Bezpieczeństwo SAP - koncepcja autoryzacji systemu

Koncepcja autoryzacji systemu SAP dotyczy ochrony systemu SAP przed uruchomieniem transakcji i programów przed nieautoryzowanym dostępem. Nie należy zezwalać użytkownikom na wykonywanie transakcji i programów w systemie SAP, dopóki nie zdefiniują uprawnień dla tej czynności.

Aby zwiększyć bezpieczeństwo systemu i wdrożyć silną autoryzację, należy przejrzeć plan autoryzacji, aby upewnić się, że spełnia on wymagania bezpieczeństwa firmy i nie ma żadnych naruszeń bezpieczeństwa.

Typy użytkowników

We wcześniejszych wersjach systemu SAP typy użytkowników były podzielone tylko na dwie kategorie - użytkowników dialogowych i użytkowników innych niż dialog, a do komunikacji między dwoma systemami zalecano tylko użytkowników innych niż dialogowych. W SAP 4.6C typy użytkowników zostały podzielone na następujące kategorie -

  • Dialog User- Ten użytkownik jest używany do indywidualnego, interaktywnego dostępu do systemu, a większość pracy klienta jest wykonywana przy użyciu użytkownika dialogowego. Hasło może zostać zmienione przez samego użytkownika. W przypadku użytkownika okna dialogowego można zapobiec wielokrotnemu logowaniu do okna dialogowego.

  • Service User- Służy do wykonywania interaktywnego dostępu do systemu w celu wykonania określonego zadania, takiego jak wyświetlanie katalogu produktów. Dozwolone jest wielokrotne logowanie dla tego użytkownika i tylko administrator może zmienić hasło dla tego użytkownika.

  • System User- Ten identyfikator użytkownika jest używany do wykonywania większości zadań związanych z systemem - System zarządzania transportem, Definiowanie przepływów pracy i ALE. Nie jest to interaktywny użytkownik zależny od systemu i dla tego użytkownika jest dozwolonych wiele logowań.

  • Reference User- Użytkownik referencyjny nie jest używany do logowania się do systemu SAP. Ten użytkownik jest używany do nadawania dodatkowych uprawnień użytkownikom wewnętrznym. W systemie SAP można przejść do zakładki Role i określić użytkownika referencyjnego w celu uzyskania dodatkowych uprawnień dla użytkowników okien dialogowych.

  • Communication Users- Ten typ użytkownika jest używany do utrzymywania logowania bez dialogu między różnymi systemami, takimi jak połączenie RFC, CPIC. Logowanie w oknie dialogowym przy użyciu interfejsu GUI SAP nie jest możliwe dla użytkowników komunikacji. Typ użytkownika może zmieniać swoje hasła, podobnie jak zwykli użytkownicy okien dialogowych. Do zmiany hasła można użyć modułu funkcyjnego RFC.

Kod transakcji: SU01służy do tworzenia użytkowników w systemie SAP. Na następnym ekranie można zobaczyć różne typy użytkowników w systemie SAP w ramach transakcji SU01.

Tworzenie użytkownika

Aby utworzyć użytkownika lub wielu użytkowników z różnymi prawami dostępu w systemie SAP, należy wykonać poniższe czynności.

Step 1 - Użyj kodu transakcji - SU01.

Step 2 - Wprowadź nazwę użytkownika, którą chcesz utworzyć, kliknij ikonę tworzenia, jak pokazano na poniższym zrzucie ekranu.

Step 3- Zostaniesz przekierowany do kolejnej zakładki - zakładki Adres. Tutaj musisz wprowadzić dane, takie jak imię, nazwisko, numer telefonu, identyfikator e-mail itp.

Step 4 - Następnie zostaniesz przekierowany do następnej zakładki - Logon Data. Wpisz typ użytkownika w zakładce Dane logowania. Mamy pięć różnych typów użytkowników.

Step 5 - Wpisz pierwsze hasło logowania → Nowe hasło → Powtórz hasło.

Step 6 - Zostaniesz przekierowany do kolejnej zakładki - Role −Przypisuj role użytkownikowi.

Step 7 - Następnie zostaniesz przekierowany do następnej zakładki - Profile - Przydziel profile użytkownikom.

Step 8 - Kliknij Zapisz, aby otrzymać potwierdzenie.

Centralna administracja użytkownikami (CUA)

Centralna administracja użytkownikami to jedna z kluczowych koncepcji, która umożliwia zarządzanie wszystkimi użytkownikami w środowisku systemu SAP przy użyciu systemu centralnego. Za pomocą tego narzędzia można centralnie zarządzać wszystkimi rekordami głównymi użytkowników w jednym systemie. Centralny administrator użytkowników pozwala zaoszczędzić pieniądze i zasoby w zarządzaniu podobnymi użytkownikami w jednym krajobrazie systemowym.

