinzugefügt wurden und die einzige Person, die berechtigt ist, Änderungen an der SUPER-Gruppe vorzunehmen, nur diese Benutzer bearbeiten kann.
Sie müssen sicherstellen, dass das Standardkennwort für SAPCPIC geändert wurde und dieser Benutzer gesperrt und bei Bedarf entsperrt ist.
Alle SAP-Standardbenutzer sollten gesperrt sein und können nur entsperrt werden, wenn dies erforderlich ist. Das Passwort sollte für alle diese Benutzer gut geschützt sein.
Wie ändere ich das Passwort eines Standardbenutzers?
Sie sollten sicherstellen, dass das Kennwort für alle SAP-Standardbenutzer in allen Clients geändert wird, die in verwaltet werden Table T000 und Benutzer "SAP" sollte für alle Clients vorhanden sein.
Um das Passwort zu ändern, melden Sie sich mit dem Superuser an. Geben Sie die Benutzer-ID in das Feld Benutzername ein, für das Sie das Kennwort ändern möchten. Klicken Sie auf die Option Passwort ändern, wie im folgenden Screenshot gezeigt -
Geben Sie das neue Passwort ein, wiederholen Sie das Passwort und klicken Sie auf Apply. Sie sollten den gleichen Vorgang für alle Standardbenutzer wiederholen.
Um die Sicherheit in einem SAP-System zu implementieren, muss die nicht erfolgreiche Anmeldung in einer SAP-Umgebung überwacht werden. Wenn jemand versucht, sich mit einem falschen Kennwort bei einem System anzumelden, sollte das System entweder den Benutzernamen für einige Zeit sperren oder diese Sitzung nach einer definierten Anzahl von Versuchen beenden.
Für nicht autorisierte Anmeldeversuche können verschiedene Sicherheitsparameter festgelegt werden -
- Beenden einer Sitzung
- Benutzer sperren
- Bildschirmschoner aktivieren
- Überwachen erfolgloser Anmeldeversuche
- Anmeldeversuche aufzeichnen
Lassen Sie uns nun jeden dieser Punkte im Detail besprechen.
Beenden einer Sitzung
Wenn für eine einzelne Benutzer-ID mehrere erfolglose Anmeldeversuche durchgeführt wurden, beendet das System die Sitzung für diesen Benutzer. Dies sollte mit einem Profilparameter gesendet werden -login/fails_to_session_end.
Führen Sie Transaktion aus, um den Parameterwert zu ändern RZ10und wählen Sie das Profil aus, wie im folgenden Screenshot gezeigt. Wählen Sie Erweiterte Wartung und klicken Sie aufDisplay.
Wählen Sie den Parameter aus, den Sie ändern möchten, und klicken Sie auf Parameter Schaltfläche oben wie unten gezeigt.
Wenn Sie auf die Registerkarte Parameter klicken, können Sie den Wert des Parameters in einem neuen Fenster ändern. Sie können den neuen Parameter auch erstellen, indem Sie auf klickenCreate (F5) Taste.
Führen Sie den Transaktionscode aus, um die Details dieses Parameters anzuzeigen: RZ11 und geben Sie den Profilnamen ein - login/fails_to_session_end und klicken Sie auf Display Document.
Parameter - login / fail_to_session_end
Short text - Anzahl ungültiger Anmeldeversuche bis zum Ende der Sitzung.
Parameter Description - Anzahl ungültiger Anmeldeversuche, die mit einem Benutzerstammsatz durchgeführt werden können, bis der Anmeldevorgang beendet ist.
Application Area - Anmeldung
Default Value - 3
Who is permitted to make changes? - Kunde
Operating System Restrictions - Keine
Database System Restrictions - Keine
Are other parameters affected or dependent? - Keine
Values allowed - 1 - 99
Im obigen Screenshot sehen Sie, dass der Wert dieses Parameters auf 3 gesetzt ist, dh auch auf den Standardwert. Nach 3 erfolglosen Anmeldeversuchen wird die Sitzung für einen einzelnen Benutzer beendet.
Benutzer sperren
Sie können auch eine bestimmte Benutzer-ID überprüfen, wenn eine festgelegte Anzahl aufeinanderfolgender erfolgloser Anmeldeversuche unter einer einzelnen Benutzer-ID überschritten wird. Legen Sie die Anzahl der ungültigen Anmeldeversuche fest, die im Profilparameter zulässig sind:login/fails_to_user_lock.
Es ist möglich, bestimmte Benutzer-IDs zu sperren.
Eine Benutzer-ID wird bis Mitternacht gesperrt. Es kann jedoch auch jederzeit manuell von einem Systemadministrator entfernt werden.
In einem SAP-System können Sie auch einen Parameterwert festlegen, mit dem die Benutzer-ID gesperrt werden kann, bis sie manuell entfernt werden. Parametername:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Jedes Mal, wenn ein falsches Anmeldekennwort eingegeben wird, wird der Zähler für fehlgeschlagene Anmeldungen für den entsprechenden Benutzerstammsatz erhöht. Die Anmeldeversuche können im Sicherheitsüberwachungsprotokoll protokolliert werden. Wenn der durch diesen Parameter angegebene Grenzwert überschritten wird, wird der betreffende Benutzer gesperrt. Dieser Prozess wird auch in Syslog protokolliert.
Die Sperre ist nach Ablauf des aktuellen Tages nicht mehr gültig. (Andere Bedingung −login / failed_user_auto_unlock)
Der Zähler für fehlgeschlagene Anmeldungen wird zurückgesetzt, sobald sich der Benutzer mit dem richtigen Kennwort anmeldet. Anmeldungen, die nicht kennwortbasiert sind, haben keine Auswirkungen auf den Zähler für fehlgeschlagene Anmeldungen. Aktive Anmeldesperren werden jedoch bei jeder Anmeldung überprüft.
Values allowed - 1 - 99
Verwenden Sie, um den aktuellen Wert dieses Parameters anzuzeigen T-Code: RZ11.
Parameter name - login / failed_user_auto_unlock
Short text - Deaktivieren Sie die automatische Entsperrung des gesperrten Benutzers um Mitternacht.
Parameter Description- Steuert das Entsperren von gesperrten Benutzern durch falsche Anmeldung. Wenn der Parameter auf 1 gesetzt ist, gelten Sperren, die aufgrund fehlgeschlagener Anmeldeversuche für Kennwörter festgelegt wurden, nur am selben Tag (wie das Sperren). Wenn der Parameter auf 0 gesetzt ist, bleiben die Sperren wirksam.
Application Area - Anmeldung.
Default Value - 0.
Bildschirmschoner aktivieren
Systemadministratoren können auch Bildschirmschoner aktivieren, um den Frontend-Bildschirm vor unbefugtem Zugriff zu schützen. Diese Bildschirmschoner können passwortgeschützt sein.
Überwachen erfolgloser Anmeldeversuche und Aufzeichnen von Anmeldeversuchen
In einem SAP-System können Sie den Bericht verwenden RSUSR006um zu überprüfen, ob es Benutzer gibt, die erfolglose Anmeldeversuche im System versucht haben. Dieser Bericht enthält Details zur Anzahl der falschen Anmeldeversuche eines Benutzers und der Benutzersperren. Sie können diesen Bericht gemäß Ihren Anforderungen planen.
