Benutzerauthentifizierung und -verwaltung

Wenn ein nicht autorisierter Benutzer unter einem bekannten autorisierten Benutzer auf das SAP-System zugreifen und Konfigurationsänderungen vornehmen sowie die Systemkonfiguration und die wichtigsten Richtlinien bearbeiten kann. Wenn ein autorisierter Benutzer Zugriff auf wichtige Daten und Informationen eines Systems hat, kann dieser Benutzer auch auf andere wichtige Informationen zugreifen. Dies verbessert die Verwendung einer sicheren Authentifizierung, um die Verfügbarkeit, Integrität und Privatsphäre eines Benutzersystems zu schützen.

Authentifizierungsmechanismus in einem SAP-System

Der Authentifizierungsmechanismus definiert die Art und Weise, wie Sie auf Ihr SAP-System zugreifen. Es werden verschiedene Authentifizierungsmethoden bereitgestellt -

  • Benutzer-IDs und Benutzerverwaltungstools
  • Sichere Netzwerkkommunikation
  • SAP-Anmeldetickets
  • X.509-Client-Zertifikate

Benutzer-IDs und Benutzerverwaltungstools

Die häufigste Authentifizierungsmethode in einem SAP-System ist die Verwendung des Benutzernamens und des Kennworts zur Anmeldung. Die anzumeldenden Benutzer-IDs werden vom SAP-Administrator erstellt. Um einen sicheren Authentifizierungsmechanismus über den Benutzernamen und das Kennwort bereitzustellen, müssen Kennwortrichtlinien definiert werden, mit denen Benutzer kein einfach vorhergesagtes Kennwort festlegen können.

SAP bietet verschiedene Standardparameter, die Sie festlegen sollten, um Kennwortrichtlinien zu definieren - Kennwortlänge, Kennwortkomplexität, Standardkennwortänderung usw.

User Management Tools in einem SAP-System

SAP NetWeaver Systembietet verschiedene Benutzerverwaltungstools, mit denen Benutzer in Ihrer Umgebung effektiv verwaltet werden können. Sie bieten eine sehr starke Authentifizierungsmethode für beide Arten von NetWeaver-Anwendungsservern - Java und ABAP.

Einige der gängigsten Benutzerverwaltungstools sind:

Benutzerverwaltung für ABAP Application Server (Transaktionscode: SU01)

Mit der Benutzerverwaltung Transaction-Code SU01 können Sie Benutzer in Ihren ABAP-basierten Anwendungsservern verwalten.

SAP NetWeaver Identity Management

Sie können SAP NetWeaver Identity Management sowohl für die Benutzerverwaltung als auch für die Verwaltung von Rollen und Rollenzuweisungen in Ihrer SAP-Umgebung verwenden.

PFCG-Rollen

Mit dem Profilgenerator PFCG können Sie Rollen erstellen und Benutzern in ABAP-basierten Systemen Berechtigungen zuweisen.

Transaction Code - PFCG

Zentrale Benutzerverwaltung

Mit CUA können Sie Benutzer für mehrere ABAP-basierte Systeme verwalten. Sie können es auch mit Ihren Verzeichnisservern synchronisieren. Mit diesem Tool können Sie den gesamten Benutzerstammsatz zentral vom Client des Systems aus verwalten.

Transaction Code - SCUA und Verteilungsmodell erstellen.

User Management Engine UME

Sie können UME-Rollen verwenden, um die Benutzerberechtigung im System zu steuern. Ein Administrator kann Aktionen verwenden, die die kleinste Entität der UME-Rolle darstellen, mit der ein Benutzer Zugriffsrechte erstellen kann.

Sie können die UME-Verwaltungskonsole mit der Option SAP NetWeaver Administrator öffnen.

Kennwortrichtlinie

Eine Kennwortrichtlinie ist definiert als eine Reihe von Anweisungen, die ein Benutzer befolgen muss, um die Systemsicherheit zu verbessern, indem er sichere Kennwörter verwendet und diese ordnungsgemäß verwendet. In vielen Organisationen wird die Kennwortrichtlinie als Teil des Sicherheitsbewusstseins-Trainings geteilt, und Benutzer müssen die Sicherheitsrichtlinie für kritische Systeme und Informationen in einer Organisation einhalten.

Mithilfe der Kennwortrichtlinie in einem SAP-System kann ein Administrator Systembenutzer so einrichten, dass sichere Kennwörter bereitgestellt werden, die nicht leicht zu knacken sind. Dies hilft auch, das Kennwort aus Gründen der Systemsicherheit in regelmäßigen Zeitabständen zu ändern.

Die folgenden Kennwortrichtlinien werden häufig in einem SAP-System verwendet:

Standard- / Erstkennwortänderung

Auf diese Weise können die Benutzer das ursprüngliche Kennwort bei der ersten Verwendung sofort ändern.

Passwortlänge

In einem SAP-System beträgt die Mindestlänge für Kennwörter in SAP-Systemen standardmäßig 3. Dieser Wert kann mithilfe des Profilparameters geändert werden. Die maximal zulässige Länge beträgt 8.

