SAP-Sicherheit - Systemautorisierungskonzept
Das SAP-Systemautorisierungskonzept befasst sich mit dem Schutz des SAP-Systems vor der Ausführung von Transaktionen und Programmen vor unbefugtem Zugriff. Sie sollten Benutzern nicht erlauben, Transaktionen und Programme im SAP-System auszuführen, bis sie die Berechtigung für diese Aktivität definiert haben.
Um Ihr System sicherer zu machen und eine starke Autorisierung zu implementieren, müssen Sie Ihren Autorisierungsplan überprüfen, um sicherzustellen, dass er den Sicherheitsanforderungen des Unternehmens entspricht und keine Sicherheitsverletzungen vorliegen.
Benutzertypen
In früheren Versionen des SAP-Systems wurden die Benutzertypen nur in zwei Kategorien unterteilt: Dialogbenutzer und Nichtdialogbenutzer, und nur Nichtdialogbenutzer wurden für die Kommunikation zwischen zwei Systemen empfohlen. Mit SAP 4.6C wurden Benutzertypen in die folgenden Kategorien unterteilt:
Dialog User- Dieser Benutzer wird für den individuellen interaktiven Systemzugriff verwendet und der größte Teil der Client-Arbeit wird über einen Dialogbenutzer ausgeführt. Das Passwort kann vom Benutzer selbst geändert werden. Im Dialogbenutzer können mehrere Dialoganmeldungen verhindert werden.
Service User- Dies wird verwendet, um einen interaktiven Systemzugriff durchzuführen und eine vorgegebene Aufgabe wie die Anzeige des Produktkatalogs auszuführen. Für diesen Benutzer sind mehrere Anmeldungen zulässig, und nur ein Administrator kann das Kennwort für diesen Benutzer ändern.
System User- Diese Benutzer-ID wird verwendet, um die meisten systembezogenen Aufgaben auszuführen - Transport Management System, Definieren von Workflows und ALE. Es ist kein interaktiver systemabhängiger Benutzer, und für diesen Benutzer sind mehrere Anmeldungen zulässig.
Reference User- Ein Referenzbenutzer wird nicht zum Anmelden bei einem SAP-System verwendet. Dieser Benutzer wird verwendet, um internen Benutzern zusätzliche Berechtigungen zu erteilen. In einem SAP-System können Sie auf der Registerkarte Rollen einen Referenzbenutzer für zusätzliche Rechte für Dialogbenutzer angeben.
Communication Users- Dieser Benutzertyp wird verwendet, um die dialogfreie Anmeldung zwischen verschiedenen Systemen wie RFC-Verbindung und CPIC aufrechtzuerhalten. Die Dialoganmeldung über SAP GUI ist für Kommunikationsbenutzer nicht möglich. Ein Benutzertyp kann seine Kennwörter wie normale Dialogbenutzer ändern. Mit dem RFC-Funktionsbaustein kann das Passwort geändert werden.
Der Transaktionscode: SU01wird zur Benutzererstellung in einem SAP-System verwendet. Im folgenden Bildschirm sehen Sie unter der Transaktion SU01 verschiedene Benutzertypen in einem SAP-System.
Benutzer erstellen
Um einen Benutzer oder mehrere Benutzer mit unterschiedlichen Zugriffsrechten in einem SAP-System zu erstellen, sollten Sie die folgenden Schritte ausführen.
Step 1 - Transaktionscode verwenden - SU01.
Step 2 - Geben Sie den Benutzernamen ein, den Sie erstellen möchten, und klicken Sie auf das Symbol zum Erstellen, wie im folgenden Screenshot gezeigt.
Step 3- Sie werden zur nächsten Registerkarte weitergeleitet - der Registerkarte Adresse. Hier müssen Sie die Details wie Vorname, Nachname, Telefonnummer, E-Mail-ID usw. eingeben.
Step 4 - Sie werden weiter zur nächsten Registerkarte weitergeleitet - Logon Data. Geben Sie den Benutzertyp auf der Registerkarte Anmeldedaten ein. Wir haben fünf verschiedene Benutzertypen.
Step 5 - Geben Sie das erste Anmeldekennwort → Neues Kennwort → Kennwort wiederholen ein.