Gehe zu ABAP Editor SE38 und geben Sie den Berichtsnamen ein und klicken Sie dann auf EXECUTE.
In diesem Bericht haben Sie verschiedene Details wie Benutzername, Typ, Erstellt am, Ersteller, Kennwort, Sperre und falsche Anmeldedaten.
In einem SAP-System ist es auch möglich, dass Sie das Sicherheitsüberwachungsprotokoll (Transaktionen SM18, SM19 und SM20) verwenden, um alle erfolgreichen und erfolglosen Anmeldeversuche aufzuzeichnen. Sie können die Sicherheitsüberwachungsprotokolle mithilfe der SM20-Transaktion analysieren. Die Sicherheitsüberwachung sollte jedoch im System aktiviert sein, um Sicherheitsüberwachungsprotokolle zu überwachen.
Inaktive Benutzer abmelden
Wenn ein Benutzer bereits bei einem SAP-System angemeldet ist und die Sitzung für einen bestimmten Zeitraum inaktiv ist, können Sie ihn auch auf Abmelden setzen, um unbefugten Zugriff zu vermeiden.
Um diese Einstellung zu aktivieren, müssen Sie diesen Wert im Profilparameter angeben: rdisp/gui_auto_logout.
Parameter Description- Sie können festlegen, dass inaktive SAP-GUI-Benutzer nach einer vordefinierten Zeit automatisch von einem SAP-System abgemeldet werden. Der Parameter konfiguriert diesmal. Die automatische Abmeldung im SAP-System ist standardmäßig deaktiviert (Wert 0), dh die Benutzer werden nicht abgemeldet, auch wenn sie längere Zeit keine Aktionen ausführen.
Values allowed- n [Einheit], wobei n> = 0 und Einheit = S | M | H | D.
Führen Sie T-Code aus, um den aktuellen Wert des Parameters anzuzeigen: RZ11.
Die folgende Tabelle zeigt Ihnen die Liste der Schlüsselparameter, deren Standard und zulässigen Wert in einem SAP-System -
Parameter | Beschreibung | Standard | Zulässiger Wert |
---|---|---|---|
Login / fail_to_session_end | Anzahl ungültiger Anmeldeversuche bis zum Ende der Sitzung | 3 | 1-99 |
Login / fail_to_user_lock | Anzahl ungültiger Anmeldeversuche bis zur Benutzersperre | 12 | 1-99 |
Login / failed_user_auto_unlock | Wenn gesetzt t 1: Sperren gelten an dem Tag, an dem sie gesetzt werden. Sie werden am nächsten Tag entfernt, wenn sich der Benutzer anmeldet | 1 | 0 oder 1 |
rdisp / gui_auto_output | Maximale Leerlaufzeit für einen Benutzer in Sekunden | 0 (keine Begrenzung) | uneingeschränkt |
Das SAP-Systemautorisierungskonzept befasst sich mit dem Schutz des SAP-Systems vor der Ausführung von Transaktionen und Programmen vor unbefugtem Zugriff. Sie sollten Benutzern nicht erlauben, Transaktionen und Programme im SAP-System auszuführen, bis sie die Berechtigung für diese Aktivität definiert haben.
Um Ihr System sicherer zu machen und eine starke Autorisierung zu implementieren, müssen Sie Ihren Autorisierungsplan überprüfen, um sicherzustellen, dass er den Sicherheitsanforderungen des Unternehmens entspricht und keine Sicherheitsverletzungen vorliegen.
Benutzertypen
In früheren Versionen des SAP-Systems wurden die Benutzertypen nur in zwei Kategorien unterteilt: Dialogbenutzer und Nichtdialogbenutzer, und nur Nichtdialogbenutzer wurden für die Kommunikation zwischen zwei Systemen empfohlen. Mit SAP 4.6C wurden Benutzertypen in die folgenden Kategorien unterteilt:
Dialog User- Dieser Benutzer wird für den individuellen interaktiven Systemzugriff verwendet und der größte Teil der Client-Arbeit wird über einen Dialogbenutzer ausgeführt. Das Passwort kann vom Benutzer selbst geändert werden. Im Dialogbenutzer können mehrere Dialoganmeldungen verhindert werden.
Service User- Dies wird verwendet, um einen interaktiven Systemzugriff durchzuführen und eine vorgegebene Aufgabe wie die Anzeige des Produktkatalogs auszuführen. Für diesen Benutzer sind mehrere Anmeldungen zulässig, und nur ein Administrator kann das Kennwort für diesen Benutzer ändern.
System User- Diese Benutzer-ID wird verwendet, um die meisten systembezogenen Aufgaben auszuführen - Transport Management System, Definieren von Workflows und ALE. Es ist kein interaktiver systemabhängiger Benutzer, und für diesen Benutzer sind mehrere Anmeldungen zulässig.
Reference User- Ein Referenzbenutzer wird nicht zum Anmelden bei einem SAP-System verwendet. Dieser Benutzer wird verwendet, um internen Benutzern zusätzliche Berechtigungen zu erteilen. In einem SAP-System können Sie auf der Registerkarte Rollen einen Referenzbenutzer für zusätzliche Rechte für Dialogbenutzer angeben.
Communication Users- Dieser Benutzertyp wird verwendet, um die dialogfreie Anmeldung zwischen verschiedenen Systemen wie RFC-Verbindung und CPIC aufrechtzuerhalten. Die Dialoganmeldung über SAP GUI ist für Kommunikationsbenutzer nicht möglich. Ein Benutzertyp kann seine Kennwörter wie normale Dialogbenutzer ändern. Mit dem RFC-Funktionsbaustein kann das Passwort geändert werden.
Der Transaktionscode: SU01wird zur Benutzererstellung in einem SAP-System verwendet. Im folgenden Bildschirm sehen Sie unter der Transaktion SU01 verschiedene Benutzertypen in einem SAP-System.
Benutzer erstellen
Um einen Benutzer oder mehrere Benutzer mit unterschiedlichen Zugriffsrechten in einem SAP-System zu erstellen, sollten Sie die folgenden Schritte ausführen.
Step 1 - Transaktionscode verwenden - SU01.
Step 2 - Geben Sie den Benutzernamen ein, den Sie erstellen möchten, und klicken Sie auf das Symbol zum Erstellen, wie im folgenden Screenshot gezeigt.
Step 3- Sie werden zur nächsten Registerkarte weitergeleitet - der Registerkarte Adresse. Hier müssen Sie Details wie Vorname, Nachname, Telefonnummer, E-Mail-ID usw. eingeben.
Step 4 - Sie werden weiter zur nächsten Registerkarte weitergeleitet - Logon Data. Geben Sie den Benutzertyp auf der Registerkarte Anmeldedaten ein. Wir haben fünf verschiedene Benutzertypen.
Step 5 - Geben Sie das erste Anmeldekennwort → Neues Kennwort → Kennwort wiederholen ein.
Step 6 - Sie werden zur nächsten Registerkarte weitergeleitet. - Rollen - Weisen Sie dem Benutzer die Rollen zu.
