Autenticação e gerenciamento de usuários
Se um usuário não autorizado puder acessar o sistema SAP sob um usuário autorizado conhecido, poderá fazer alterações na configuração e manipular a configuração do sistema e as principais políticas. Se um usuário autorizado tiver acesso a dados e informações importantes de um sistema, esse usuário também poderá acessar outras informações críticas. Isso aprimora o uso de autenticação segura para proteger a disponibilidade, integridade e privacidade de um sistema do usuário.
Mecanismo de autenticação em um sistema SAP
O mecanismo de autenticação define a maneira como você acessa seu sistema SAP. Vários métodos de autenticação são fornecidos -
- IDs de usuários e ferramentas de gerenciamento de usuários
- Comunicação de rede segura
- Tíquetes de logon SAP
- Certificados de cliente X.509
IDs de usuário e ferramentas de gerenciamento de usuários
O método mais comum de autenticação em um sistema SAP é usando o nome de usuário e a senha para fazer o login. As IDs de usuário para login são criadas pelo Administrador SAP. Para fornecer um mecanismo de autenticação seguro por meio de nome de usuário e senha, é necessário definir políticas de senha que não permitam aos usuários definir uma senha fácil de prever.
SAP fornece vários parâmetros padrão que você deve definir para definir as políticas de senha - comprimento da senha, complexidade da senha, alteração de senha padrão, etc.
Ferramentas de gerenciamento de usuários em um sistema SAP
SAP NetWeaver Systemfornece várias ferramentas de gerenciamento de usuário que podem ser usadas para gerenciar efetivamente os usuários em seu ambiente. Eles fornecem um método de autenticação muito forte para os dois tipos de servidores de aplicativos NetWeaver - Java e ABAP.
Algumas das ferramentas de gerenciamento de usuário mais comuns são -
Gerenciamento de usuários para servidor de aplicativos ABAP (código de transação: SU01)
Você pode usar o código de transação SU01 de gerenciamento de usuários para manter usuários em seus servidores de aplicativos baseados em ABAP.
SAP NetWeaver Identity Management
Você pode usar o SAP NetWeaver Identity Management para gerenciamento de usuários, bem como para gerenciar funções e atribuições de funções em seu ambiente SAP.
Funções PFCG
Você pode usar o gerador de perfil PFCG para criar funções e atribuir autorizações a usuários em sistemas baseados em ABAP.
Transaction Code - PFCG
Administração Central de Usuários
Você pode usar CUA para manter usuários para vários sistemas baseados em ABAP. Você também pode sincronizá-lo com seus servidores de diretório. Usando esta ferramenta, você pode gerenciar todo o cadastro do usuário centralmente a partir do mandante do sistema.
Transaction Code - SCUA e criar modelo de distribuição.
User Management Engine UME
Você pode usar funções do UME para controlar a autorização do usuário no sistema. Um administrador pode usar ações que representam a menor entidade de função do UME que um usuário pode usar para criar direitos de acesso.
Você pode abrir o console de administração do UME usando a opção SAP NetWeaver Administrator.
Política de senha
Uma política de senha é definida como um conjunto de instruções que um usuário deve seguir para melhorar a segurança do sistema usando senhas fortes e usando-as corretamente. Em muitas organizações, a política de senha é compartilhada como parte do treinamento de conscientização de segurança e é obrigatório que os usuários mantenham a política de segurança de sistemas e informações essenciais em uma organização.
Usando a política de senha em um sistema SAP, um administrador pode configurar os usuários do sistema para implantar senhas fortes que não são fáceis de quebrar. Isso também ajuda a alterar a senha em intervalos regulares para segurança do sistema.
As seguintes políticas de senha são comumente usadas em um sistema SAP -
Alteração de senha padrão / inicial
Isso permite que os usuários alterem a senha inicial imediatamente quando usada pela primeira vez.
Comprimento da senha
Em um sistema SAP, o comprimento mínimo para senhas em sistemas SAP é 3 por padrão. Este valor pode ser alterado usando o parâmetro de perfil e o comprimento máximo permitido é 8.
