Keamanan SAP - Konsep Otorisasi Sistem

Konsep Otorisasi Sistem SAP berkaitan dengan perlindungan sistem SAP dari menjalankan transaksi dan program dari akses yang tidak sah. Anda tidak boleh mengizinkan pengguna untuk mengeksekusi transaksi dan program dalam sistem SAP hingga mereka telah menetapkan otorisasi untuk aktivitas ini.

Untuk membuat sistem Anda lebih aman dan menerapkan otorisasi yang kuat, Anda perlu meninjau rencana otorisasi Anda untuk memastikan bahwa itu memenuhi persyaratan keamanan perusahaan dan tidak ada pelanggaran keamanan.

Jenis Pengguna

Dalam rilis sebelumnya dari Sistem SAP, tipe pengguna hanya dibagi dalam dua kategori - pengguna Dialog dan pengguna Non-Dialog dan hanya pengguna non-dialog yang direkomendasikan untuk komunikasi antara dua sistem. Dengan SAP 4.6C, jenis pengguna telah dibagi ke dalam kategori berikut -

  • Dialog User- Pengguna ini digunakan untuk akses sistem interaktif individu dan sebagian besar pekerjaan klien dilakukan menggunakan pengguna dialog. Kata sandi dapat diubah oleh pengguna itu sendiri. Pada pengguna dialog, beberapa log masuk dialog dapat dicegah.

  • Service User- Ini digunakan untuk melakukan akses sistem interaktif untuk melakukan beberapa tugas yang telah ditentukan seperti tampilan katalog produk. Banyak login diperbolehkan untuk pengguna ini dan hanya Administrator yang dapat mengubah kata sandi untuk pengguna ini.

  • System User- ID pengguna ini digunakan untuk melakukan sebagian besar tugas terkait sistem - Sistem Manajemen Transportasi, Menentukan Alur Kerja, dan ALE. Ini bukan pengguna yang bergantung pada sistem interaktif dan ada beberapa login yang diizinkan untuk pengguna ini.

  • Reference User- Pengguna Referensi tidak digunakan untuk masuk ke sistem SAP. Pengguna ini digunakan untuk memberikan otorisasi tambahan kepada pengguna internal. Dalam sistem SAP, Anda dapat membuka tab Peran dan menentukan pengguna referensi untuk hak tambahan bagi pengguna dialog.

  • Communication Users- Jenis pengguna ini digunakan untuk mempertahankan login bebas dialog antara sistem yang berbeda seperti koneksi RFC, CPIC. Logon Dialog menggunakan SAP GUI tidak dimungkinkan untuk pengguna Komunikasi. Jenis Pengguna dapat mengubah sandi mereka seperti pengguna dialog umum. Modul fungsional RFC dapat digunakan untuk mengubah kata sandi.

Kode Transaksi: SU01digunakan untuk pembuatan pengguna dalam sistem SAP. Pada layar berikut, Anda dapat melihat tipe Pengguna yang berbeda dalam sistem SAP di bawah Transaksi SU01.

Membuat Pengguna

Untuk membuat pengguna atau beberapa pengguna dengan hak akses berbeda dalam sistem SAP, Anda harus mengikuti langkah-langkah yang diberikan di bawah ini.

Step 1 - Gunakan kode transaksi - SU01.

Step 2 - Masukkan nama pengguna yang ingin Anda buat, klik ikon buat seperti yang ditunjukkan pada gambar berikut.

Step 3- Anda akan diarahkan ke tab berikutnya - tab Alamat. Di sini, Anda perlu memasukkan detail seperti Nama Depan, Nama Belakang, Nomor Telepon, Id Email, dll.

Step 4 - Anda selanjutnya akan diarahkan ke tab berikutnya - Logon Data. Masukkan tipe pengguna di bawah tab Data logon. Kami memiliki lima jenis pengguna yang berbeda.

Step 5 - Ketik Kata Sandi Login pertama → Kata Sandi Baru → Ulangi Kata Sandi.