Step 7 - Sie werden weiter zur nächsten Registerkarte weitergeleitet. - Profile - Weisen Sie die Profile den Benutzern zu.
Step 8 - Klicken Sie auf Speichern, um eine Bestätigung zu erhalten.
Zentrale Benutzerverwaltung (CUA)
Die zentrale Benutzerverwaltung ist eines der Schlüsselkonzepte, mit denen Sie alle Benutzer in einer SAP-Systemlandschaft über ein zentrales System verwalten können. Mit diesem Tool können Sie alle Benutzerstammsätze zentral in einem System verwalten. Mit einem zentralen Benutzeradministrator können Sie Geld und Ressourcen sparen, wenn Sie ähnliche Benutzer in einer Systemlandschaft verwalten.
Die Vorteile der zentralen Benutzerverwaltung sind:
Wenn Sie CUA in der SAP-Landschaft konfigurieren, können Sie Benutzer nur über das zentrale System erstellen oder löschen.
Alle erforderlichen Rollen und Berechtigungen sind in einem untergeordneten System in aktiven Formen vorhanden.
Alle Benutzer werden zentral überwacht und verwaltet, wodurch die Verwaltungsaufgabe für alle Benutzerverwaltungsaktivitäten in einer komplexen Systemlandschaft einfacher und übersichtlicher wird.
Mit dem zentralen Benutzeradministrator können Sie Geld und Ressourcen sparen, wenn Sie ähnliche Benutzer in einer Systemlandschaft verwalten.
Der Datenaustausch erfolgt mit dem ALE Landschaft genannt als Application Link EnablingDadurch können die Daten kontrolliert ausgetauscht werden. ALE wird vom zentralen Benutzeradministrator für den Datenaustausch mit untergeordneten Systemen in einer SAP-Systemlandschaft verwendet.
In einer komplexen Landschaftsumgebung definieren Sie ein System als zentrales System mit ALE-Umgebung, das über den bidirektionalen Datenaustausch mit allen untergeordneten Systemen verknüpft ist. Das untergeordnete System in der Landschaft ist nicht miteinander verbunden.
Um die zentrale Benutzerverwaltung zu implementieren, sollten die folgenden Punkte berücksichtigt werden:
Sie benötigen eine SAP-Umgebung mit mehreren Clients in einer einzigen / verteilten Umgebung.
Der Administrator zum Verwalten von Benutzern benötigt eine Berechtigung für die folgenden Transaktionscodes.
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Sie sollten eine vertrauenswürdige Beziehung zwischen Systemen erstellen.
Sie sollten Systembenutzer im zentralen und untergeordneten System erstellen.
Erstellen Sie ein logisches System und weisen Sie dem entsprechenden Client ein logisches System zu.
Erstellen Sie eine Modellansicht und ein BAPI zur Modellansicht.
Erstellen Sie einen zentralen Benutzeradministrator und legen Sie Verteilungsparameter für Felder fest.
Synchronisieren Sie Firmenadressen
Benutzer übertragen
In einer zentral verwalteten Umgebung müssen Sie zuerst einen Administrator erstellen. Melden Sie sich in allen logischen Systemen der zukünftigen CUA als Benutzer SAP * mit dem Standardkennwort PASS an.
Führen Sie die Transaktion aus SU01 und erstellen Sie einen Benutzer mit der ihm zugewiesenen Administratorrolle.
Verwenden Sie zum Definieren eines logischen Systems die Transaktion BD54. Klicken Sie auf Neue Einträge, um ein neues logisches System zu erstellen.
Erstellen Sie einen neuen logischen Namen in Großbuchstaben für die zentrale Benutzerverwaltung für zentrale und alle untergeordneten Systeme, einschließlich solcher aus anderen SAP-Systemen.
Um das System leicht zu identifizieren, haben Sie die folgende Namenskonvention, mit der Sie das zentrale Benutzerverwaltungssystem identifizieren können:
<System ID>CLNT<Client>
Geben Sie eine nützliche Beschreibung eines logischen Systems ein. Speichern Sie Ihren Eintrag, indem Sie auf klickenSaveTaste. Als Nächstes erstellen Sie den logischen Systemnamen für das zentrale System in allen untergeordneten Systemen.
Verwenden Sie Transaktion, um einem Client ein logisches System zuzuweisen SCC4 und wechseln Sie in den Änderungsmodus.
Öffnen Sie den Client, den Sie dem logischen System zuweisen möchten, indem Sie darauf doppelklicken oder auf klicken DetailsTaste. Ein Client kann nur einem logischen System zugewiesen werden.
Geben Sie in ein Feld für ein logisches System in den Clientdetails einen logischen Systemnamen ein, dem Sie diesen Client zuweisen möchten.
Führen Sie die obigen Schritte für alle Clients in einer SAP-Umgebung aus, die Sie in den Central User Administrator aufnehmen möchten. Um Ihre Einstellungen zu speichern, klicken Sie aufSave Schaltfläche oben.
Schutz bestimmter Profile in SAP
Um die Sicherheit in einem SAP-System zu gewährleisten, müssen Sie bestimmte Profile verwalten, die eine kritische Berechtigung enthalten. Es gibt verschiedene SAP-Berechtigungsprofile, die Sie in einem SAP-System mit vollständiger Berechtigung schützen müssen.
Einige Profile, die in einem SAP-System geschützt werden müssen, sind:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL Berechtigungsprofil
Mit einem Berechtigungsprofil SAP_ALL kann der Benutzer alle Aufgaben in einem SAP-System ausführen. Dies ist das zusammengesetzte Profil, das alle Berechtigungen in einem SAP-System enthält. Die Benutzer mit dieser Berechtigung können alle Aktivitäten in einem SAP-System ausführen. Daher sollte dieses Profil keinem Benutzer in Ihrem System zugewiesen werden.
Es wird empfohlen, einen einzelnen Benutzer mit einem Profil zu pflegen. Das Kennwort sollte für diesen Benutzer gut geschützt sein und nur verwendet werden, wenn es erforderlich ist.
Anstatt SAP_ALL-Berechtigungen zuzuweisen, sollten Sie den entsprechenden Benutzern einzelne Berechtigungen zuweisen. Ihr System-Superuser / Systemadministration, anstatt ihnen eine SAP_ALL-Berechtigung zuzuweisen, sollten Sie einzelne erforderliche Berechtigungen verwenden.
SAP_NEW-Autorisierung
Eine SAP_NEW-Berechtigung enthält alle Berechtigungen, die in einer neuen Version erforderlich sind. Wenn ein System-Upgrade durchgeführt wird, wird dieses Profil verwendet, damit einige Aufgaben ordnungsgemäß ausgeführt werden.
Beachten Sie die folgenden Punkte zu dieser Autorisierung:
Wenn ein System-Upgrade durchgeführt wird, müssen Sie zuvor die SAP_NEW-Profile für Releases löschen.
Sie müssen verschiedenen Benutzern in Ihrer Umgebung separate Berechtigungen unter dem Profil SAP_NEW zuweisen.
Dieses Profil sollte nicht zu lange aktiv bleiben.
Wenn Sie eine lange Liste von SAP_NEW-Profilen in der Umgebung haben, müssen Sie Ihre Berechtigungsrichtlinie im System überprüfen.