Zalety Centralnej administracji użytkowników to -

  • Podczas konfigurowania CUA w środowisku SAP można tworzyć lub usuwać użytkowników tylko przy użyciu systemu centralnego.

  • Wszystkie wymagane role i uprawnienia istnieją w systemie podrzędnym w aktywnych formularzach.

  • Wszyscy użytkownicy są monitorowani i zarządzani centralnie, co sprawia, że ​​administracja jest łatwa i przejrzysta, a wszystkie czynności związane z zarządzaniem użytkownikami są widoczne w złożonym środowisku systemowym.

  • Centralny administrator użytkowników pozwala zaoszczędzić pieniądze i zasoby w zarządzaniu podobnymi użytkownikami w jednym krajobrazie systemowym.

Wymiana danych przeprowadzona przy użyciu ALE krajobraz zwany as Application Link Enablingco pozwala na kontrolowaną wymianę danych. ALE jest używany przez Centralnego Administratora Użytkowników do wymiany danych z systemami podrzędnymi w środowisku systemów SAP.

W złożonym środowisku krajobrazowym jeden system definiuje się jako system centralny ze środowiskiem ALE i jest on połączony ze wszystkimi systemami podrzędnymi za pomocą dwukierunkowej wymiany danych. Systemy potomne w krajobrazie nie są ze sobą połączone.

Aby wdrożyć Centralną Administrację Użytkowników, należy wziąć pod uwagę następujące punkty -

  • Potrzebujesz środowiska SAP z wieloma klientami w jednym / rozproszonym środowisku.

  • Administrator do zarządzania użytkownikami, potrzebuje autoryzacji na następujące kody transakcji -

    • SU01

    • SCC4

    • SCUA

    • SCUM

    • SM59

    • BD54

    • BD64

  • Powinieneś stworzyć zaufanie i zaufanie między systemami.

  • Powinieneś utworzyć użytkowników systemu w systemie centralnym i podrzędnym.

  • Utwórz system logiczny i przypisz system logiczny do odpowiedniego klienta.

  • Utwórz widok modelu i BAPI do widoku modelu.

  • Utwórz centralnego administratora użytkowników i ustaw parametry dystrybucji dla pól.

  • Synchronizuj adresy firmowe

  • Przenieś użytkowników

W centralnie zarządzanym środowisku należy najpierw utworzyć administratora. Zaloguj się do wszystkich systemów logicznych przyszłej CUA jako użytkownik SAP * z domyślnym hasłem PASS.

Uruchom transakcję SU01 i utwórz użytkownika z przypisaną rolą administratora.

Aby zdefiniować system logiczny, użyj Transakcji BD54. Kliknij Nowe wpisy, aby utworzyć nowy system logiczny.

Utwórz nową nazwę logiczną wielkimi literami dla Centralnej administracji użytkowników dla systemu centralnego i wszystkich systemów podrzędnych, w tym z innych systemów SAP.

Aby łatwo zidentyfikować system, masz następującą konwencję nazewnictwa, której można użyć do identyfikacji systemu Centralnej administracji użytkownikami -

<System ID>CLNT<Client>

Wprowadź przydatny opis systemu logicznego. Zapisz swój wpis, klikającSaveprzycisk. Następnie należy utworzyć logiczną nazwę systemu dla systemu centralnego we wszystkich systemach potomnych.

Aby przypisać system logiczny do klienta, użyj transakcji SCC4 i przejdź do trybu zmiany.

Otwórz klienta, którego chcesz przypisać do systemu logicznego, klikając dwukrotnie lub klikając plik Detailsprzycisk. Klienta można przypisać tylko do jednego systemu logicznego.

W polu systemu logicznego w szczegółach klienta wprowadź nazwę systemu logicznego, do którego chcesz przypisać tego klienta.

Wykonaj powyższe kroki dla wszystkich klientów w środowisku SAP, które chcesz dołączyć do centralnego administratora użytkowników. Aby zapisać ustawienia, kliknijSave przycisk u góry.

Ochrona określonych profili w SAP

Aby zachować bezpieczeństwo w systemie SAP, należy utrzymywać określone profile, które zawierają krytyczne uprawnienia. Istnieją różne profile autoryzacji SAP, które należy chronić w systemie SAP z pełną autoryzacją.

Kilka profili, które muszą być chronione w systemie SAP to -

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

Profil autoryzacji SAP_ALL

Profil autoryzacji SAP_ALL umożliwia użytkownikowi wykonywanie wszystkich zadań w systemie SAP. To jest profil złożony, który zawiera wszystkie uprawnienia w systemie SAP. Użytkownicy z tym uprawnieniem mogą wykonywać wszystkie czynności w systemie SAP, dlatego ten profil nie powinien być przypisany do żadnego użytkownika w systemie.

