ログオン保護の許可を取り消す

SAPシステムにセキュリティを実装するには、SAP環境でのログインの失敗を監視する必要があります。誰かが間違ったパスワードを使用してシステムにログインしようとすると、システムはしばらくの間ユーザー名をロックするか、定義された回数の試行後にそのセッションを終了する必要があります。

不正なログオン試行に対して、さまざまなセキュリティパラメータを設定できます-

  • セッションの終了
  • ユーザーのロック
  • スクリーンセーバーのアクティブ化
  • 失敗したログオン試行の監視
  • ログオン試行の記録

これらのそれぞれについて詳しく説明しましょう。

セッションの終了

1つのユーザーIDで複数回のログイン試行が失敗した場合、システムはそのユーザーのセッションを終了します。これは、プロファイルパラメータを使用して送信する必要があります-login/fails_to_session_end.

パラメータ値を変更するには、トランザクションを実行します RZ10次のスクリーンショットに示すように、プロファイルを選択します。拡張メンテナンスを選択し、をクリックしますDisplay

変更するパラメータを選択し、をクリックします Parameter 下図のように上部にあるボタン。

[パラメータ]タブをクリックすると、新しいウィンドウでパラメータの値を変更できます。をクリックして新しいパラメータを作成することもできますCreate (F5) ボタン。

このパラメータの詳細を確認するには、トランザクションコードを実行します。 RZ11 プロファイル名を入力します– login/fails_to_session_end とをクリックします Display Document

  • Parameter − login / failed_to_session_end

  • Short text −セッションが終了するまでの無効なログイン試行の数。

  • Parameter Description −ログオン手順が終了するまでにユーザーマスタレコードで実行できる無効なログイン試行の数。

  • Application Area −ログオン

  • Default Value − 3

  • Who is permitted to make changes? −顧客

  • Operating System Restrictions −なし

  • Database System Restrictions −なし

  • Are other parameters affected or dependent? −なし

  • Values allowed − 1〜99

上のスクリーンショットでは、このパラメーターの値が3、つまりデフォルト値に設定されていることがわかります。ログインに3回失敗すると、1人のユーザーのセッションが終了します。

ユーザーのロック

単一のユーザーIDでログオンに失敗した連続試行回数が設定された回数を超えた場合は、特定のユーザーIDをチェックすることもできます。プロファイルパラメータで許可される無効なログオン試行の数を設定します。login/fails_to_user_lock

  • 特定のユーザーIDにロックを設定することができます。

  • ロックは深夜までユーザーIDに適用されます。ただし、システム管理者がいつでも手動で削除することもできます。

  • SAPシステムでは、手動で削除するまでユーザーIDにロックを設定できるようにするパラメーター値を設定することもできます。パラメータ名:login/failed_user_auto_unlock

Profile parameter: login/fails_to_user_lock

誤ったログオンパスワードが入力されるたびに、関連するユーザマスタレコードの失敗したログオンカウンタが増加します。ログオンの試行は、セキュリティ監査ログに記録できます。このパラメーターで指定された制限を超えると、関連するユーザーがロックされます。このプロセスはSyslogにも記録されます。

当日が終了すると、ロックは無効になります。(その他の条件-login / failed_user_auto_unlock)

ユーザーが正しいパスワードを使用してログオンすると、失敗したログオンカウンターがリセットされます。パスワードベースではないログオンは、失敗したログオンカウンターに影響を与えません。ただし、アクティブなログオンロックはログオンごとにチェックされます。

  • Values allowed − 1 – 99

このパラメータの現在の値を確認するには、次を使用します。 T-Code: RZ11

  • Parameter name −ログイン/ failed_user_auto_unlock

  • Short text −深夜にロックされたユーザーの自動ロック解除を無効にします。

  • Parameter Description−誤ってログオンしてロックされたユーザーのロック解除を制御します。パラメータが1に設定されている場合、パスワードログオンの試行に失敗したために設定されたロックは、同じ日にのみ適用されます(ロックと同じ)。パラメータが0に設定されている場合、ロックは有効なままです。

  • Application Area −ログオン。

  • Default Value −0。

スクリーンセーバーのアクティブ化

システム管理者は、スクリーンセーバーを有効にして、フロントエンド画面を不正アクセスから保護することもできます。これらのスクリーンセーバーはパスワードで保護できます。

失敗したログオン試行の監視とログオン試行の記録

SAPシステムでは、レポートを使用できます RSUSR006システムでのログオン試行に失敗したユーザーがいるかどうかを確認します。このレポートには、ユーザーによる誤ったログイン試行の数とユーザーロックに関する詳細が含まれており、要件に応じてこのレポートをスケジュールできます。

に移動 ABAP Editor SE38 レポート名を入力して、をクリックします EXECUTE

このレポートには、ユーザー名、タイプ、作成日、作成者、パスワード、ロック、不正なログインの詳細など、さまざまな詳細があります。

SAPシステムでは、セキュリティ監査ログ(トランザクションSM18、SM19、およびSM20)を使用して、成功および失敗したすべてのログオン試行を記録することもできます。SM20トランザクションを使用してセキュリティ監査ログを分析できますが、セキュリティ監査ログを監視するには、システムでセキュリティ監査をアクティブ化する必要があります。

アイドルユーザーのログオフ

ユーザーがすでにSAPシステムにログインしていて、セッションが特定の期間非アクティブである場合、不正アクセスを回避するためにユーザーをログオフに設定することもできます。

この設定を有効にするには、プロファイルパラメータで次の値を指定する必要があります。 rdisp/gui_auto_logout

  • Parameter Description−非アクティブなSAP GUIユーザーが、事前定義された期間の後にSAPシステムから自動的にログオフされるように定義できます。今回はパラメータで設定します。SAPシステムの自動ログオフはデフォルトで無効化されています(値0)。つまり、ユーザーが長期間アクションを実行しなくても、ユーザーはログオフされません。

  • Values allowed− n [unit]、ここでn> = 0およびUnit = S | M | H | D

パラメータの現在の値を確認するには、Tコードを実行します。 RZ11

次の表に、主要なパラメータのリスト、SAPシステムでのデフォルト値と許可値を示します。

パラメータ 説明 デフォルト 許容値
ログイン/ fails_to_session_end セッションが終了するまでの無効なログイン試行の数 3 1-99
ログイン/ fails_to_user_lock ユーザーがロックされるまでの無効なログイン試行の数 12 1-99
ログイン/ failed_user_auto_unlock 設定時t1:設定した日にロックが適用され、翌日ユーザーがログオンするとロックが解除されます 1 0または1
rdisp / gui_auto_output ユーザーの最大アイドル時間(秒数) 0(制限なし) 無制限