Transaction Code - RZ11

Parameter Name - login / min_password_lng

Sie können auf die Dokumentation des Profilparameters für diese Richtlinie klicken und die detaillierte Dokumentation von SAP wie folgt anzeigen:

Parameter - login / min_password_lng

Short text - Minimale Passwortlänge

Parameter Description- Dieser Parameter gibt die Mindestlänge des Anmeldekennworts an. Das Passwort muss mindestens drei Zeichen enthalten. Der Administrator kann jedoch eine größere Mindestlänge angeben. Diese Einstellung gilt, wenn neue Kennwörter zugewiesen werden und wenn vorhandene Kennwörter geändert oder zurückgesetzt werden.

Application Area - Anmeldung

Parameter Unit - Anzahl der Zeichen (alphanumerisch)

Default Value - 6

Who is permitted to make changes? Kunde

Operating System Restrictions - Keine

Database System Restrictions - Keine

Illegale Passwörter

Sie können das erste Zeichen eines Passworts nicht als Fragezeichen (?) Oder Ausrufezeichen (!) Auswählen. Sie können auch die anderen Zeichen, die Sie einschränken möchten, in die Tabelle für unzulässige Kennwörter einfügen.

Transaction Code - SM30-Tabellenname: USR40.

Sobald Sie die Tabelle betreten - USR40 und klicken Sie auf Display Oben wird die Liste aller unzulässigen Passwörter angezeigt.

Sobald Sie auf klicken New Entrieskönnen Sie die neuen Werte in diese Tabelle eingeben und das Kontrollkästchen Groß- und Kleinschreibung beachten aktivieren.

Passwortmuster

Sie können auch festlegen, dass die ersten drei Zeichen des Kennworts nicht in derselben Reihenfolge wie der Benutzername angezeigt werden. Verschiedene Kennwortmuster, die mithilfe der Kennwortrichtlinie eingeschränkt werden können, umfassen:

  • Die ersten drei Zeichen können nicht alle gleich sein.
  • Die ersten drei Zeichen dürfen keine Leerzeichen enthalten.
  • Das Passwort darf nicht PASS oder SAP sein.

Passwortänderung

In dieser Richtlinie kann ein Benutzer sein Kennwort fast einmal am Tag ändern, ein Administrator kann das Kennwort eines Benutzers jedoch so oft wie nötig zurücksetzen.

Ein Benutzer sollte nicht berechtigt sein, die letzten fünf Passwörter wiederzuverwenden. Ein Administrator kann jedoch das Kennwort zurücksetzen, das zuvor von einem Benutzer verwendet wurde.

Profilparameter

Es gibt verschiedene Profilparameter, die Sie in einem SAP-System für die Benutzerverwaltung und Kennwortrichtlinie definieren können.

In einem SAP-System können Sie die Dokumentation für jeden Profilparameter anzeigen, indem Sie auf gehen Tools → CCMS → Configuration →Profile Maintenance(Transaktion: RZ11). Geben Sie den Parameternamen ein und klicken Sie aufDisplay.

Im nächsten Fenster, das angezeigt wird, müssen Sie den Parameternamen eingeben, Sie können 2 Optionen sehen -

Display - Anzeige des Wertes von Parametern im SAP-System.

Display Docu - Anzeigen der SAP-Dokumentation für diesen Parameter.

Wenn Sie auf die Schaltfläche Anzeigen klicken, werden Sie zu verschoben Maintain Profile ParameterBildschirm. Sie können die folgenden Details sehen -

  • Name
  • Type
  • Auswahlkriterium
  • Parametergruppe
  • Parameterbeschreibung und vieles mehr

Unten haben Sie den aktuellen Parameterwert login/min_password_lng

Wenn Sie auf klicken Display Doc Mit dieser Option wird die SAP-Dokumentation für den Parameter angezeigt.

Parameterbeschreibung

Dieser Parameter gibt die Mindestlänge des Anmeldekennworts an. Das Passwort muss mindestens drei Zeichen enthalten. Der Administrator kann jedoch eine größere Mindestlänge angeben. Diese Einstellung gilt, wenn neue Kennwörter zugewiesen werden und wenn vorhandene Kennwörter geändert oder zurückgesetzt werden.

Jeder Parameter hat einen Standardwert, zulässiger Wert wie folgt -

In einem SAP-System gibt es verschiedene Passwortparameter. Sie können jeden Parameter in das Feld eingebenRZ11 Transaktion und kann die Dokumentation anzeigen.

  • login/min_password_diff
  • login/min_password_digits
  • login/min_password_letters
  • login/min_password_specials
  • login/min_password_lowercase
  • login/min_password_uppercase
  • login/disable_password_logon
  • login/password_charset
  • login/password_downwards_compatibility
  • login/password_compliance_to_current_policy

Führen Sie aus, um den Parameterwert zu ändern Transaction RZ10 und wählen Sie das Profil wie unten gezeigt -

  • Multiple application servers - Verwenden Sie das DEFAULT-Profil.

  • Single Application servers - Verwenden Sie das Instanzprofil.

Wählen Extended Maintenance und klicken Sie auf Display.

Wählen Sie den Parameter aus, den Sie ändern möchten, und klicken Sie auf Parameter oben.

Wenn Sie auf die Registerkarte Parameter klicken, können Sie den Wert des Parameters in einem neuen Fenster ändern. Sie können den neuen Parameter auch erstellen, indem Sie auf klickenCreate (F5).

In diesem Fenster können Sie auch den Status des Parameters anzeigen. Geben Sie den Parameterwert ein und klicken Sie aufCopy.

Sie werden aufgefordert, zu speichern, wenn Sie den Bildschirm verlassen. Klicken Sie auf Ja, um den Parameterwert zu speichern.