Zaleca się, aby jeden użytkownik miał profil. Hasło powinno być dobrze chronione dla tego użytkownika i powinno być używane tylko wtedy, gdy jest to wymagane.

Zamiast nadawać uprawnienia SAP_ALL, należy przypisać indywidualne uprawnienia odpowiednim użytkownikom. Twój superużytkownik systemu / Administracja systemu, zamiast przypisywać im uprawnienia SAP_ALL, powinieneś używać indywidualnych uprawnień, które są wymagane.

SAP_NEW Autoryzacja

Autoryzacja SAP_NEW zawiera wszystkie uprawnienia wymagane w nowej wersji. Po zakończeniu aktualizacji systemu ten profil jest używany, aby niektóre zadania działały poprawnie.

Należy pamiętać o następujących kwestiach dotyczących tej autoryzacji -

  • Po przeprowadzeniu aktualizacji systemu należy usunąć profile SAP_NEW dla wcześniejszych wersji.

  • Musisz przypisać oddzielne uprawnienia w profilu SAP_NEW do różnych użytkowników w swoim środowisku.

  • Ten profil nie powinien być aktywny zbyt długo.

  • Gdy masz długą listę profili SAP_NEW w środowisku, oznacza to, że musisz przejrzeć swoją politykę autoryzacji w systemie.

Aby zobaczyć listę wszystkich profili SAP_NEW, należy wybrać ten profil, klikając dwukrotnie, a następnie → przejdź do Choose.

P_BAS_ALL Autoryzacja

Uprawnienie to umożliwia użytkownikowi przeglądanie zawartości tabel z innych aplikacji. To upoważnienie zawieraP_TABU_DISupoważnienie. Ta autoryzacja pozwala użytkownikowi PA zobaczyć zawartość tabeli, która nie należy do jego grupy.

Utrzymanie roli PFCG

PFCG Role Maintenance może służyć do zarządzania rolami i uprawnieniami w systemie SAP. W PFCG rola reprezentuje pracę wykonywaną przez osobę związaną ze scenariuszami z prawdziwego życia. PFCG pozwala na zdefiniowanie zbioru transakcji, które można przypisać osobie do wykonywania jej codziennej pracy.

Gdy role są tworzone w transakcji PFCG, można użyć transakcji SU01aby przypisać te role poszczególnym użytkownikom. Użytkownikowi w systemie SAP można przypisać wiele ról, które są związane z jego codziennymi zadaniami w życiu codziennym.

Te role są powiązane między użytkownikiem a uprawnieniami w systemie SAP. Faktyczne uprawnienia i profile przechowywane są w postaci obiektów w systemie SAP.

Korzystając z funkcji PFCG Role Maintenance, można wykonywać następujące funkcje -

  • Zmiana i przypisywanie ról
  • Tworzenie ról
  • Tworzenie ról złożonych
  • Transport i dystrybucja ról

Omówmy teraz szczegółowo te funkcje.

Zmiana i przypisywanie ról

Uruchom transakcję: PFCG

To przeniesie Cię do okna obsługi roli. Aby zmienić istniejącą rolę, wprowadź dostarczoną nazwę roli w polu.

Skopiuj standardową rolę, klikając przycisk Kopiuj rolę. Wpisz nazwę z przestrzeni nazw. Kliknij przycisk wyboru wartości i wybierz rolę, do której chcesz to skopiować.

Możesz również wybrać role dostarczone przez SAP, zaczynając od SAP_, ale wtedy domyślne role zostaną nadpisane.

Aby zmienić rolę, kliknij Change w menu Role Maintenance.

Przejdź do zakładki Menu, aby zmienić menu użytkownika na stronie zakładki Menu. Przejdź do zakładki Autoryzacja, aby zmienić dane autoryzacji dla tego użytkownika.

Możesz również użyć trybu eksperta, aby dostosować uprawnienia do zmian menu w obszarze Autoryzacja. Kliknij przycisk Generuj, aby wygenerować profil dla tej roli.

Aby przypisać użytkowników do tej roli, przejdź do zakładki User w opcji Zmiany roli. Aby przypisać użytkownika do tej roli, powinna istnieć w systemie.

W razie potrzeby możesz również przeprowadzić porównanie użytkowników. Kliknij opcję Porównanie użytkowników. Możesz także kliknąć przycisk Informacje, aby dowiedzieć się więcej o rolach pojedynczych i złożonych oraz opcji porównania użytkowników, aby porównać rekordy główne.

Tworzenie ról w PFCG

W PFCG można tworzyć zarówno role pojedyncze, jak i role złożone. Wprowadź nazwę roli i kliknij Utwórz pojedyncze lub złożone role, jak pokazano na zrzucie ekranu poniżej.

