Segurança SAP - Conceito de autorização do sistema
O conceito de autorização do sistema SAP trata da proteção do sistema SAP contra a execução de transações e programas contra acesso não autorizado. Você não deve permitir que os usuários executem transações e programas no sistema SAP até que tenham definido a autorização para esta atividade.
Para tornar seu sistema mais seguro e implementar uma autorização forte, você precisa revisar seu plano de autorização para se certificar de que atende aos requisitos de segurança da empresa e que não há violações de segurança.
Tipos de usuário
Em versões anteriores do sistema SAP, os tipos de usuário eram divididos apenas em duas categorias - Usuários de diálogo e usuários de não diálogo e apenas usuários de não diálogo eram recomendados para comunicação entre dois sistemas. Com SAP 4.6C, os tipos de usuário foram divididos nas seguintes categorias -
Dialog User- Este usuário é usado para acesso individual ao sistema interativo e a maior parte do trabalho do cliente é realizada usando um usuário de diálogo. A senha pode ser alterada pelo próprio usuário. No diálogo do usuário, vários logons de diálogo podem ser evitados.
Service User- Isso é usado para executar o acesso do sistema interativo para executar alguma tarefa predeterminada, como exibição do catálogo de produtos. Vários logins permitidos para este usuário e apenas um administrador pode alterar a senha deste usuário.
System User- Este ID de usuário é usado para realizar a maioria das tarefas relacionadas ao sistema - Sistema de Gerenciamento de Transporte, Definição de Fluxos de Trabalho e ALE. Não é um usuário dependente do sistema interativo e há vários logins permitidos para este usuário.
Reference User- Um usuário de referência não é usado para fazer login em um sistema SAP. Este usuário é usado para fornecer autorização adicional para usuários internos. Em um sistema SAP, você pode ir para a guia Funções e especificar um usuário de referência para direitos adicionais para usuários de diálogo.
Communication Users- Este tipo de usuário é usado para manter o login sem diálogo entre diferentes sistemas, como conexão RFC, CPIC. O logon de diálogo usando SAP GUI não é possível para usuários de comunicação. Um tipo de usuário pode alterar suas senhas como usuários comuns de diálogo. O módulo funcional RFC pode ser usado para alterar a senha.
O Código de Transação: SU01é usado para criação de usuário em um sistema SAP. Na tela a seguir, você pode ver diferentes tipos de usuário em um sistema SAP na Transação SU01.
Criação de um usuário
Para criar um usuário ou vários usuários com direitos de acesso diferentes em um sistema SAP, você deve seguir as etapas fornecidas a seguir.
Step 1 - Use o código de transação - SU01.
Step 2 - Digite o nome de usuário que deseja criar, clique no ícone criar como mostrado na imagem a seguir.
Step 3- Você será direcionado para a próxima guia - a guia Endereço. Aqui, você precisa inserir os detalhes como nome, sobrenome, número de telefone, ID de e-mail, etc.
Step 4 - Você será direcionado para a próxima guia - Logon Data. Insira o tipo de usuário na guia Logon data. Temos cinco tipos de usuários diferentes.
Step 5 - Digite a primeira senha de login → Nova senha → Repetir senha.
Step 6 - Você será direcionado para a próxima guia - Funções - Atribua as funções ao usuário.
Step 7 - Você será direcionado para a próxima guia - Perfis - Atribuir os perfis aos usuários.
Step 8 - Clique em Salvar para receber a confirmação.
Administração Central de Usuários (CUA)
A Administração Central de Usuários é um dos principais conceitos que permite gerenciar todos os usuários em um panorama do sistema SAP usando um sistema central. Usando esta ferramenta, você pode gerenciar todos os registros mestre do usuário centralmente em um sistema. Um administrador central de usuários permite que você economize dinheiro e recursos no gerenciamento de usuários semelhantes em um system landscape.
As vantagens da Administração Central de Usuários são -
Ao configurar o CUA no SAP landscape, você pode criar ou excluir usuários usando apenas o sistema central.