Transaction Code - RZ11
Parameter Name - login / min_password_lng
Você pode clicar na documentação do parâmetro de perfil para esta política e pode ver a documentação detalhada no SAP da seguinte forma -
Parameter - login / min_password_lng
Short text - Comprimento mínimo da senha
Parameter Description- Este parâmetro especifica o comprimento mínimo da senha de logon. A senha deve ter pelo menos três caracteres. No entanto, o administrador pode especificar um comprimento mínimo maior. Esta configuração se aplica quando novas senhas são atribuídas e quando as senhas existentes são alteradas ou redefinidas.
Application Area - Logon
Parameter Unit - Número de caracteres (alfanuméricos)
Default Value - 6
Who is permitted to make changes? Cliente
Operating System Restrictions - nenhum
Database System Restrictions - nenhum
Senhas ilegais
Você não pode selecionar o primeiro caractere de nenhuma senha como ponto de interrogação (?) Ou de exclamação (!). Você também pode adicionar os outros caracteres que deseja restringir na tabela de senhas ilegais.
Transaction Code - Nome da tabela SM30: USR40.
Depois de entrar na mesa - USR40 e clique em Display na parte superior, ele mostrará a lista de todas as senhas não permitidas.
Depois de clicar em New Entries, você pode inserir os novos valores para esta tabela e também selecionar a caixa de seleção que diferencia maiúsculas de minúsculas.
Padrão de senha
Você também pode definir que os primeiros três caracteres da senha não possam aparecer na mesma ordem como parte do nome do usuário. Diferentes padrões de senha que podem ser restritos usando a política de senha incluem -
- Os três primeiros caracteres não podem ser todos iguais.
- Os primeiros três caracteres não podem incluir caracteres de espaço.
- A senha não pode ser PASS ou SAP.
Mudança de senha
Nesta política, um usuário pode ter permissão para alterar sua senha quase uma vez por dia, mas um administrador pode redefinir a senha de um usuário sempre que necessário.
Um usuário não deve ter permissão para reutilizar as últimas cinco senhas. No entanto, um administrador pode redefinir a senha que é usada por um usuário anteriormente.
Parâmetros de Perfil
Existem diferentes parâmetros de perfil que você pode definir em um sistema SAP para gerenciamento de usuário e política de senha.
Em um sistema SAP, você pode exibir a documentação para cada parâmetro de perfil acessando Tools → CCMS → Configuration →Profile Maintenance(Transação: RZ11). Insira o nome do parâmetro e clique emDisplay.
Na próxima janela que aparecer, você deve inserir o nome do parâmetro, você pode ver 2 opções -
Display - Para exibir o valor dos parâmetros no sistema SAP.
Display Docu - Para exibir a documentação SAP para esse parâmetro.
Ao clicar no botão Exibir, você será movido para Maintain Profile Parametertela. Você pode ver os seguintes detalhes -
- Name
- Type
- Critério de seleção
- Grupo de Parâmetros
- Descrição do parâmetro e muitos mais
Na parte inferior, você tem o valor atual do parâmetro login/min_password_lng
Quando você clica em Display Doc opção, ele exibirá a documentação SAP para o parâmetro.
Descrição do Parâmetro
Este parâmetro especifica o comprimento mínimo da senha de logon. A senha deve ter pelo menos três caracteres. No entanto, o administrador pode especificar um comprimento mínimo maior. Esta configuração se aplica quando novas senhas são atribuídas e quando as senhas existentes são alteradas ou redefinidas.
Cada parâmetro tem um valor padrão, valor permitido conforme abaixo -
Existem diferentes parâmetros de senha em um sistema SAP. Você pode inserir cada parâmetro noRZ11 transação e pode ver a documentação.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Para alterar o valor do parâmetro, execute Transaction RZ10 e selecione o Perfil conforme mostrado abaixo -
Multiple application servers - Use o perfil DEFAULT.
Single Application servers - Use o perfil de instância.
Selecione Extended Maintenance e clique Display.
Selecione o parâmetro que deseja alterar e clique em Parameter no topo.
Ao clicar na guia Parâmetro, você pode alterar o valor do parâmetro em uma nova janela. Você também pode criar o novo parâmetro clicando emCreate (F5).
Você também pode ver o status do parâmetro nesta janela. Digite o valor do parâmetro e clique emCopy.
Você será solicitado a salvar ao sair da tela. Clique em Sim para salvar o valor do parâmetro.