Możesz wybrać przestrzeń nazw klienta, taką jak Y_ lub Z_. Role dostarczone przez SAP zaczynają się od SAP_ i nie można przejąć nazwy z ról dostarczonych przez SAP.

Po kliknięciu przycisku Utwórz rolę, należy dodać transakcje, raporty i adresy internetowe w zakładce MENU w definicji roli.

Przejdź do zakładki Autoryzacja, aby wygenerować Profil, kliknij opcję Zmień dane autoryzacji.

Zgodnie z wybranym działaniem zostanie wyświetlony monit o wprowadzenie poziomów organizacyjnych. Po wprowadzeniu określonej wartości w oknie dialogowym pola autoryzacji roli są zachowywane automatycznie.

Możesz dostosować odniesienie do ról. Po zdefiniowaniu roli musisz wygenerować rolę. Kliknij Generuj (Shift + F5).

W tej strukturze, gdy widzisz czerwone światła drogowe, pokazuje poziomy organizacyjne bez wartości. Możesz wprowadzać i zmieniać poziomy organizacyjne za pomocą Poziomy organizacji obok zakładki Utrzymane.

Wprowadź nazwę profilu i kliknij opcję zaznaczenia, aby zakończyć etap Generuj.

Kliknij Saveaby zapisać profil. Możesz bezpośrednio przypisać tę rolę użytkownikom, przechodząc do zakładek Użytkownicy. W podobny sposób można tworzyć role złożone przy użyciu opcji utrzymania ról PFCG.

Transport i dystrybucja ról

Uruchom transakcję - PFCG i wprowadź nazwę roli, którą chcesz przetransportować, i kliknij opcję Rola transportu.

Dotrzesz do opcji transportu roli. Masz wiele opcji w ramach ról transportowych -

  • Transport pojedynczych ról dla ról złożonych.
  • Profile generowane przez transport dla ról.
  • Dane personalizacji.

W kolejnym oknie dialogowym należy wspomnieć o przypisaniu użytkownika i przenieść również dane personalizacyjne. Jeśli przydziały użytkowników są również transportowane, zastąpią one całe przypisanie użytkownikom ról w systemie docelowym.

Aby zablokować system, aby nie można było importować przypisań ról użytkowników, wprowadź je w tabeli Dostosowywanie PRGN_CUST za pomocą transakcji SM30 i wybierz pole wartości USER_REL_IMPORT number.

Ta rola jest wprowadzana podczas dostosowywania żądania. Możesz to zobaczyć za pomocą TransakcjiSE10.

W żądaniu dostosowywania profile autoryzacji są transportowane wraz z rolami.

Transakcja w systemie informacji autoryzacji - SUIM

W Zarządzaniu autoryzacjami SUIM jest kluczowym narzędziem, za pomocą którego można znaleźć profile użytkowników w systemie SAP, a także przypisać te profile do tego identyfikatora użytkownika. SUIM udostępnia ekran początkowy, który zawiera opcje wyszukiwania użytkowników, ról, profili, autoryzacji, transakcji i porównania.

Aby otworzyć system informacji o użytkowniku, uruchom transakcję: SUIM.

W systemie informacji o użytkownikach istnieją różne węzły, których można używać do wykonywania różnych funkcji w systemie SAP. Podobnie jak w przypadku węzła użytkownika, można wyszukiwać użytkowników na podstawie kryteriów wyboru. Możesz uzyskać zablokowaną listę użytkowników, użytkowników mających dostęp do określonego zestawu transakcji itp.

Po rozwinięciu każdej karty masz możliwość generowania różnych raportów na podstawie różnych kryteriów wyboru. Podobnie jak w przypadku rozwijania karty użytkownika, masz następujące opcje -

Klikając użytkowników według złożonych kryteriów wyboru, można jednocześnie zastosować wiele warunków wyboru. Poniższy zrzut ekranu przedstawia różne kryteria wyboru.

Węzeł roli

W podobny sposób można uzyskać dostęp do różnych węzłów, takich jak role, profile, uprawnienia i różne inne opcje w ramach tego systemu informacji o użytkowniku.

Możesz również użyć narzędzia SUIM do wyszukiwania ról i profili. Możesz przypisać listę transakcji do określonego zestawu identyfikatorów użytkowników, wykonując wyszukiwanie według transakcji i przypisania w SUIM i przypisując te role do tego identyfikatora użytkownika.

Korzystając z systemu informacji o użytkowniku, można przeprowadzać różne wyszukiwania w systemie SAP. Możesz wprowadzić różne kryteria wyboru i pobrać raporty na podstawie użytkowników, profili, ról, transakcji i różnych innych kryteriów.

RSUSR002 - Użytkownicy według złożonych kryteriów wyboru.