Cofanie autoryzacji zabezpieczeń logowania
Aby zaimplementować zabezpieczenia w systemie SAP, wymagane jest monitorowanie nieudanych logowań w środowisku SAP. Gdy ktoś próbuje zalogować się do systemu przy użyciu nieprawidłowego hasła, system powinien albo na jakiś czas zablokować nazwę użytkownika, albo sesja ta powinna zostać zakończona po określonej liczbie prób.
Można ustawić różne parametry bezpieczeństwa dla nieautoryzowanych prób logowania -
- Zakończenie sesji
- Użytkownik blokujący
- Aktywacja wygaszaczy ekranu
- Monitorowanie nieudanych prób logowania
- Rejestrowanie prób logowania
Omówmy teraz szczegółowo każdą z nich.
Zakończenie sesji
W przypadku wielu nieudanych prób logowania wykonanych przy użyciu jednego identyfikatora użytkownika system kończy sesję tego użytkownika. Należy to wysłać za pomocą parametru profilu -login/fails_to_session_end.
Aby zmienić wartość parametru, uruchom transakcję RZ10i wybierz profil, jak pokazano na poniższym zrzucie ekranu. Wybierz Extended Maintenance i kliknijDisplay.
Wybierz parametr, który chcesz zmienić i kliknij Parameter przycisk u góry, jak pokazano poniżej.
Po kliknięciu zakładki Parametr możesz zmienić wartość parametru w nowym oknie. Możesz również utworzyć nowy parametr, klikającCreate (F5) przycisk.
Aby zobaczyć szczegóły tego parametru, uruchom Kod transakcji: RZ11 i wprowadź nazwę profilu - login/fails_to_session_end i kliknij Display Document.
Parameter - login / failed_to_session_end
Short text - Liczba nieudanych prób logowania do zakończenia sesji.
Parameter Description - Liczba nieudanych prób logowania, które można wykonać za pomocą głównego rekordu użytkownika, aż do zakończenia procedury logowania.
Application Area - Zaloguj się
Default Value - 3
Who is permitted to make changes? - Klient
Operating System Restrictions - Żaden
Database System Restrictions - Żaden
Are other parameters affected or dependent? - Żaden
Values allowed - 1 - 99
Na powyższym zrzucie ekranu widać, że wartość tego parametru jest ustawiona na 3, czyli jest to również wartość domyślna. Po 3 nieudanych próbach logowania sesja zostanie zakończona dla pojedynczego użytkownika.
Użytkownik blokujący
Możesz również sprawdzić konkretny identyfikator użytkownika, jeśli określona liczba kolejnych nieudanych prób logowania zostanie przekroczona pod jednym identyfikatorem użytkownika. Ustaw liczbę nieprawidłowych prób logowania, które są dozwolone w parametrze profilu:login/fails_to_user_lock.
Możliwe jest ustawienie blokady na określonych ID użytkownika.
Blokady są stosowane do identyfikatora użytkownika do północy. Jednak administrator systemu może w dowolnym momencie usunąć go ręcznie.
W systemie SAP można również ustawić wartość parametru, która umożliwia nałożenie blokady na identyfikator użytkownika do momentu ich ręcznego usunięcia. Nazwa parametru:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Za każdym razem, gdy wprowadzane jest nieprawidłowe hasło logowania, zwiększa się licznik nieudanych logowania dla odpowiedniego rekordu głównego użytkownika. Próby logowania mogą być rejestrowane w dzienniku audytu bezpieczeństwa. Jeśli limit określony przez ten parametr zostanie przekroczony, odpowiedni użytkownik zostanie zablokowany. Ten proces jest również rejestrowany w Syslog.
Blokada traci ważność po zakończeniu bieżącego dnia. (Inny warunek −login / failed_user_auto_unlock)
Licznik nieudanych logowań jest resetowany po zalogowaniu użytkownika przy użyciu poprawnego hasła. Logowania, które nie są oparte na hasłach, nie mają żadnego wpływu na licznik nieudanych logowania. Jednak przy każdym logowaniu sprawdzane są aktywne blokady logowania.