Todas as funções e autorizações necessárias existem em um sistema filho em formulários ativos.
Todos os usuários são monitorados e gerenciados centralmente, o que torna a tarefa de administração fácil e uma visão mais clara de todas as atividades de gerenciamento de usuários em um cenário de sistema complexo.
O Administrador de usuários central permite economizar dinheiro e recursos no gerenciamento de usuários semelhantes em um panorama do sistema.
As trocas de dados realizadas usando o ALE paisagem chamada de Application Link Enablingque permite a troca de dados de forma controlada. O ALE é usado pelo Administrador Central de Usuários para troca de dados com sistemas filho em uma paisagem do sistema SAP.
Em um ambiente de paisagem complexo, você define um sistema como o sistema Central com ambiente ALE e isso é vinculado a todos os sistemas filho usando a troca de dados bidirecional. O sistema filho na paisagem não está conectado entre si.
Para implementar a Administração Central de Usuários, os seguintes pontos devem ser considerados:
Você precisa de um ambiente SAP com vários clientes em um ambiente único / distribuído.
Administrador para gerenciar usuários, precisa de autorização nos seguintes códigos de transação -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Você deve criar uma relação de confiança confiável entre os sistemas.
Você deve criar usuários do sistema no sistema central e no sistema filho.
Crie o sistema lógico e atribua o sistema lógico ao cliente correspondente.
Crie a vista do modelo e BAPI para a vista do modelo.
Crie um administrador central de usuários e defina os parâmetros de distribuição dos campos.
Sincronizar endereços de empresas
Transferir usuários
Em um ambiente gerenciado centralmente, você precisa primeiro criar um Administrador. Faça logon em todos os sistemas lógicos do futuro CUA como usuário SAP * com a senha padrão PASS.
Execute a transação SU01 e criar um usuário com função de administrador atribuída a ele.
Para definir um sistema lógico use Transaction BD54. Clique em New Entries para criar um novo sistema lógico.
Crie um novo nome lógico em letras maiúsculas para a Administração Central do Usuário para sistemas centrais e todos os sistemas filho, incluindo aqueles de outros sistemas SAP.
Para identificar facilmente o sistema, você tem a seguinte convenção de nomenclatura que pode ser usada para identificar o sistema de Administração Central do Usuário -
<System ID>CLNT<Client>
Insira alguma descrição útil de um sistema lógico. Salve sua entrada clicando noSavebotão. Em seguida, é criar o nome do sistema lógico para o sistema central em todos os sistemas filho.
Para atribuir um sistema lógico a um cliente, use Transação SCC4 e mude para o modo Alterar.
Abra o cliente que deseja atribuir ao sistema lógico clicando duas vezes ou clicando no Detailsbotão. Um cliente só pode ser atribuído a um sistema lógico.
Em um campo de sistema lógico nos detalhes do cliente, insira um nome de sistema lógico ao qual deseja atribuir este cliente.
Execute as etapas acima para todos os clientes em um ambiente SAP que você deseja incluir no Administrador Central de Usuários. Para salvar suas configurações, clique noSave botão na parte superior.
Protegendo Perfis Específicos no SAP
Para manter a segurança em um sistema SAP, você precisa manter perfis específicos que contenham autorização crítica. Existem vários perfis de autorização SAP que você precisa proteger em um sistema SAP com autorização total.
Alguns perfis que precisam ser protegidos em um sistema SAP são -
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL Authorization Profile
Um perfil de autorização SAP_ALL permite que o usuário execute todas as tarefas em um sistema SAP. Este é o perfil composto que contém todas as autorizações em um sistema SAP. Os usuários com esta autorização podem realizar todas as atividades em um sistema SAP, portanto este perfil não deve ser atribuído a nenhum usuário em seu sistema.
Recomenda-se que um único usuário seja mantido com um perfil. Embora a senha deva ser bem protegida para esse usuário e só deve ser usada quando for necessária.