Um die Liste aller SAP_NEW-Profile anzuzeigen, sollten Sie dieses Profil durch Doppelklick auswählen und dann → gehen zu Choose.
P_BAS_ALL Autorisierung
Mit dieser Berechtigung kann der Benutzer den Inhalt von Tabellen aus anderen Anwendungen anzeigen. Diese Berechtigung enthältP_TABU_DISGenehmigung. Mit dieser Berechtigung kann der PA-Benutzer den Tabelleninhalt anzeigen, der nicht zu seiner Gruppe gehört.
PFCG-Rollenpflege
Mit der PFCG-Rollenpflege können Rollen und Berechtigungen in einem SAP-System verwaltet werden. In PFCG stellt die Rolle eine Arbeit dar, die eine Person in Bezug auf reale Szenarien ausführt. Mit PFCG können Sie eine Reihe von Transaktionen definieren, die einer Person zugewiesen werden können, um ihre tägliche Arbeit auszuführen.
Wenn die Rollen in einer PFCG-Transaktion erstellt werden, können Sie die Transaktion verwenden SU01um diese Rollen einzelnen Benutzern zuzuweisen. Einem Benutzer in einem SAP-System können mehrere Rollen zugewiesen werden, die sich auf seine tägliche Aufgabe im realen Leben beziehen.
Diese Rollen stehen in Verbindung zwischen Benutzer und Berechtigungen in einem SAP-System. Die eigentlichen Berechtigungen und Profile werden in Form von Objekten in einem SAP-System gespeichert.
Mit der PFCG-Rollenpflege können Sie die folgenden Funktionen ausführen:
- Rollen ändern und zuweisen
- Rollen erstellen
- Zusammengesetzte Rollen erstellen
- Rollen transportieren und verteilen
Lassen Sie uns diese Funktionen nun im Detail diskutieren.
Rollen ändern und zuweisen
Transaktion ausführen: PFCG
Sie gelangen zum Rollenwartungsfenster. Geben Sie zum Ändern der vorhandenen Rolle den Namen der gelieferten Rolle in das Feld ein.
Kopieren Sie die Standardrolle, indem Sie auf die Schaltfläche Rolle kopieren klicken. Geben Sie den Namen aus dem Namespace ein. Klicken Sie auf die Schaltfläche zur Wertauswahl und wählen Sie die Rolle aus, in die Sie diese kopieren möchten.
Sie können auch die ausgelieferten Rollen auswählen, mit denen SAP beginnt SAP_, Dann werden die Standardrollen überschrieben.
Um die Rolle zu ändern, klicken Sie auf Change Schaltfläche in der Rollenpflege.
Navigieren Sie zur Registerkarte Menü, um das Benutzermenü auf der Registerkarte Menü zu ändern. Wechseln Sie zur Registerkarte Autorisierung, um die Autorisierungsdaten für diesen Benutzer zu ändern.
Sie können auch den Expertenmodus verwenden, um die Berechtigungen für die Menüänderungen unter Autorisierung anzupassen. Klicken Sie auf die Schaltfläche Generieren, um das Profil für diese Rolle zu generieren.
Um die Benutzer dieser Rolle zuzuweisen, wechseln Sie zur Registerkarte Benutzer in der Option Rolle ändern. Um einen Benutzer dieser Rolle zuzuweisen, sollte er im System vorhanden sein.
Bei Bedarf können Sie auch einen Benutzervergleich durchführen. Klicken Sie auf die Option Benutzervergleich. Sie können auch auf die Schaltfläche Informationen klicken, um mehr über einzelne und zusammengesetzte Rollen und die Option Benutzervergleich zu erfahren, um die Stammsätze zu vergleichen.
Rollen in PFCG erstellen
Sie können in PFCG sowohl Einzelrollen als auch Verbundrollen erstellen. Geben Sie den Rollennamen ein und klicken Sie auf Einzelne oder zusammengesetzte Rollen erstellen (siehe Abbildung unten).
Sie können aus dem Kunden-Namespace wie Y_ oder Z_ auswählen. Von SAP gelieferte Rollen beginnen mit SAP_, und Sie können den Namen nicht von von SAP gelieferten Rollen übernehmen.
Sobald Sie auf die Schaltfläche Rolle erstellen klicken, sollten Sie in der Rollendefinition auf der Registerkarte MENÜ Transaktionen, Berichte und Webadressen hinzufügen.
Navigieren Sie zur Registerkarte Autorisierung, um das Profil zu erstellen, und klicken Sie auf die Option Autorisierungsdaten ändern.
Gemäß Ihrer Aktivitätsauswahl werden Sie aufgefordert, die Organisationsebenen einzugeben. Wenn Sie einen bestimmten Wert in das Dialogfeld eingeben, werden die Berechtigungsfelder der Rolle automatisch verwaltet.
Sie können die Referenz für die Rollen anpassen. Sobald eine Rollendefinition abgeschlossen ist, müssen Sie die Rolle generieren. Klicken Sie auf Generieren (Umschalt + F5).
Wenn in dieser Struktur rote Ampeln angezeigt werden, werden die Organisationsebenen ohne Werte angezeigt. Sie können Organisationsebenen mit Organisationsebenen neben der Registerkarte Verwaltet eingeben und ändern.
Geben Sie den Profilnamen ein und klicken Sie auf das Häkchen, um den Schritt Generieren abzuschließen.
Klicke auf Saveum das Profil zu speichern. Sie können diese Rolle direkt Benutzern zuweisen, indem Sie zu den Registerkarten Benutzer wechseln. Auf ähnliche Weise können Sie zusammengesetzte Rollen mithilfe der PFCG-Rollenverwaltungsoption erstellen.
Rollen transportieren und verteilen
Führen Sie die Transaktion - PFCG aus, geben Sie den Rollennamen ein, den Sie transportieren möchten, und klicken Sie auf Transportrolle.
Sie gelangen zur Rollentransportoption. Sie haben mehrere Optionen unter den Transportrollen -
- Einzelne Rollen für zusammengesetzte Rollen transportieren.
- Transportieren Sie generierte Profile für Rollen.
- Personalisierungsdaten.
Im nächsten Dialogfeld sollten Sie die Benutzerzuordnung erwähnen und die Personalisierungsdaten sollten ebenfalls transportiert werden. Wenn die Benutzerzuweisungen auch transportiert werden, ersetzen sie die gesamte Benutzerzuweisung von Rollen im Zielsystem.
Um ein System zu sperren, damit Benutzerzuweisungen von Rollen nicht importiert werden können, geben Sie es in die Customizing-Tabelle ein PRGN_CUST mit Transaktion SM30 und wählen Sie das Wertefeld aus USER_REL_IMPORT number.
Diese Rolle wird in der Customizing-Anfrage eingetragen. Sie können dies mit Transaktion anzeigenSE10.
In der Customizing-Anfrage werden Berechtigungsprofile zusammen mit den Rollen transportiert.
Autorisierungsinfo-Systemtransaktion - SUIM
In der Berechtigungsverwaltung ist SUIM ein Schlüsselwerkzeug, mit dem Sie die Benutzerprofile in einem SAP-System finden und diese Profile auch dieser Benutzer-ID zuweisen können. SUIM bietet einen Einstiegsbildschirm mit Optionen zum Suchen von Benutzern, Rollen, Profilen, Berechtigungen, Transaktionen und Vergleichen.