Step 6 - Anda akan diarahkan ke tab berikutnya - Peran −Menetapkan peran kepada pengguna.

Step 7 - Anda selanjutnya akan diarahkan ke tab berikutnya - Profiles −Menetapkan Profil ke pengguna.

Step 8 - Klik Simpan untuk menerima konfirmasi.

Administrasi Pengguna Pusat (CUA)

Administrasi Pengguna Pusat adalah salah satu konsep utama yang memungkinkan Anda untuk mengelola semua pengguna dalam lanskap sistem SAP menggunakan sistem pusat. Dengan menggunakan alat ini, Anda dapat mengelola semua catatan master pengguna secara terpusat dalam satu sistem. Administrator Pengguna Pusat memungkinkan Anda menghemat uang dan sumber daya dalam mengelola pengguna serupa dalam satu lanskap sistem.

Keuntungan dari Administrasi Pengguna Pusat adalah -

  • Saat Anda mengonfigurasi CUA dalam lanskap SAP, Anda dapat membuat atau menghapus pengguna hanya dengan menggunakan sistem pusat.

  • Semua peran dan otorisasi yang diperlukan ada di sistem anak dalam bentuk aktif.

  • Semua pengguna dipantau dan dikelola secara terpusat yang membuat tugas administrasi lebih mudah dan pandangan yang lebih jelas untuk semua aktivitas manajemen pengguna dalam lanskap sistem yang kompleks.

  • Administrator Pengguna Pusat memungkinkan Anda menghemat uang dan sumber daya dalam mengelola pengguna serupa dalam satu lanskap sistem.

Pertukaran data dilakukan dengan menggunakan ALE lanskap disebut sebagai Application Link Enablingyang memungkinkan untuk bertukar data secara terkontrol. ALE digunakan oleh Administrator Pengguna Pusat untuk pertukaran data ke sistem anak dalam lanskap sistem SAP.

Dalam lingkungan lanskap yang kompleks, Anda mendefinisikan satu sistem sebagai sistem Pusat dengan lingkungan ALE dan ini ditautkan ke semua sistem turunan menggunakan pertukaran data dua arah. Sistem anak dalam lanskap tidak terhubung satu sama lain.

Untuk mengimplementasikan Administrasi Pengguna Pusat, poin-poin berikut harus dipertimbangkan -

  • Anda membutuhkan lingkungan SAP dengan banyak klien dalam satu lingkungan / terdistribusi.

  • Administrator untuk mengelola pengguna, membutuhkan otorisasi untuk mengikuti Kode Transaksi -

    • SU01

    • SCC4

    • SCUA

    • SCUM

    • SM59

    • BD54

    • BD64

  • Anda harus menciptakan hubungan saling percaya antar sistem.

  • Anda harus membuat pengguna sistem di sistem pusat dan anak.

  • Buat Sistem Logis dan tetapkan sistem logis ke klien yang sesuai.

  • Buat tampilan model dan BAPI ke tampilan model.

  • Buat Administrator Pengguna Pusat dan setel parameter distribusi untuk bidang.

  • Sinkronkan alamat perusahaan

  • Transfer Pengguna

Di lingkungan yang dikelola secara terpusat, Anda perlu membuat Administrator terlebih dahulu. Masuk ke semua sistem logis CUA masa depan sebagai SAP pengguna * dengan kata sandi default PASS.

Jalankan Transaksi SU01 dan membuat pengguna dengan peran administrator yang ditetapkan padanya.

Untuk mendefinisikan sistem Logis, gunakan Transaksi BD54. Klik pada Entri Baru untuk membuat sistem logis baru.

Buat nama logis baru dalam huruf kapital untuk Administrasi Pengguna Pusat untuk sistem pusat dan semua anak termasuk yang dari Sistem SAP lainnya.

