Безопасность SAP - Концепция авторизации системы
Концепция авторизации системы SAP касается защиты системы SAP от выполняемых транзакций и программ от несанкционированного доступа. Вы не должны позволять пользователям выполнять транзакции и программы в системе SAP, пока они не определят полномочия для этого действия.
Чтобы сделать вашу систему более безопасной и реализовать строгую авторизацию, вам необходимо пересмотреть свой план авторизации, чтобы убедиться, что он соответствует требованиям безопасности компании и нет нарушений безопасности.
Типы пользователей
В предыдущих выпусках системы SAP типы пользователей были разделены только на две категории - пользователи с диалогом и пользователи без диалога, и только пользователи без диалога были рекомендованы для связи между двумя системами. В SAP 4.6C типы пользователей были разделены на следующие категории:
Dialog User- Этот пользователь используется для индивидуального интерактивного доступа к системе, и большая часть клиентской работы выполняется с помощью диалогового пользователя. Пароль может быть изменен самим пользователем. В диалоговом режиме пользователя можно предотвратить несколько диалоговых входов в систему.
Service User- Это используется для выполнения интерактивного доступа к системе для выполнения некоторой заранее определенной задачи, например, отображения каталога продуктов. Для этого пользователя разрешено несколько входов в систему, и только администратор может изменить пароль для этого пользователя.
System User- Этот идентификатор пользователя используется для выполнения большинства задач, связанных с системой - Система управления транспортом, Определение рабочих процессов и ALE. Это не зависимый от интерактивной системы пользователь, и этому пользователю разрешено несколько входов в систему.
Reference User- Ссылочный пользователь не используется для входа в систему SAP. Этот пользователь используется для дополнительной авторизации внутренних пользователей. В системе SAP вы можете перейти на вкладку Роли и указать ссылочного пользователя для дополнительных прав для диалоговых пользователей.
Communication Users- Этот тип пользователя используется для поддержки входа в систему без диалога между различными системами, такими как RFC-соединение, CPIC. Диалоговый вход с использованием SAP GUI невозможен для пользователей связи. Тип пользователя может изменять свои пароли, как обычные диалоговые пользователи. Функциональный модуль RFC может использоваться для изменения пароля.
Код транзакции: SU01используется для создания пользователей в системе SAP. На следующем экране вы можете увидеть различные типы пользователей в системе SAP в транзакции SU01.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/transaction_code_su01.jpg)
Создание пользователя
Чтобы создать пользователя или нескольких пользователей с разными правами доступа в системе SAP, вы должны выполнить шаги, указанные ниже.
Step 1 - Использовать код транзакции - SU01.
Step 2 - Введите имя пользователя, которое вы хотите создать, щелкните значок создания, как показано на следующем снимке экрана.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/creating_a_user.jpg)
Step 3- Вы будете перенаправлены на следующую вкладку - вкладку «Адрес». Здесь вам нужно ввести такие данные, как имя, фамилия, номер телефона, адрес электронной почты и т. Д.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/address.jpg)
Step 4 - Далее вы будете перенаправлены на следующую вкладку - Logon Data. Введите тип пользователя на вкладке «Данные для входа». У нас есть пять разных типов пользователей.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/dialog.jpg)
Step 5 - Введите первый пароль для входа → Новый пароль → Повторите пароль.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/new_password.jpg)
Step 6 - Вы будете перенаправлены на следующую вкладку - Роли - Назначьте роли пользователю.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/next_tab.jpg)
Step 7 - Далее вы будете перенаправлены на следующую вкладку - Профили - Назначьте профили пользователям.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/assign_profiles_to_users.jpg)
Step 8 - Нажмите «Сохранить», чтобы получить подтверждение.
Центральное управление пользователями (CUA)
Централизованное администрирование пользователей - одна из ключевых концепций, позволяющих управлять всеми пользователями в системном ландшафте SAP с помощью центральной системы. Используя этот инструмент, вы можете централизованно управлять всеми основными записями пользователей в одной системе. Центральный администратор пользователей позволяет экономить деньги и ресурсы при управлении похожими пользователями в одной системной среде.
Преимущества централизованного администрирования пользователей:
Когда вы настраиваете CUA в ландшафте SAP, вы можете создавать или удалять пользователей, используя только центральную систему.
Все необходимые роли и авторизация существуют в дочерней системе в активных формах.
Все пользователи контролируются и управляются централизованно, что упрощает задачу администрирования и дает более четкое представление обо всех действиях по управлению пользователями в сложной системной среде.
Центральный администратор пользователей позволяет экономить деньги и ресурсы при управлении похожими пользователями в одной системной среде.
Обмен данными осуществляется с помощью ALE пейзаж называется Application Link Enablingчто позволяет обмениваться данными контролируемым образом. ALE используется центральным администратором пользователей для обмена данными с дочерними системами в системном ландшафте SAP.