Führen Sie zum Öffnen des Benutzerinformationssystems die Transaktion aus: SUIM.
In einem Benutzerinformationssystem verfügen Sie über verschiedene Knoten, mit denen verschiedene Funktionen in einem SAP-System ausgeführt werden können. Wie in einem Benutzerknoten können Sie Benutzer anhand von Auswahlkriterien durchsuchen. Sie können die gesperrte Liste der Benutzer, Benutzer, die Zugriff auf eine bestimmte Gruppe von Transaktionen haben, usw. abrufen.
Wenn Sie jede Registerkarte erweitern, haben Sie die Möglichkeit, verschiedene Berichte basierend auf verschiedenen Auswahlkriterien zu generieren. Wie beim Erweitern der Registerkarte Benutzer haben Sie folgende Optionen:
Wenn Sie nach komplexen Auswahlkriterien auf Benutzer klicken, können Sie mehrere Auswahlbedingungen gleichzeitig anwenden. Der folgende Screenshot zeigt Ihnen verschiedene Auswahlkriterien.
Rollenknoten
Auf ähnliche Weise können Sie unter diesem Benutzerinformationssystem auf verschiedene Knoten wie Rollen, Profile, Berechtigungen und verschiedene andere Optionen zugreifen.
Sie können das SUIM-Tool auch zum Suchen von Rollen und Profilen verwenden. Sie können einer bestimmten Gruppe von Benutzer-IDs eine Liste von Transaktionen zuweisen, indem Sie in SUIM eine Suche nach Transaktion und Zuweisung durchführen und diese Rollen dieser Benutzer-ID zuweisen.
Mit dem Benutzerinformationssystem können Sie verschiedene Suchvorgänge in einem SAP-System durchführen. Sie können verschiedene Auswahlkriterien eingeben und die Berichte basierend auf Benutzern, Profilen, Rollen, Transaktionen und verschiedenen anderen Kriterien abrufen.
RSUSR002 - Benutzer nach komplexen Auswahlkriterien.
Sie müssen verschiedene Sicherheitsmaßnahmen ergreifen, während Sie bestimmte Unix-Eigenschaften, -Dateien oder -Dienste verwenden, Kennwortdateien schützen und BSD-Remotedienste für deaktivieren rlogin und remsh.
Passwortschutz
Auf einer Unix-Plattform kann ein Angreifer das Wörterbuch-Angriffsprogramm verwenden, um im Unix-Betriebssystem gespeicherte Kennwortinformationen zu ermitteln. Sie können die Kennwörter in einer Schattenkennwortdatei speichern, und nur ein Root-Benutzer kann auf diese Datei zugreifen, um die Sicherheit in einem System zu verbessern.
Remote-Dienste deaktivieren
BSD Remote Services ermöglichen den Remotezugriff auf Unix-Systeme. Wenn eine Remoteverbindung hergestellt wird/etc/host.equiv und $HOME/.rhosts verwendet werden und falls diese Dateien Informationen über den Hostnamen und die IP-Adresse der Verbindungsquelle oder Platzhalterzeichen enthalten, muss das Kennwort beim Anmelden nicht eingegeben werden.
Die Remotedienste rlogin und remsh stellen in diesem Szenario eine Sicherheitsbedrohung dar, und Sie müssen diese Dienste deaktivieren. Sie können diese Dienste deaktivieren, indem Sie auf geheninetd.conf Datei im Unix-System.
In einem Unix-System ist rlogin ein Remote-Shell-Client (wie SSH), der schnell und klein ausgelegt ist. Es ist nicht verschlüsselt, was in Hochsicherheitsumgebungen einige kleine Nachteile haben kann, aber es kann mit sehr hohen Geschwindigkeiten betrieben werden. Sowohl der Server als auch der Client verbrauchen nicht viel Speicher.
Sichern des Netzwerkdateisystems unter UNIX
In einer UNIX-Plattform wird ein Netzwerkdateisystem verwendet, um von einem SAP-System aus über das Netzwerk auf Transport- und Arbeitsverzeichnisse zuzugreifen. Für den Zugriff auf Arbeitsverzeichnisse umfasst der Authentifizierungsprozess Netzwerkadressen. Es ist möglich, dass Angreifer mithilfe von IP-Spoofing nicht autorisierten Zugriff über das Netzwerkdateisystem erhalten.
Um die Sicherheit des Systems zu gewährleisten, sollten Sie das Ausgangsverzeichnis nicht über das Netzwerkdateisystem verteilen und die Schreibberechtigung für diese Verzeichnisse sorgfältig zuweisen.
SAP System Directory Access für SAP System unter UNIX
Sie sollten die folgenden Zugriffsrechte für SAP-Systemverzeichnisse unter UNIX festlegen:
SAP-Verzeichnis | Zugriffsberechtigung für Oktalformulare | Inhaber | Gruppe |
---|---|---|---|
/ sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
/ sapmnt / <SID> / exe / saposcol | 4755 | Wurzel | sapsys |
/ sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
/ sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> | 751 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instanz-ID> | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instanz-ID> / * | 750 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instanz-ID> / Sek | 700 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
/ usr / sap / trans | 775 | <sid> adm | sapsys |
/ usr / sap / trans / * | 770 | <sid> adm | sapsys |
/usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
<Ausgangsverzeichnis von <sid> adm> | 700 | <sid> adm | sapsys |
<Ausgangsverzeichnis von <sid> adm> / * | 700 | <sid> adm | sapsys |
Sie müssen verschiedene Benutzer und Gruppen in der Windows-Plattform erstellen, um Ihr SAP-System sicher auszuführen. Um die Benutzerverwaltungsaufgabe zu vereinfachen, wird empfohlen, alle WIN NT-Benutzer zur Benutzergruppe mit den richtigen Zugriffsrechten auf Betriebssystemebene hinzuzufügen. Im Windows-Betriebssystem gibt es verschiedene Gruppenebenen -
- Globale Gruppen
- Lokale Gruppen
Globale Gruppen
Globale Gruppen in WIN sind auf Domänenebene verfügbar und können zum Zuweisen von Benutzern von mehreren Servern verwendet werden. Globale Gruppen stehen allen Servern in einer Domäne zur Verfügung.
Sie können den Namen der globalen Gruppen nach Ihren Wünschen auswählen. Es wird jedoch empfohlen, Namenskonventionen gemäß dem zu verwendenSAP R/3 System InstallationDies ist die globale Standardgruppe für SAP-Systemadministratoren und wird definiert als SAP_<SID>_GlobalAdmin.
In der Windows-Plattform gibt es verschiedene häufig erstellte globale Gruppen, mit denen ein SAP-System ausgeführt werden kann.
SAPadmin - Diese Gruppe enthält eine Liste aller SAP-Systemadministratoren.
SAPusers - Diese Gruppe enthält eine Liste aller SAP-Anwendungsbenutzer.
SAPservices - Diese Gruppe enthält eine Liste aller SAP-Systemprogramme.
Domain Admin - Diese Gruppe enthält eine Liste aller Administratoren aus allen Domänen.