Step 6 - Sie werden zur nächsten Registerkarte weitergeleitet. - Rollen - Weisen Sie dem Benutzer die Rollen zu.
Step 7 - Sie werden weiter zur nächsten Registerkarte weitergeleitet. - Profile - Weisen Sie die Profile den Benutzern zu.
Step 8 - Klicken Sie auf Speichern, um eine Bestätigung zu erhalten.
Zentrale Benutzerverwaltung (CUA)
Die zentrale Benutzerverwaltung ist eines der Schlüsselkonzepte, mit denen Sie alle Benutzer in einer SAP-Systemlandschaft über ein zentrales System verwalten können. Mit diesem Tool können Sie alle Benutzerstammsätze zentral in einem System verwalten. Mit einem zentralen Benutzeradministrator können Sie Geld und Ressourcen sparen, wenn Sie ähnliche Benutzer in einer Systemlandschaft verwalten.
Die Vorteile der zentralen Benutzerverwaltung sind:
Wenn Sie CUA in der SAP-Landschaft konfigurieren, können Sie Benutzer nur über das zentrale System erstellen oder löschen.
Alle erforderlichen Rollen und Berechtigungen sind in einem untergeordneten System in aktiven Formen vorhanden.
Alle Benutzer werden zentral überwacht und verwaltet, wodurch die Verwaltungsaufgabe für alle Benutzerverwaltungsaktivitäten in einer komplexen Systemlandschaft einfacher und übersichtlicher wird.
Mit dem zentralen Benutzeradministrator können Sie Geld und Ressourcen sparen, wenn Sie ähnliche Benutzer in einer Systemlandschaft verwalten.
Der Datenaustausch erfolgt mit dem ALE Landschaft genannt als Application Link EnablingDadurch können die Daten kontrolliert ausgetauscht werden. ALE wird vom zentralen Benutzeradministrator für den Datenaustausch mit untergeordneten Systemen in einer SAP-Systemlandschaft verwendet.
In einer komplexen Landschaftsumgebung definieren Sie ein System als zentrales System mit ALE-Umgebung, das über den bidirektionalen Datenaustausch mit allen untergeordneten Systemen verknüpft ist. Das untergeordnete System in der Landschaft ist nicht miteinander verbunden.
Um die zentrale Benutzerverwaltung zu implementieren, sollten die folgenden Punkte berücksichtigt werden:
Sie benötigen eine SAP-Umgebung mit mehreren Clients in einer einzigen / verteilten Umgebung.
Der Administrator zum Verwalten von Benutzern benötigt eine Berechtigung für die folgenden Transaktionscodes.
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Sie sollten eine vertrauenswürdige Beziehung zwischen Systemen erstellen.
Sie sollten Systembenutzer im zentralen und untergeordneten System erstellen.
Erstellen Sie ein logisches System und weisen Sie dem entsprechenden Client ein logisches System zu.
Erstellen Sie eine Modellansicht und ein BAPI zur Modellansicht.
Erstellen Sie einen zentralen Benutzeradministrator und legen Sie Verteilungsparameter für Felder fest.
Synchronisieren Sie Firmenadressen
Benutzer übertragen
In einer zentral verwalteten Umgebung müssen Sie zuerst einen Administrator erstellen. Melden Sie sich in allen logischen Systemen der zukünftigen CUA als Benutzer SAP * mit dem Standardkennwort PASS an.
Führen Sie die Transaktion aus SU01 und erstellen Sie einen Benutzer mit der ihm zugewiesenen Administratorrolle.
Verwenden Sie zum Definieren eines logischen Systems die Transaktion BD54. Klicken Sie auf Neue Einträge, um ein neues logisches System zu erstellen.
Erstellen Sie einen neuen logischen Namen in Großbuchstaben für die zentrale Benutzerverwaltung für zentrale und alle untergeordneten Systeme, einschließlich solcher aus anderen SAP-Systemen.
Um das System leicht zu identifizieren, haben Sie die folgende Namenskonvention, mit der Sie das zentrale Benutzerverwaltungssystem identifizieren können:
<System ID>CLNT<Client>
Geben Sie eine nützliche Beschreibung eines logischen Systems ein. Speichern Sie Ihren Eintrag, indem Sie auf klickenSaveTaste. Als Nächstes erstellen Sie den logischen Systemnamen für das zentrale System in allen untergeordneten Systemen.
