Autenticación y administración de usuarios
Si un usuario no autorizado puede acceder al sistema SAP con un usuario autorizado conocido y puede realizar cambios de configuración y manipular la configuración del sistema y las políticas clave. Si un usuario autorizado tiene acceso a datos e información importantes de un sistema, ese usuario también puede acceder a otra información crítica. Esto mejora el uso de autenticación segura para proteger la disponibilidad, integridad y privacidad de un sistema de usuario.
Mecanismo de autenticación en un sistema SAP
El mecanismo de autenticación define la forma en que accede a su sistema SAP. Se proporcionan varios métodos de autenticación:
- ID de usuario y herramientas de gestión de usuarios
- Comunicación de red segura
- Entradas de inicio de sesión de SAP
- Certificados de cliente X.509
ID de usuario y herramientas de gestión de usuarios
El método más común de autenticación en un sistema SAP es utilizar el nombre de usuario y la contraseña para iniciar sesión. Los ID de usuario para iniciar sesión son creados por el administrador de SAP. Para proporcionar un mecanismo de autenticación seguro a través del nombre de usuario y la contraseña, es necesario definir políticas de contraseña que no permitan a los usuarios establecer una contraseña fácil de predecir.
SAP proporciona varios parámetros predeterminados que debe configurar para definir las políticas de contraseña: longitud de la contraseña, complejidad de la contraseña, cambio de contraseña predeterminada, etc.
Herramientas de gestión de usuarios en un sistema SAP
SAP NetWeaver Systemproporciona varias herramientas de gestión de usuarios que se pueden utilizar para gestionar de forma eficaz a los usuarios en su entorno. Proporcionan un método de autenticación muy sólido para ambos tipos de servidores de aplicaciones NetWeaver: Java y ABAP.
Algunas de las herramientas de administración de usuarios más comunes son:
Gestión de usuarios para el servidor de aplicaciones ABAP (Código de transacción: SU01)
Puede utilizar la gestión de usuarios Transaction-Code SU01 para mantener usuarios en sus servidores de aplicaciones basados en ABAP.
Gestión de identidades de SAP NetWeaver
Puede utilizar SAP NetWeaver Identity Management para la gestión de usuarios, así como para gestionar roles y asignaciones de roles en su entorno SAP.
Roles de PFCG
Puede utilizar el generador de perfiles PFCG para crear roles y asignar autorizaciones a usuarios en sistemas basados en ABAP.
Transaction Code - PFCG
Administración central de usuarios
Puede usar CUA para mantener usuarios para múltiples sistemas basados en ABAP. También puede sincronizarlo con sus servidores de directorio. Con esta herramienta, puede gestionar todo el registro maestro de usuarios de forma centralizada desde el cliente del sistema.
Transaction Code - SCUA y crear modelo de distribución.
Motor de gestión de usuarios UME
Puede utilizar roles UME para controlar la autorización del usuario en el sistema. Un administrador puede utilizar acciones que representen la entidad más pequeña del rol UME que un usuario puede utilizar para crear derechos de acceso.
Puede abrir la consola de administración de UME utilizando la opción Administrador de SAP NetWeaver.
Política de contraseñas
Una política de contraseñas se define como un conjunto de instrucciones que un usuario debe seguir para mejorar la seguridad del sistema mediante el uso de contraseñas seguras y su uso correcto. En muchas organizaciones, la política de contraseñas se comparte como parte de la capacitación en conciencia de seguridad y es obligatorio que los usuarios mantengan la política de seguridad de los sistemas e información críticos en una organización.
Al utilizar la política de contraseñas en un sistema SAP, un administrador puede configurar los usuarios del sistema para implementar contraseñas seguras que no son fáciles de romper. Esto también ayuda a cambiar la contraseña a intervalos de tiempo regulares para la seguridad del sistema.
Las siguientes políticas de contraseñas se utilizan comúnmente en un sistema SAP:
Cambio de contraseña predeterminada / inicial
Esto permite a los usuarios cambiar la contraseña inicial inmediatamente cuando se usa por primera vez.
Longitud de la contraseña
En un sistema SAP, la longitud mínima de las contraseñas en los sistemas SAP es 3 de forma predeterminada. Este valor se puede cambiar usando el parámetro de perfil y la longitud máxima permitida es 8.