Lokale Gruppen
Lokale Gruppen in Windows Platform sind auf einen Server in einer Domäne beschränkt. Während der Installation werden Rechte einzelnen Benutzern und nicht Gruppen zugewiesen. Es wird jedoch empfohlen, lokalen Gruppen anstelle einzelner Benutzer Zugriffsrechte zuzuweisen.
Lokale Gruppen werden verwendet, um die Sicherheit der Windows-Umgebung in gemeinsam genutzten Domänen zu erhöhen. Sie können einer lokalen Gruppe außerdem globale Benutzer und globale Gruppen zuweisen. Sie können eine lokale Gruppe mit einem beliebigen Namen erstellen. Es wird jedoch empfohlen, den lokalen Gruppennamen wie folgt zu verwenden:SAP_<SID>_LocalAdmin.
Sie können verschiedene Beziehungen zwischen Benutzern, lokalen Gruppen und globalen Gruppen definieren.
- Ein einzelner Benutzer kann Teil einer globalen Gruppe und einer lokalen Gruppe sein.
- Sie können einer lokalen Gruppe auch eine globale Gruppe hinzufügen.
Standardbenutzer in einer Windows-Plattform
Wenn Sie ein SAP-System auf einer Windows-Plattform ausführen, sollten Standardbenutzer sorgfältig verwaltet werden. Im Folgenden sind einige der Standardbenutzer in Windows aufgeführt:
Window NT User - -
Administrator - Administratorkonten mit Zugriff auf alle Ressourcen.
Guest - Nur Gastzugriff auf alle Ressourcen im System.
SAP System User - -
<SID>ADM SAP - Systemadministrator mit vollem Zugriff auf alle SAP-Ressourcen.
SAPService<SID> - Spezieller Benutzer, der für die Ausführung von SAP-Services verantwortlich ist.
Database Users - -
<DBService> - Ausführen datenbankspezifischer Dienste in der Windows-Plattform.
<DBuser> - Datenbankbenutzer zum Ausführen allgemeiner DB-Operationen.
Beachten Sie außerdem, dass die Benutzer Administrator und Gast während des Installationsvorgangs erstellt und zum Ausführen fensterspezifischer Aufgaben verwendet werden. Alle diese Benutzer sollten in einer Windows-Plattform geschützt werden.
Es ist wichtig und wichtig, Ihre Datenbankbenutzer in einem SAP-System zu schützen. Eine Datenbank kann eine Oracle-Datenbank, ein SQL Server oder eine MYSQL-Datenbank sein. Sie müssen die Standardbenutzer vor diesen Datenbanken schützen. Das Passwort sollte für Standardbenutzer geschützt und regelmäßig geändert werden.
Oracle Standard-Benutzer
Die folgende Tabelle zeigt die Liste der Standardbenutzer in der Windows-Umgebung. Das Passwort sollte für alle diese Benutzer beibehalten werden.
Nutzername | Art | Methode zur Kennwortänderung |
---|---|---|
<SID> ADM | Benutzer des Betriebssystems | OPS $ -Mechanismus |
SAPServic <SID> | Benutzer des Betriebssystems | OPS $ -Mechanismus |
SYS (intern) | Benutzer des Betriebssystems | SAPDBA |
SYSTEM | Benutzer des Betriebssystems | SAPDBA |
SAPR3 | Benutzer des Betriebssystems | SAPDBA |
Wie erstelle ich einen OPS $ -Benutzer für <SID> ADM?
Um einen OPS $ -Benutzer zu erstellen, müssen Sie sich mit dem ADM <SID> anmelden. Sie sollten zuerst das SAP-System stoppen, wenn es ausgeführt wird, und dann den unten angegebenen Befehl ausführen.
Create user OPS$<adm_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
Hier ist der <adm_user> -
<SID> ADM für ältere Oracle-Versionen
<Domänenname> \ <SID> ADM neueste Versionen
Dann sollten Sie die folgenden Schritte ausführen -
Gewähren Sie OPS $ <adm_user & gtl;
Verbinden /
Tabelle erstellen SAPUSER (USERID Varchar (20), PASSWD VARCHAR2 (20));
In SAPUSER-Werte einfügen ('SAPR3', '<Kennwort>);
Intern verbinden
Benutzer SAPR3 ändern, der durch <Kennwort> identifiziert wird;
Auf ähnliche Weise können Sie erstellen OPS$ zum SAPService<SID>. Im folgenden Befehl sollten Sie SAP_service_user anstelle von adm_user verwenden.
Create user OPS$<SAP_service_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
Hier ist der <SAP_service_user> -
SAPService <SID> für ältere Oracle-Versionen
<Domänenname> \ SAPservice <SID> für die neuesten Versionen
Passwortverwaltung für DB-Benutzer
Es ist erforderlich, Kennwörter für Standardbenutzer in Ihrer Datenbank zu verwalten. Es gibt verschiedene Dienstprogramme, die Sie für eine Kennwortänderung verwenden können.
Wie ändere ich das Passwort für einen DBA-Benutzer mit SAPDBA?
Das Kennwort kann für einen DBA-Benutzer über die Befehlszeile oder die GUI geändert werden. Um das Passwort über die Befehlszeile zu ändern, sollten Sie den folgenden Befehl verwenden:
Sapdba [-u <user1>/<user1_password>] –user2 <user2_password>
Im obigen Befehl user1 ist der Datenbankbenutzer, mit dem sich SAPDBA bei der Datenbank anmeldet.
<Benutzer1_Kennwort> ist das Kennwort für das Kennwort von Benutzer1.
<user2> zeigt den Datenbankbenutzer an, für den das Kennwort geändert werden soll.
<user2_password> ist das neue Passwort für denselben Benutzer.
Wenn Sie sich mit dem Benutzernamen "SYSTEM" mit seinem Standardkennwort anmelden möchten, können Sie dies weglassen –u vom Befehl.
Sapdba –u system/<system_password>] –sapr3 <sapr3_password>
Wie ändere ich das Passwort für SAPR3 mit SVRMGRL?
Die SVRMGRL ist ein altes Dienstprogramm, das mit früheren Versionen von Oracle ausgeliefert wurde und zur Ausführung der unten genannten Datenbankfunktionen verwendet wurde. In den neuesten Versionen sind die Server Manager-Befehle jetzt in verfügbarSQL*Plus.
- Datenbank erstellen
- Datenbank starten und herunterfahren
- Wiederherstellung der Datenbank
- Passwortverwaltung
Um das Passwort zu ändern, sollten Sie die folgenden Schritte ausführen:
- Starten Sie SVRMGRL.
- Stellen Sie mit dem Befehl connect internal eine Verbindung zur Datenbank her.
- SVRMGR> intern verbinden.
- Connected.
Der nächste Schritt besteht darin, die SAPUSER-Tabelle zu aktualisieren, indem Sie den folgenden Befehl eingeben:
Update OPS$ <SID>ADM.SAPUSER set PASSWD = ’<new_password>’ where USERID = ’SAPR3’;
Sie sollten das Passwort für aktualisieren SAPR3 in der Datenbank über die Befehlszeile.