Values allowed - 1 - 99
Aby zobaczyć aktualną wartość tego parametru, użyj T-Code: RZ11.
Parameter name - login / failed_user_auto_unlock
Short text - Wyłącz automatyczne odblokowywanie zablokowanego użytkownika o północy.
Parameter Description- Kontroluje odblokowywanie użytkowników zablokowanych przez nieprawidłowe logowanie. Jeśli parametr ma wartość 1, blokady, które zostały ustawione z powodu nieudanych prób logowania za pomocą hasła, obowiązują tylko tego samego dnia (co blokada). Jeśli parametr jest ustawiony na 0, blokady pozostają w mocy.
Application Area - Zaloguj się.
Default Value - 0.
Aktywacja wygaszaczy ekranu
Administratorzy systemu mogą również włączyć wygaszacze ekranu, aby chronić ekran frontendu przed nieautoryzowanym dostępem. Te wygaszacze ekranu mogą być chronione hasłem.
Monitorowanie nieudanych prób logowania i rejestrowanie prób logowania
W systemie SAP możesz skorzystać z raportu RSUSR006aby sprawdzić, czy są użytkownicy, którzy próbowali nieudanych prób logowania do systemu. Ten raport zawiera szczegółowe informacje na temat liczby nieprawidłowych prób logowania się przez użytkownika i blokad użytkownika. Raport można zaplanować zgodnie z wymaganiami.
Iść do ABAP Editor SE38 i wprowadź nazwę raportu, a następnie kliknij EXECUTE.
W tym raporcie masz różne szczegóły, takie jak nazwa użytkownika, typ, data utworzenia, twórca, hasło, blokada i nieprawidłowe dane logowania.
W systemie SAP możliwe jest również użycie dziennika audytu bezpieczeństwa (transakcje SM18, SM19 i SM20) do rejestrowania wszystkich udanych i nieudanych prób logowania. Możesz analizować dzienniki audytu bezpieczeństwa za pomocą transakcji SM20, ale audyt bezpieczeństwa powinien być aktywowany w systemie, aby monitorować dzienniki audytu bezpieczeństwa.
Wylogowywanie bezczynnych użytkowników
Gdy użytkownik jest już zalogowany do systemu SAP, a sesja jest nieaktywna przez określony czas, można również ustawić wylogowanie, aby uniknąć nieautoryzowanego dostępu.
Aby włączyć to ustawienie, musisz określić tę wartość w parametrze profilu: rdisp/gui_auto_logout.
Parameter Description- Można zdefiniować, że nieaktywni użytkownicy GUI SAP są automatycznie wylogowywani z systemu SAP po upływie określonego czasu. Tym razem parametr konfiguruje. Automatyczne wylogowanie w systemie SAP jest domyślnie wyłączone (wartość 0), to znaczy użytkownicy nie są wylogowywani, nawet jeśli przez dłuższy czas nie wykonują żadnych czynności.
Values allowed- n [jednostka], gdzie n> = 0 i Jednostka = S | M | H | re
Aby zobaczyć aktualną wartość parametru, uruchom T-Code: RZ11.
Poniższa tabela przedstawia listę kluczowych parametrów, ich domyślne i dozwolone wartości w systemie SAP -
Parametr | Opis | Domyślna | Dozwolona wartość |
---|---|---|---|
Zaloguj się / failed_to_session_end | Liczba nieudanych prób logowania do zakończenia sesji | 3 | 1-99 |
Zaloguj się / failed_to_user_lock | Liczba nieudanych prób logowania do blokady użytkownika | 12 | 1-99 |
Logowanie / failed_user_auto_unlock | W przypadku ustawień t 1: blokady obowiązują w dniu ich ustawienia i są usuwane następnego dnia po zalogowaniu się użytkownika | 1 | 0 lub 1 |
rdisp / gui_auto_output | Maksymalny czas bezczynności użytkownika w sekundach | 0 (bez limitu) | nieograniczony |