Em vez de atribuir autorizações SAP_ALL, você deve atribuir autorizações individuais aos usuários apropriados. Seu sistema Superusuário / Administração do sistema, em vez de atribuir autorização SAP_ALL a eles, você deve usar as autorizações individuais necessárias.
Autorização SAP_NEW
Uma autorização SAP_NEW contém todas as autorizações exigidas em uma nova versão. Quando uma atualização do sistema é feita, este perfil é usado para que algumas tarefas sejam executadas corretamente.
Você deve se lembrar dos seguintes pontos sobre esta autorização -
Quando uma atualização do sistema é executada, você precisa excluir os perfis SAP_NEW das versões anteriores.
Você precisa atribuir autorizações separadas no perfil SAP_NEW a diferentes usuários em seu ambiente.
Este perfil não deve ser mantido ativo por muito tempo.
Quando você tem uma longa lista de perfis SAP_NEW no ambiente, isso mostra que você precisa revisar sua política de autorização no sistema.
Para ver a lista de todos os perfis SAP_NEW, você deve selecionar este perfil clicando duas vezes e então → ir para Choose.
P_BAS_ALL Autorização
Esta autorização permite que o usuário visualize o conteúdo das tabelas de outros aplicativos. Esta autorização contémP_TABU_DISautorização. Esta autorização permite que o usuário PA veja o conteúdo da tabela que não pertence ao seu grupo.
Manutenção da função PFCG
A manutenção de funções PFCG pode ser usada para gerenciar funções e autorização em um sistema SAP. No PFCG, a função representa um trabalho que uma pessoa realiza relacionado a cenários da vida real. O PFCG permite definir um conjunto de transações que podem ser atribuídas a uma pessoa para realizar seu trabalho diário.
Quando as funções são criadas em uma transação PFCG, você pode usar a transação SU01para atribuir essas funções a usuários individuais. Um usuário em um sistema SAP pode ser atribuído a vários números de funções e que estão relacionadas às suas tarefas diárias na vida real.
Essas funções estão em conexão entre o usuário e as autorizações em um sistema SAP. As autorizações e perfis reais são armazenados na forma de objetos em um sistema SAP.
Usando o PFCG Role Maintenance, você pode executar as seguintes funções -
- Alteração e atribuição de funções
- Criação de funções
- Criação de funções compostas
- Funções de transporte e distribuição
Vamos agora discutir essas funções em detalhes.
Alteração e atribuição de funções
Executar transação: PFCG
Isso o levará à janela de manutenção de funções. Para alterar a função existente, insira o nome da função entregue no campo.
Copie a função padrão clicando no botão Copiar função. Insira o nome do namespace. Clique no botão de seleção de valor e selecione a função para a qual deseja copiar.
Você também pode selecionar as funções entregues pelo SAP começa com SAP_, mas as funções padrão serão substituídas.
Para alterar a função, clique no Change botão na manutenção da função.
Navegue até a guia Menu para alterar o menu do usuário na página da guia Menu. Vá para a guia Autorização para alterar os dados de autorização desse usuário.
Você também pode usar o Modo especialista para ajustar as autorizações para as alterações do menu em Autorização. Clique no botão Gerar para gerar o perfil para esta função.
Para atribuir os usuários a esta função, vá para a guia Usuário na opção Modificar função. Para atribuir um usuário a esta função, ela deve existir no sistema.
Você também pode realizar uma comparação de usuário, se necessário. Clique na opção Comparação de usuários. Você também pode clicar no botão Informações para saber mais sobre funções simples e compostas e a opção Comparação de usuários para comparar os registros mestre.
Criação de funções no PFCG
Você pode criar funções únicas e funções compostas no PFCG. Digite o nome da função e clique em Criar funções únicas ou compostas, conforme mostrado na captura de tela abaixo.
Você pode selecionar no namespace do cliente como Y_ ou Z_. As funções entregues pela SAP começam com SAP_ e você não pode tirar o nome das funções entregues pela SAP.