Verwenden Sie Transaktion, um einem Client ein logisches System zuzuweisen SCC4 und wechseln Sie in den Änderungsmodus.
Öffnen Sie den Client, den Sie dem logischen System zuweisen möchten, indem Sie darauf doppelklicken oder auf klicken DetailsTaste. Ein Client kann nur einem logischen System zugewiesen werden.
Geben Sie in ein Feld für ein logisches System in den Clientdetails einen logischen Systemnamen ein, dem Sie diesen Client zuweisen möchten.
Führen Sie die obigen Schritte für alle Clients in einer SAP-Umgebung aus, die Sie in den Central User Administrator aufnehmen möchten. Um Ihre Einstellungen zu speichern, klicken Sie aufSave Schaltfläche oben.
Schutz bestimmter Profile in SAP
Um die Sicherheit in einem SAP-System zu gewährleisten, müssen Sie bestimmte Profile verwalten, die eine kritische Berechtigung enthalten. Es gibt verschiedene SAP-Berechtigungsprofile, die Sie in einem SAP-System mit vollständiger Berechtigung schützen müssen.
Einige Profile, die in einem SAP-System geschützt werden müssen, sind:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL Berechtigungsprofil
Mit einem Berechtigungsprofil SAP_ALL kann der Benutzer alle Aufgaben in einem SAP-System ausführen. Dies ist das zusammengesetzte Profil, das alle Berechtigungen in einem SAP-System enthält. Die Benutzer mit dieser Berechtigung können alle Aktivitäten in einem SAP-System ausführen. Daher sollte dieses Profil keinem Benutzer in Ihrem System zugewiesen werden.
Es wird empfohlen, einen einzelnen Benutzer mit einem Profil zu pflegen. Das Kennwort sollte für diesen Benutzer gut geschützt sein und nur verwendet werden, wenn es erforderlich ist.
Anstatt SAP_ALL-Berechtigungen zuzuweisen, sollten Sie den entsprechenden Benutzern einzelne Berechtigungen zuweisen. Ihr System-Superuser / Systemadministration, anstatt ihnen eine SAP_ALL-Berechtigung zuzuweisen, sollten Sie einzelne erforderliche Berechtigungen verwenden.
SAP_NEW-Autorisierung
Eine SAP_NEW-Berechtigung enthält alle Berechtigungen, die in einer neuen Version erforderlich sind. Wenn ein System-Upgrade durchgeführt wird, wird dieses Profil verwendet, damit einige Aufgaben ordnungsgemäß ausgeführt werden.
Beachten Sie die folgenden Punkte zu dieser Autorisierung:
Wenn ein System-Upgrade durchgeführt wird, müssen Sie zuvor die SAP_NEW-Profile für Releases löschen.
Sie müssen verschiedenen Benutzern in Ihrer Umgebung separate Berechtigungen unter dem Profil SAP_NEW zuweisen.
Dieses Profil sollte nicht zu lange aktiv bleiben.
Wenn Sie eine lange Liste von SAP_NEW-Profilen in der Umgebung haben, müssen Sie Ihre Berechtigungsrichtlinie im System überprüfen.
Um die Liste aller SAP_NEW-Profile anzuzeigen, sollten Sie dieses Profil durch Doppelklick auswählen und dann → gehen zu Choose.
P_BAS_ALL Autorisierung
Mit dieser Berechtigung kann der Benutzer den Inhalt von Tabellen aus anderen Anwendungen anzeigen. Diese Berechtigung enthältP_TABU_DISGenehmigung. Mit dieser Berechtigung kann der PA-Benutzer den Tabelleninhalt anzeigen, der nicht zu seiner Gruppe gehört.
PFCG-Rollenpflege
Mit der PFCG-Rollenpflege können Rollen und Berechtigungen in einem SAP-System verwaltet werden. In PFCG stellt die Rolle eine Arbeit dar, die eine Person in Bezug auf reale Szenarien ausführt. Mit PFCG können Sie eine Reihe von Transaktionen definieren, die einer Person zugewiesen werden können, um ihre tägliche Arbeit auszuführen.