Alter user sapr3 wird durch <new_password> identifiziert
Single Sign-On (SSO)ist eines der Schlüsselkonzepte, mit denen Sie sich bei einem System anmelden und auf mehrere Systeme im Backend zugreifen können. Mit SSO kann der Benutzer im Backend auf SAP-Systeme systemübergreifend zugreifen.
Das SSO with NetWeaverDie Plattform bietet Benutzerauthentifizierung und hilft Systemadministratoren bei der Verwaltung der Benutzerlasten in einer komplexen SAP-Systemlandschaft. Die SSO-Konfiguration vereinfacht die Anmeldung eines Benutzers bei den SAP-Systemen und -Anwendungen im Querformat, indem die Sicherheitsmaßnahmen verbessert und die Kennwortverwaltungsaufgaben für mehrere Systeme reduziert werden.
SSO hilft einem Unternehmen, seine Betriebskosten zu senken, indem die Anzahl der Anrufe beim Service Desk im Zusammenhang mit Kennwortproblemen verringert und damit die Produktivität der Geschäftsbenutzer erhöht wird. Der SAP NetWeaver-Integrationsmechanismus ermöglicht die einfache Integration Ihres SAP NetWeaver-Systems in das SSO-Konzept und bietet einfachen Zugriff auf Backend-Systeme in der SAP System Landscape Environment.
SAP Single Sign-On-Konzept
Die einmalige Anmeldung kann mit mySAP Workplace konfiguriert werden, sodass sich ein Benutzer täglich bei mySAP Workplace anmelden und auf die Anwendungen zugreifen kann, ohne wiederholt seinen Benutzernamen und sein Kennwort einzugeben.
Sie können SSO mit mySAP Workplace mithilfe der folgenden Authentifizierungsmethoden konfigurieren:
- Benutzername und Passwort
- SAP-Anmeldetickets
- X.509-Client-Zertifikate
Integration in Single Sign-On
Das SSO mit NetWeaver-Plattform bietet Benutzerauthentifizierung und hilft Systemadministratoren bei der Verwaltung der Benutzerlasten in einer komplexen SAP-Systemlandschaft. Die SSO-Konfiguration vereinfacht den Prozess der Benutzeranmeldung bei SAP-Systemen und -Anwendungen im Querformat, indem die Sicherheitsmaßnahmen verbessert und die Kennwortverwaltungsaufgaben für mehrere Systeme reduziert werden.
Mit SAP NetWeaver können Sie verschiedene Mechanismen konfigurieren, mit denen autorisierte Benutzer mithilfe der SSO-Methode auf das NetWeaver-System zugreifen. Der Anmeldemechanismus im System hängt von der Technologie des SAP NetWeaver-Systems und den verschiedenen Kommunikationskanälen ab, die für den Zugriff auf diese Systeme verwendet werden.
Konfigurieren von Single Sign-On in einer SAP-GUI
Um ein Single Sign-On zu konfigurieren, müssen Sie Zugriff auf die folgenden T-Codes haben:
- RZ10
- STRUST
Sobald Sie diese T-Codes haben, sollten Sie die folgenden Schritte ausführen -
Step 1 - Melden Sie sich über die SAP-GUI bei einem beliebigen SAP-ECC-System an und gehen Sie zu T-Code RZ10.
Step 2 - Wählen Sie danach das Standardprofil und die erweiterte Wartung.
Step 3 - Klicken Sie auf Ändern und Sie sehen die Liste der Parameter für das Profil.
Step 4 - Ändern Sie die folgenden Profilparameter -
- login / create_sso2_ticket = 1
- login / accept_sso2_ticket = 1
Step 5- Speichern und aktivieren Sie das Profil. Es wird ein neues Profil erstellt.
Step 6 - Exportieren Sie die R3SSO Zertifikat vom Trust Manager, gehen Sie zur Transaktion STRUST.
Step 7- Doppelklicken Sie auf das Textfeld rechts neben Eigenes Zertifikat. Die Zertifikatinformationen werden angezeigt. Notieren Sie sich die Werte dieses Zertifikats, wenn Sie die Werte eingeben müssen.
Step 8 - Klicken Sie auf Icon Export Certificate.
Step 9 - Speichern Sie die Datei als <R3_Name> - <Client> .crt.
Example - EBS-300.crt
Step 10 - Klicken Sie auf das Kontrollkästchen, um die Datei im übergeordneten Verzeichnis zu erstellen.
Step 11 - Importieren R3 SSO Zertifikat an die Java-Engine mit dem Administrator-Tool.
Note - Stellen Sie sicher, dass die Java-Engine gestartet ist.
Step 12 - Öffnen Sie das Java Administration Tool.
Step 13 - Geben Sie das Java Engine-Administratorkennwort ein und klicken Sie auf Verbinden.
Step 14 - Wählen Sie Server → Serviceschlüssel → Speicher.
Step 15 - Klicken Sie im Ansichtsfenster auf den Ticket Key Store.
Step 16- Klicken Sie im Gruppenfeld Eintrag auf Laden. Wählen Sie die CRT-Datei aus, die Sie im vorherigen Schritt exportiert haben.
Step 17 - Konfigurieren Sie den Security Provider-Service in der SAP Java Engine mit dem Administrator-Tool.
Step 18 - Wählen Sie Server Services Security Provider.
Step 19 - Wählen Sie im Komponentenfenster ein Ticket aus und wechseln Sie zur Registerkarte Authentifizierung.
Step 20 - Ändern Sie die Optionen des Ticket-Anmeldemoduls auswerten und fügen Sie jedem Backend-System, auf dem Sie SSO konfigurieren möchten, die folgenden Eigenschaften hinzu.
Single Sign-On für den webbasierten Zugriff
Mit SSO können Sie mehrere Optionen für den Zugriff auf das SAP NetWeaver-System konfigurieren. Sie können auch über einen Webbrowser oder einen anderen Webclient auf SAP NetWeaver System zugreifen. Mit SSO können Benutzer auf Backend-Systeme und andere gesicherte Informationen im Unternehmensnetzwerk zugreifen.
Mit SSO können Sie verschiedene Sicherheitsauthentifizierungsmethoden verwenden, um den webbasierten Benutzerzugriff auf NetWeaver Application-Servern zu integrieren. Sie können auch verschiedene Sicherheitsmethoden für die Netzwerkkommunikation wie Kryptografie implementieren, um die Informationen über das Netzwerk zu senden.
Die folgenden Authentifizierungsmethoden können mit SSO für den Zugriff auf Daten über Anwendungsserver konfiguriert werden:
- Verwenden der Benutzer-ID und der Kennwortauthentifizierung
- Anmeldetickets verwenden
- Verwenden von X.509-Clientzertifikaten
- Verwenden von SAML-Browser-Artefakten
- Verwenden von SAML 2.0
- Verwenden der Kerberos-Authentifizierung
Beim Zugriff auf Daten über das Internet können Sie auch den Sicherheitsmechanismus in der Netzwerk- und Transportschicht verwenden.