Depois de clicar no botão Criar função, você deve adicionar transações, relatórios e endereços da Web na guia MENU na definição da função.
Navegue até a guia Autorização para gerar o Perfil, clique na opção Alterar dados de autorização.
De acordo com sua seleção de atividades, você é solicitado a inserir os níveis organizacionais. Quando você insere um determinado valor na caixa de diálogo, os campos de autorização de matriz da função são mantidos automaticamente.
Você pode adaptar a referência para as funções. Depois que uma definição de função é feita, você precisa gerar a função. Clique em Gerar (Shift + F5).
Nesta estrutura, quando você vê semáforos vermelhos, mostra os níveis organizacionais sem valores. Você pode inserir e alterar os níveis organizacionais com os níveis da organização ao lado da guia Mantido.
Insira o nome do Perfil e clique na opção de marcação para concluir a etapa Gerar.
Clique em Savepara salvar o perfil. Você pode atribuir essa função diretamente aos usuários acessando as guias Usuário. De maneira semelhante, você pode criar funções compostas usando a opção de manutenção de funções PFCG.
Funções de transporte e distribuição
Execute a Transação - PFCG e insira o nome da função que deseja transportar e clique em Função de Transporte.
Você chegará à opção de transporte de função. Você tem várias opções nas funções de transporte -
- Transporte funções únicas para funções compostas.
- Perfis gerados de transporte para funções.
- Dados de personalização.
Na próxima caixa de diálogo, você deve mencionar a atribuição do usuário e os dados de personalização também devem ser transportados. Se as atribuições do usuário também forem transportadas, elas substituirão toda a atribuição de funções do usuário no sistema de destino.
Para bloquear um sistema de forma que as atribuições de funções do usuário não possam ser importadas, insira-o na tabela do Customizing PRGN_CUST usando transação SM30 e selecione o campo de valor USER_REL_IMPORT number.
Esta função é inserida na solicitação de customizing. Você pode ver isso usando TransactionSE10.
Na solicitação do Customizing, os perfis de autorização são transportados junto com as funções.
Transação do sistema de informações de autorização - SUIM
No Gerenciamento de autorização, SUIM é uma ferramenta-chave com a qual você pode localizar os perfis de usuário em um sistema SAP e também atribuir esses perfis a essa ID de usuário. SUIM fornece uma tela inicial que fornece opções para Pesquisar usuários, funções, perfis, autorizações, transações e comparação.
Para abrir o Sistema de Informações do Usuário, execute a transação: SUIM.
Em um Sistema de informação do usuário, existem nós diferentes que podem ser usados para executar funções diferentes em um sistema SAP. Como em um nó de usuário, você pode realizar uma pesquisa em usuários com base em critérios de seleção. Você pode obter a lista bloqueada de usuários, usuários com acesso a um determinado conjunto de transações, etc.
Ao expandir cada guia, você tem a opção de gerar relatórios diferentes com base em critérios de seleção diferentes. Como quando você expande a guia do usuário, você tem as seguintes opções -
Ao clicar em usuários por critérios de seleção complexos, você pode aplicar várias condições de seleção simultaneamente. A captura de tela a seguir mostra os diferentes critérios de seleção.
Nó de Função
De maneira semelhante, você pode acessar diferentes nós, como Funções, Perfis, Autorizações e várias outras opções neste sistema de informações do usuário.
Você também pode usar a ferramenta SUIM para pesquisar funções e perfis. Você pode atribuir uma lista de transações a um determinado conjunto de IDs de usuário, executando uma pesquisa por transação e atribuição no SUIM e atribuir essas funções a esse ID de usuário.
Usando o sistema de informações do usuário, você pode realizar várias pesquisas em um sistema SAP. Você pode inserir diferentes critérios de seleção e obter os relatórios com base em usuários, perfis, funções, transações e vários outros critérios.
RSUSR002 - Usuários por critérios de seleção complexos.