Untuk mengidentifikasi sistem dengan mudah, Anda memiliki konvensi penamaan berikut yang dapat digunakan untuk mengidentifikasi sistem Administrasi Pengguna Pusat -

<System ID>CLNT<Client>

Masukkan beberapa deskripsi berguna dari sistem logika. Simpan entri Anda dengan mengklikSavetombol. Berikutnya adalah membuat nama sistem logis untuk sistem pusat di semua sistem anak.

Untuk menetapkan sistem Logis ke klien, gunakan Transaksi SCC4 dan beralih ke mode Ubah.

Buka klien yang ingin Anda tetapkan ke sistem logika dengan mengklik dua kali atau dengan mengklik Detailstombol. Klien hanya dapat ditugaskan ke satu sistem logis.

Di bidang sistem logis di detail klien, masukkan nama sistem logis yang ingin Anda tetapkan untuk klien ini.

Lakukan langkah-langkah di atas untuk semua klien dalam lingkungan SAP yang ingin Anda sertakan di Administrator Pengguna Pusat. Untuk menyimpan pengaturan Anda, klikSave tombol di atas.

Melindungi Profil Tertentu di SAP

Untuk menjaga keamanan dalam sistem SAP, Anda perlu memelihara profil tertentu yang berisi otorisasi penting. Ada berbagai profil otorisasi SAP yang perlu Anda lindungi dalam sistem SAP yang memiliki otorisasi penuh.

Beberapa profil yang perlu dilindungi dalam sistem SAP adalah -

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

Profil Otorisasi SAP_ALL

Profil otorisasi SAP_ALL memungkinkan pengguna untuk melakukan semua tugas dalam sistem SAP. Ini adalah profil komposit yang berisi semua otorisasi dalam sistem SAP. Pengguna dengan otorisasi ini dapat melakukan semua aktivitas dalam sistem SAP, jadi profil ini tidak boleh ditetapkan ke pengguna mana pun di sistem Anda.

Direkomendasikan bahwa satu pengguna harus dipertahankan dengan profil. Sementara kata sandi harus dilindungi dengan baik untuk pengguna itu dan hanya boleh digunakan saat dibutuhkan.

Alih-alih menetapkan otorisasi SAP_ALL, Anda harus menetapkan otorisasi individu kepada pengguna yang sesuai. Pengguna Super / Administrasi Sistem Anda, alih-alih memberikan otorisasi SAP_ALL kepada mereka, Anda harus menggunakan otorisasi individual yang diperlukan.

Otorisasi SAP_NEW

Otorisasi SAP_NEW berisi semua otorisasi yang diperlukan dalam rilis baru. Saat pemutakhiran sistem selesai, profil ini digunakan agar beberapa tugas berjalan dengan baik.

Anda harus mengingat poin-poin berikut tentang otorisasi ini -

  • Saat pemutakhiran sistem dilakukan, Anda perlu menghapus profil SAP_NEW untuk rilis sebelumnya.

  • Anda perlu menetapkan otorisasi terpisah di bawah profil SAP_NEW untuk pengguna yang berbeda di lingkungan Anda.

  • Profil ini tidak boleh dibiarkan aktif terlalu lama.

  • Saat Anda memiliki daftar panjang profil SAP_NEW di lingkungan, ini menunjukkan bahwa Anda perlu meninjau kebijakan otorisasi Anda di sistem.

Untuk melihat daftar semua profil SAP_NEW, Anda harus memilih profil ini dengan mengklik dua kali lalu → buka Choose.

P_BAS_ALL Otorisasi

Otorisasi ini memungkinkan pengguna untuk melihat konten tabel dari aplikasi lain. Otorisasi ini berisiP_TABU_DISotorisasi. Otorisasi ini memungkinkan pengguna PA untuk melihat konten tabel yang bukan milik grup mereka.

Pemeliharaan Peran PFCG

Pemeliharaan Peran PFCG dapat digunakan untuk mengelola peran dan otorisasi dalam sistem SAP. Dalam PFCG, peran tersebut mewakili pekerjaan yang dilakukan seseorang terkait dengan skenario kehidupan nyata. PFCG memungkinkan Anda untuk menentukan serangkaian transaksi yang dapat diberikan kepada seseorang untuk melakukan pekerjaan sehari-hari mereka.