Sie können die digital signierten SAP-Anmeldetickets so konfigurieren, dass sie mit einem Single Sign-On für den Zugriff auf integrierte Anwendungen in einer SAP-Umgebung konfiguriert werden. Sie können ein Portal so konfigurieren, dass SAP-Anmeldetickets an die Benutzer ausgestellt werden. Die Benutzer müssen dieses System für den Erstzugriff authentifizieren. Wenn SAP-Anmeldetickets an Benutzer ausgegeben werden, werden diese in Webbrowsern gespeichert und ermöglichen dem Benutzer die Anmeldung bei verschiedenen Systemen mithilfe von SSO.
In einem ABAP-Anwendungsserver können zwei verschiedene Arten von Anmeldetickets konfiguriert werden:
Logon Tickets - Diese Tickets ermöglichen den webbasierten Zugriff mit der SSO-Methode.
Authentication Assertion Tickets - Diese Tickets werden für die System-zu-System-Kommunikation verwendet.
Um SAP-Anmeldetickets zu konfigurieren, sollten die folgenden Parameter im Benutzerprofil festgelegt werden.
login / accept_sso2_ticket
Sie können SSO-Tickets (Single Sign-On) verwenden, um ein SSO zwischen SAP-Systemen und sogar über Nicht-SAP-Systeme hinaus zu ermöglichen. Ein SSO-Ticket kann ein Anmeldeticket oder ein Bestätigungsticket sein. Das Anmeldeticket wird als Cookie mit dem Namen übertragenMYSAPSSO2. Das Assertion-Ticket wird als HTTP-Header-Variable mit dem Namen MYSAPSSO2 übertragen.
Note- Dies erfordert zusätzliche Konfigurationsschritte zum Ausstellen und Akzeptieren der Systeme. Die SSO-Komponentensysteme sollten die Anmeldung mit einem SSO-Ticket ermöglichen (login / accept_sso2_ticket = 1).
Wenn nur die Prozedur (X.509-Clientzertifikat) für eine einmalige Anmeldung verwendet wird oder wenn Sie die einmalige Anmeldung für dieses System nicht verwenden möchten, können Sie diese Anmeldung per SSO-Ticket deaktivieren (login / accept_sso2_ticket = 0).
Verwenden Sie Transaktion, um den Parameter festzulegen RZ11
Values allowed - 0/1
login / create_sso2_ticket
Sie können die SSO-Tickets (Single Sign-On) verwenden, um ein SSO zwischen SAP-Systemen und darüber hinaus zu Nicht-SAP-Systemen zu ermöglichen. Ein SSO-Ticket kann ein Anmeldeticket oder ein Bestätigungsticket sein. Das Anmeldeticket wird als Cookie mit dem Namen MYSAPSSO2 übertragen. Das Assertion-Ticket wird als HTTP-Header-Variable mit dem Namen MYSAPSSO2 übertragen.
Note - Dies erfordert zusätzliche Konfigurationsschritte für das Ausstellen und Akzeptieren der Systeme.
Das ausstellende System sollte die Erstellung eines SSO-Tickets ermöglichen -
login / create_sso2_ticket = 1: SSO-Ticket inklusive Zertifikat
login / create_sso2_ticket = 2: SSO-Ticket ohne Zertifikat
login / create_sso2_ticket = 3: Generiere nur Assertion-Tickets
Values allowed- 0/1/2/3
login / ticket_expiration_time
Um bei Verwendung von mySAP.com Workplace ein Single Sign-On (SSO) zu ermöglichen, können SSO-Tickets verwendet werden. Beim Erstellen eines SSO-Tickets können Sie die Gültigkeitsdauer festlegen. Nach Ablauf dieser Frist kann das SSO-Ticket nicht mehr zum Anmelden bei Arbeitsplatzkomponentensystemen verwendet werden. Der Benutzer muss sich dann erneut am Arbeitsplatzserver anmelden, um ein neues SSO-Ticket zu erhalten.
Values allowed - <Stunden> [: <Minuten>]
Wenn falsche Werte eingegeben werden, wird der Standardwert verwendet (8 Stunden).
Die korrekten Werte sind wie folgt:
- 24 → 24 Stunden
- 1:30 → 1 Stunde, 30 Minuten
- 0:05 → 5 Minuten
Die falschen Werte lauten wie folgt:
- 40 (0:40 wäre richtig)
- 0:60 (1 wäre richtig)
- 10: 000 (10 wäre richtig)
- 24: (24 wäre richtig)
- 1:A3
X.509-Client-Zertifikate
Mithilfe einer SSO-Methode können Sie X.509-Clientzertifikate verwenden, um den NetWeaver Application Server zu authentifizieren. Die Client-Zertifikate verwenden sehr starke Kryptografiemethoden, um den Benutzerzugriff auf den NetWeaver-Anwendungsserver zu sichern. Daher sollte Ihr NetWeaver-Anwendungsserver mit starken Kryptografietechniken aktiviert werden.
Auf Ihren SAP NetWeaver-Anwendungsservern sollte SSL konfiguriert sein, da die Authentifizierung mithilfe des SSL-Protokolls ohne Eingabe eines Benutzernamens und eines Kennworts erfolgt. Zur Verwendung des SSL-Protokolls ist eine HTTPS-Verbindung erforderlich, um zwischen dem Webbrowser und dem NetWeaver ABAP Application Server zu kommunizieren.
Security Assertion Markup Language (SAML2.0)
SAML2.0 kann als Authentifizierung mit Single Sign-On-SSO verwendet werden und ermöglicht SSO über verschiedene Domänen hinweg. SAML 2.0 wird unter dem Organisationsnamen OASIS entwickelt. Es bietet auch eine Option zum einmaligen Abmelden. Wenn sich ein Benutzer von allen Systemen abmeldet, benachrichtigt der Dienstanbieter im SAP-System die Identitätsanbieter, die wiederum alle Sitzungen abmelden.
Im Folgenden sind die Vorteile der Verwendung der SAML2.0-Authentifizierung aufgeführt:
Sie können den Aufwand für die Aufrechterhaltung der Authentifizierung für das System, auf dem sich die Anwendung befindet, auf einem anderen System verringern.
Sie können die Authentifizierung auch für externe Dienstanbieter beibehalten, ohne die Benutzeridentität in den Systemen beizubehalten.
Einzelne Abmeldeoption in allen Systemen.
So ordnen Sie die Benutzerkonten automatisch zu
Kerberos-Authentifizierung
Sie können die Kerberos-Authentifizierung für den SAP NetWeaver Application Server auch über den Zugriff über Webclients und Webbrowser verwenden. Es verwendet einen einfachen und geschützten GSS-API-VerhandlungsmechanismusSPNegoFür die Verwendung dieser Authentifizierung ist außerdem eine Single Sign-On SSO 2.0-Version oder eine höhere Version mit zusätzlichen Lizenzen erforderlich. DasSPNego unterstützt die Transportschicht-Sicherheit nicht, daher wird empfohlen, das SSL-Protokoll zu verwenden, um die Transportschicht-Sicherheit für die Kommunikation mit NetWeaver Application Server hinzuzufügen.
Im obigen Screenshot sehen Sie verschiedene Authentifizierungsmethoden, die zu Authentifizierungszwecken in einem Benutzerprofil konfiguriert werden können.
Jede Authentifizierungsmethode in SAP hat ihre eigenen Vorteile und kann in verschiedenen Szenarien verwendet werden.