Wenn die Rollen in einer PFCG-Transaktion erstellt werden, können Sie die Transaktion verwenden SU01um diese Rollen einzelnen Benutzern zuzuweisen. Einem Benutzer in einem SAP-System können mehrere Rollen zugewiesen werden, die sich auf seine tägliche Aufgabe im realen Leben beziehen.
Diese Rollen stehen in Verbindung zwischen Benutzer und Berechtigungen in einem SAP-System. Die eigentlichen Berechtigungen und Profile werden in Form von Objekten in einem SAP-System gespeichert.
Mit der PFCG-Rollenpflege können Sie die folgenden Funktionen ausführen:
- Rollen ändern und zuweisen
- Rollen erstellen
- Zusammengesetzte Rollen erstellen
- Rollen transportieren und verteilen
Lassen Sie uns diese Funktionen nun im Detail diskutieren.
Rollen ändern und zuweisen
Transaktion ausführen: PFCG
Sie gelangen zum Rollenwartungsfenster. Geben Sie zum Ändern der vorhandenen Rolle den Namen der gelieferten Rolle in das Feld ein.
Kopieren Sie die Standardrolle, indem Sie auf die Schaltfläche Rolle kopieren klicken. Geben Sie den Namen aus dem Namespace ein. Klicken Sie auf die Schaltfläche zur Wertauswahl und wählen Sie die Rolle aus, in die Sie diese kopieren möchten.
Sie können auch die ausgelieferten Rollen auswählen, mit denen SAP beginnt SAP_, Dann werden die Standardrollen überschrieben.
Um die Rolle zu ändern, klicken Sie auf Change Schaltfläche in der Rollenpflege.
Navigieren Sie zur Registerkarte Menü, um das Benutzermenü auf der Registerkarte Menü zu ändern. Wechseln Sie zur Registerkarte Autorisierung, um die Autorisierungsdaten für diesen Benutzer zu ändern.
Sie können auch den Expertenmodus verwenden, um die Berechtigungen für die Menüänderungen unter Autorisierung anzupassen. Klicken Sie auf die Schaltfläche Generieren, um das Profil für diese Rolle zu generieren.
Um die Benutzer dieser Rolle zuzuweisen, wechseln Sie zur Registerkarte Benutzer in der Option Rolle ändern. Um einen Benutzer dieser Rolle zuzuweisen, sollte er im System vorhanden sein.
Bei Bedarf können Sie auch einen Benutzervergleich durchführen. Klicken Sie auf die Option Benutzervergleich. Sie können auch auf die Schaltfläche Informationen klicken, um mehr über einzelne und zusammengesetzte Rollen und die Option Benutzervergleich zu erfahren, um die Stammsätze zu vergleichen.
Rollen in PFCG erstellen
Sie können in PFCG sowohl Einzelrollen als auch Verbundrollen erstellen. Geben Sie den Rollennamen ein und klicken Sie auf Einzelne oder zusammengesetzte Rollen erstellen (siehe Abbildung unten).
Sie können aus dem Kunden-Namespace wie Y_ oder Z_ auswählen. Von SAP gelieferte Rollen beginnen mit SAP_, und Sie können den Namen nicht von von SAP gelieferten Rollen übernehmen.
Sobald Sie auf die Schaltfläche Rolle erstellen klicken, sollten Sie in der Rollendefinition auf der Registerkarte MENÜ Transaktionen, Berichte und Webadressen hinzufügen.
Navigieren Sie zur Registerkarte Autorisierung, um das Profil zu erstellen, und klicken Sie auf die Option Autorisierungsdaten ändern.
Gemäß Ihrer Aktivitätsauswahl werden Sie aufgefordert, die Organisationsebenen einzugeben. Wenn Sie einen bestimmten Wert in das Dialogfeld eingeben, werden die Berechtigungsfelder der Rolle automatisch verwaltet.
Sie können die Referenz für die Rollen anpassen. Sobald eine Rollendefinition abgeschlossen ist, müssen Sie die Rolle generieren. Klicken Sie auf Generieren (Umschalt + F5).
Wenn in dieser Struktur rote Ampeln angezeigt werden, werden die Organisationsebenen ohne Werte angezeigt. Sie können Organisationsebenen mit Organisationsebenen neben der Registerkarte Verwaltet eingeben und ändern.