Saat peran dibuat dalam Transaksi PFCG, Anda dapat menggunakan Transaksi SU01untuk menetapkan peran ini kepada pengguna individu. Seorang pengguna dalam sistem SAP dapat diberikan beberapa peran dan yang terkait dengan tugas hariannya di kehidupan nyata.

Peran ini terkait antara pengguna dan otorisasi dalam sistem SAP. Otorisasi dan profil aktual disimpan dalam bentuk objek dalam sistem SAP.

Menggunakan Pemeliharaan Peran PFCG, Anda dapat melakukan fungsi-fungsi berikut -

  • Mengubah dan Menetapkan Peran
  • Membuat Peran
  • Membuat Peran Komposit
  • Mengangkut dan Mendistribusikan Peran

Sekarang mari kita bahas fungsi-fungsi ini secara rinci.

Mengubah dan Menetapkan Peran

Jalankan Transaksi: PFCG

Ini akan membawa Anda ke jendela pemeliharaan peran. Untuk mengubah peran yang ada, masukkan nama peran yang dikirim di lapangan.

Salin peran standar dengan mengklik tombol Salin peran. Masukkan nama dari namespace. Klik pada tombol pemilihan nilai dan pilih peran yang ingin Anda salin.

Anda juga dapat memilih peran yang dikirimkan oleh SAP dimulai dengan SAP_, tapi kemudian peran default akan ditimpa.

Untuk mengubah peran, klik Change tombol di Pemeliharaan Peran.

Arahkan ke tab Menu untuk mengubah menu pengguna di halaman tab Menu. Buka tab Otorisasi untuk mengubah data Otorisasi untuk pengguna tersebut.

Anda juga dapat menggunakan Mode Pakar untuk menyesuaikan otorisasi untuk perubahan menu di bawah Otorisasi. Klik tombol Generate untuk menghasilkan profil untuk peran ini.

Untuk menetapkan pengguna ke peran ini, buka tab Pengguna di opsi Perubahan Peran. Untuk menetapkan pengguna ke peran ini, itu harus ada di sistem.

Anda juga dapat melakukan Perbandingan Pengguna jika diperlukan. Klik pada opsi Perbandingan Pengguna. Anda juga dapat mengklik tombol Informasi untuk mengetahui lebih lanjut tentang peran Tunggal dan Komposit serta opsi Perbandingan Pengguna untuk membandingkan rekaman master.

Membuat Peran di PFCG

Anda dapat membuat peran tunggal dan peran gabungan di PFCG. Masukkan nama peran dan klik Buat Peran Tunggal atau Gabungan seperti yang ditunjukkan pada gambar di bawah.

Anda dapat memilih dari namespace Pelanggan seperti Y_ atau Z_. Peran yang dikirimkan SAP dimulai dengan SAP_ dan Anda tidak dapat mengambil nama dari peran yang dikirimkan SAP.

Setelah Anda mengklik tombol Buat peran, Anda harus menambahkan Transaksi, Laporan, dan Alamat Web di bawah tab MENU dalam definisi peran.

Arahkan ke tab Otorisasi untuk membuat Profil, klik opsi Ubah data Otorisasi.

Sesuai pilihan aktivitas Anda, Anda akan diminta untuk masuk ke tingkat organisasi. Saat Anda memasukkan nilai tertentu di kotak dialog, bidang otorisasi peran dipertahankan secara otomatis.

Anda dapat menyesuaikan referensi untuk peran tersebut. Setelah definisi peran selesai, Anda perlu membuat peran tersebut. Klik Hasilkan (Shift + F5).

Dalam struktur ini, ketika Anda melihat lampu lalu lintas merah, ini menunjukkan tingkat organisasi tanpa nilai. Anda dapat masuk dan mengubah tingkat organisasi dengan tingkat Organisasi di sebelah tab Dikelola.