Transaction Code - RZ11
Parameter Name - login / min_password_lng
Puede hacer clic en la documentación del parámetro de perfil para esta política y puede ver la documentación detallada de SAP de la siguiente manera:
Parameter - login / min_password_lng
Short text - Longitud mínima de la contraseña
Parameter Description- Este parámetro especifica la longitud mínima de la contraseña de inicio de sesión. La contraseña debe tener al menos tres caracteres. Sin embargo, el administrador puede especificar una longitud mínima mayor. Esta configuración se aplica cuando se asignan nuevas contraseñas y cuando se cambian o restablecen las contraseñas existentes.
Application Area - Iniciar sesión
Parameter Unit - Número de caracteres (alfanuméricos)
Default Value - 6
Who is permitted to make changes? Cliente
Operating System Restrictions - Ninguno
Database System Restrictions - Ninguno
Contraseñas ilegales
No puede seleccionar el primer carácter de ninguna contraseña como un signo de interrogación (?) O un signo de exclamación (!). También puede agregar los otros caracteres que desea restringir en la tabla de contraseñas ilegales.
Transaction Code - Nombre de la tabla SM30: USR40.
Una vez que ingrese a la mesa - USR40 y haga clic en Display en la parte superior, le mostrará la lista de todas las contraseñas no permitidas.
Una vez que haces clic en New Entries, puede ingresar los nuevos valores en esta tabla y también seleccionar la casilla de verificación que distingue entre mayúsculas y minúsculas.
Patrón de contraseña
También puede establecer que los primeros tres caracteres de la contraseña no aparezcan en el mismo orden que parte del nombre de usuario. Los diferentes patrones de contraseña que se pueden restringir mediante la política de contraseñas incluyen:
- Los tres primeros caracteres no pueden ser todos iguales.
- Los primeros tres caracteres no pueden incluir espacios.
- La contraseña no puede ser PASS o SAP.
Cambio de contraseña
En esta política, se puede permitir que un usuario cambie su contraseña casi una vez al día, pero un administrador puede restablecer la contraseña de un usuario con la frecuencia que sea necesaria.
No se debe permitir que un usuario reutilice las últimas cinco contraseñas. Sin embargo, un administrador puede restablecer la contraseña que utilizó un usuario anteriormente.
Parámetros de perfil
Hay diferentes parámetros de perfil que puede definir en un sistema SAP para la gestión de usuarios y la política de contraseñas.
En un sistema SAP, puede visualizar la documentación para cada parámetro de perfil yendo a Tools → CCMS → Configuration →Profile Maintenance(Transacción: RZ11). Introduzca el nombre del parámetro y haga clic enDisplay.
En la siguiente ventana que aparece, debe ingresar el nombre del parámetro, puede ver 2 opciones:
Display - Mostrar el valor de los parámetros en el sistema SAP.
Display Docu - Para mostrar la documentación de SAP para ese parámetro.
Al hacer clic en el botón Mostrar, se le moverá a Maintain Profile Parameterpantalla. Puede ver los siguientes detalles:
- Name
- Type
- Criteria de selección
- Grupo de parámetros
- Descripción de parámetros y muchos más
En la parte inferior, tiene el valor actual del parámetro login/min_password_lng
Cuando haces clic en Display Doc opción, mostrará la documentación de SAP para el parámetro.
Descripción de parámetros
Este parámetro especifica la longitud mínima de la contraseña de inicio de sesión. La contraseña debe tener al menos tres caracteres. Sin embargo, el administrador puede especificar una longitud mínima mayor. Esta configuración se aplica cuando se asignan nuevas contraseñas y cuando se cambian o restablecen las contraseñas existentes.
Cada parámetro tiene un valor predeterminado, el valor permitido como se muestra a continuación:
Hay diferentes parámetros de contraseña en un sistema SAP. Puede ingresar cada parámetro en elRZ11 transacción y puede ver la documentación.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Para cambiar el valor del parámetro, ejecute Transaction RZ10 y seleccione el perfil como se muestra a continuación -
Multiple application servers - Utilice el perfil DEFAULT.
Single Application servers - Usar perfil de instancia.
Seleccione Extended Maintenance y haga clic en Display.
Seleccione el parámetro que desea cambiar y haga clic en Parameter en la cima.
Al hacer clic en la pestaña Parámetro, puede cambiar el valor del parámetro en una nueva ventana. También puede crear el nuevo parámetro haciendo clic enCreate (F5).
También puede ver el estado del parámetro en esta ventana. Escriba el valor del parámetro y haga clic enCopy.
Se le pedirá que guarde cuando salga de la pantalla. Haga clic en Sí para guardar el valor del parámetro.