Geben Sie den Profilnamen ein und klicken Sie auf das Häkchen, um den Schritt Generieren abzuschließen.
Klicke auf Saveum das Profil zu speichern. Sie können diese Rolle direkt Benutzern zuweisen, indem Sie zu den Registerkarten Benutzer wechseln. Auf ähnliche Weise können Sie zusammengesetzte Rollen mithilfe der PFCG-Rollenverwaltungsoption erstellen.
Rollen transportieren und verteilen
Führen Sie die Transaktion - PFCG aus, geben Sie den Rollennamen ein, den Sie transportieren möchten, und klicken Sie auf Transportrolle.
Sie gelangen zur Rollentransportoption. Sie haben mehrere Optionen unter den Transportrollen -
- Einzelne Rollen für zusammengesetzte Rollen transportieren.
- Transportieren Sie generierte Profile für Rollen.
- Personalisierungsdaten.
Im nächsten Dialogfeld sollten Sie die Benutzerzuordnung erwähnen und die Personalisierungsdaten sollten ebenfalls transportiert werden. Wenn die Benutzerzuweisungen auch transportiert werden, ersetzen sie die gesamte Benutzerzuweisung von Rollen im Zielsystem.
Um ein System zu sperren, damit Benutzerzuweisungen von Rollen nicht importiert werden können, geben Sie es in die Customizing-Tabelle ein PRGN_CUST mit Transaktion SM30 und wählen Sie das Wertefeld aus USER_REL_IMPORT number.
Diese Rolle wird in der Customizing-Anfrage eingetragen. Sie können dies mit Transaktion anzeigenSE10.
In der Customizing-Anfrage werden Berechtigungsprofile zusammen mit den Rollen transportiert.
Autorisierungsinfo-Systemtransaktion - SUIM
In der Berechtigungsverwaltung ist SUIM ein Schlüsselwerkzeug, mit dem Sie die Benutzerprofile in einem SAP-System finden und diese Profile auch dieser Benutzer-ID zuweisen können. SUIM bietet einen Einstiegsbildschirm mit Optionen zum Suchen von Benutzern, Rollen, Profilen, Berechtigungen, Transaktionen und Vergleichen.
Führen Sie zum Öffnen des Benutzerinformationssystems die Transaktion aus: SUIM.
In einem Benutzerinformationssystem verfügen Sie über verschiedene Knoten, mit denen verschiedene Funktionen in einem SAP-System ausgeführt werden können. Wie in einem Benutzerknoten können Sie Benutzer anhand von Auswahlkriterien durchsuchen. Sie können die gesperrte Liste der Benutzer, Benutzer, die Zugriff auf eine bestimmte Gruppe von Transaktionen haben, usw. abrufen.
Wenn Sie jede Registerkarte erweitern, haben Sie die Möglichkeit, verschiedene Berichte basierend auf verschiedenen Auswahlkriterien zu generieren. Wie beim Erweitern der Registerkarte Benutzer haben Sie folgende Optionen:
Wenn Sie nach komplexen Auswahlkriterien auf Benutzer klicken, können Sie mehrere Auswahlbedingungen gleichzeitig anwenden. Der folgende Screenshot zeigt Ihnen verschiedene Auswahlkriterien.
Rollenknoten
Auf ähnliche Weise können Sie unter diesem Benutzerinformationssystem auf verschiedene Knoten wie Rollen, Profile, Berechtigungen und verschiedene andere Optionen zugreifen.
Sie können das SUIM-Tool auch zum Suchen von Rollen und Profilen verwenden. Sie können einer bestimmten Gruppe von Benutzer-IDs eine Liste von Transaktionen zuweisen, indem Sie in SUIM eine Suche nach Transaktion und Zuweisung durchführen und diese Rollen dieser Benutzer-ID zuweisen.
Mit dem Benutzerinformationssystem können Sie verschiedene Suchvorgänge in einem SAP-System durchführen. Sie können verschiedene Auswahlkriterien eingeben und die Berichte basierend auf Benutzern, Profilen, Rollen, Transaktionen und verschiedenen anderen Kriterien abrufen.
RSUSR002 - Benutzer nach komplexen Auswahlkriterien.