Masukkan nama Profil dan klik opsi centang untuk menyelesaikan langkah Hasilkan.

Klik Saveuntuk menyimpan profil. Anda dapat langsung menetapkan peran ini kepada pengguna dengan membuka tab Pengguna. Dengan cara serupa, Anda dapat membuat peran Gabungan menggunakan Opsi Pemeliharaan Peran PFCG.

Mengangkut dan Mendistribusikan Peran

Jalankan Transaction - PFCG dan masukkan nama peran yang ingin Anda transpor dan klik Transport Role.

Anda akan mencapai opsi transportasi peran. Anda memiliki beberapa opsi di bawah Peran Transportasi -

  • Mengangkut peran tunggal untuk peran gabungan.
  • Transportasi menghasilkan profil untuk peran.
  • Data Personalisasi.

Di kotak dialog berikutnya, Anda harus menyebutkan tugas pengguna dan data personalisasi juga harus dipindahkan. Jika penugasan pengguna juga dipindahkan, penugasan tersebut akan menggantikan seluruh penetapan peran pengguna di sistem target.

Untuk mengunci sistem sehingga penetapan peran pengguna tidak dapat diimpor, masukkan di tabel Menyesuaikan PRGN_CUST menggunakan transaksi SM30 dan pilih bidang nilai USER_REL_IMPORT number.

Peran ini dimasukkan dalam menyesuaikan permintaan. Anda dapat melihatnya menggunakan TransaksiSE10.

Dalam permintaan Kustomisasi, profil otorisasi diangkut bersama dengan perannya.

Transaksi Sistem Info Otorisasi - SUIM

Dalam Manajemen Otorisasi, SUIM adalah alat utama yang dapat digunakan untuk menemukan profil pengguna dalam sistem SAP dan juga dapat menetapkan profil tersebut ke ID Pengguna tersebut. SUIM menyediakan layar awal yang menyediakan opsi untuk Mencari Pengguna, Peran, Profil, Otorisasi, Transaksi, dan Perbandingan.

Untuk membuka Sistem Informasi Pengguna, Jalankan Transaksi: SUIM.

Dalam Sistem Informasi Pengguna, Anda memiliki node berbeda yang dapat digunakan untuk menjalankan fungsi berbeda dalam sistem SAP. Seperti di node Pengguna, Anda dapat melakukan pencarian pada pengguna berdasarkan kriteria pemilihan. Anda bisa mendapatkan daftar pengguna yang terkunci, pengguna yang memiliki akses ke rangkaian transaksi tertentu, dll.

Saat Anda memperluas setiap tab, Anda memiliki opsi untuk membuat laporan yang berbeda berdasarkan kriteria pemilihan yang berbeda. Seperti saat Anda memperluas tab pengguna, Anda memiliki opsi berikut -

Saat Anda mengklik pengguna menurut kriteria pemilihan yang kompleks, Anda dapat menerapkan beberapa ketentuan pemilihan secara bersamaan. Tangkapan layar berikut menunjukkan kepada Anda kriteria pemilihan yang berbeda.

Node Peran

Dengan cara yang sama, Anda dapat mengakses node yang berbeda seperti Peran, Profil, Otorisasi, dan berbagai opsi lain di bawah sistem informasi pengguna ini.

Anda juga dapat menggunakan alat SUIM untuk mencari peran dan profil. Anda dapat menetapkan daftar transaksi ke kumpulan ID pengguna tertentu, dengan melakukan pencarian berdasarkan transaksi dan penugasan di SUIM dan menetapkan peran tersebut ke ID pengguna tersebut.

Dengan menggunakan sistem Informasi Pengguna, Anda dapat melakukan berbagai pencarian dalam sistem SAP. Anda dapat memasukkan kriteria pemilihan yang berbeda dan menarik laporan berdasarkan Pengguna, Profil, peran, Transaksi, dan berbagai kriteria lainnya.

RSUSR002 - Pengguna menurut Kriteria Seleksi Kompleks.