В сложной ландшафтной среде вы определяете одну систему как центральную систему со средой ALE, и она связана со всеми дочерними системами с помощью двунаправленного обмена данными. Дочерние системы в ландшафте не связаны друг с другом.
Для реализации централизованного администрирования пользователей следует учитывать следующие моменты:
Вам нужна среда SAP с несколькими клиентами в единой / распределенной среде.
Администратору для управления пользователями требуется авторизация по следующим кодам транзакций -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Вы должны создать доверительные отношения между системами.
Вы должны создать системных пользователей в центральной и дочерней системе.
Создайте логическую систему и назначьте логическую систему соответствующему клиенту.
Создайте вид модели и BAPI для просмотра модели.
Создайте центрального администратора пользователей и установите параметры распределения для полей.
Синхронизировать адреса компаний
Перенести пользователей
В централизованно управляемой среде сначала необходимо создать администратора. Войдите во все логические системы будущего CUA как пользователь SAP * с паролем по умолчанию PASS.
Запустить транзакцию SU01 и создайте пользователя с назначенной ему ролью администратора.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/su01.jpg)
Для определения логической системы используйте транзакцию BD54. Щелкните New Entries, чтобы создать новую логическую систему.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/change_view_logical_systems.jpg)
Создайте новое логическое имя заглавными буквами для Central User Administration для центральной и всех дочерних систем, включая системы из других систем SAP.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/new_logical_name.jpg)
Чтобы легко идентифицировать систему, у вас есть следующее соглашение об именах, которое можно использовать для идентификации системы Central User Administration:
<System ID>CLNT<Client>
Введите какое-нибудь полезное описание логической системы. Сохраните запись, нажав наSaveкнопка. Затем необходимо создать логическое системное имя для центральной системы во всех дочерних системах.
Чтобы назначить логическую систему клиенту, используйте транзакцию SCC4 и переключитесь в режим изменения.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/display_view.jpg)
Откройте клиент, который вы хотите назначить логической системе, дважды щелкнув или щелкнув значок Detailsкнопка. Клиент может быть назначен только одной логической системе.
В поле логической системы в сведениях о клиенте введите имя логической системы, которой вы хотите назначить этого клиента.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/logical_system.jpg)
Выполните указанные выше шаги для всех клиентов в среде SAP, которые вы хотите включить в Central User Administrator. Чтобы сохранить настройки, нажмите кнопкуSave кнопку вверху.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/save.jpg)
Защита определенных профилей в SAP
Чтобы поддерживать безопасность в системе SAP, вам необходимо поддерживать определенные профили, содержащие критическую авторизацию. Существуют различные профили авторизации SAP, которые необходимо защитить в системе SAP с полной авторизацией.
Несколько профилей, которые необходимо защитить в системе SAP:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Профиль полномочий SAP_ALL
Профиль авторизации SAP_ALL позволяет пользователю выполнять все задачи в системе SAP. Это составной профиль, содержащий все полномочия в системе SAP. Пользователи с этой авторизацией могут выполнять все действия в системе SAP, поэтому этот профиль не следует назначать ни одному пользователю в вашей системе.
Рекомендуется поддерживать одного пользователя с профилем. Хотя пароль должен быть хорошо защищен для этого пользователя, и его следует использовать только тогда, когда это необходимо.
Вместо присвоения полномочий SAP_ALL следует назначить отдельные полномочия соответствующим пользователям. Ваша система Суперпользователь / Системное администрирование, вместо того, чтобы назначать им полномочия SAP_ALL, вы должны использовать индивидуальные необходимые полномочия.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/sap_authorizations.jpg)
SAP_NEW Авторизация
Полномочия SAP_NEW содержат все полномочия, необходимые для новой версии. После завершения обновления системы этот профиль используется для правильного выполнения некоторых задач.
Вы должны помнить следующие моменты об этой авторизации -
Когда выполняется обновление системы, вам необходимо удалить профили SAP_NEW для выпусков до этого.
Вам необходимо назначить отдельные полномочия в профиле SAP_NEW для разных пользователей в вашей среде.
Этот профиль не должен оставаться активным слишком долго.
Если у вас есть длинный список профилей SAP_NEW в среде, это означает, что вам нужно пересмотреть свою политику авторизации в системе.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/profiles.jpg)
Чтобы увидеть список всех профилей SAP_NEW, вы должны выбрать этот профиль, дважды щелкнув его, а затем → перейти к Choose.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/choose.jpg)
P_BAS_ALL Авторизация
Эта авторизация позволяет пользователю просматривать содержимое таблиц из других приложений. Это разрешение содержитP_TABU_DISавторизация. Эта авторизация позволяет пользователю PA видеть содержимое таблицы, которое не принадлежит его группе.
Сохранение роли PFCG
PFCG Role Maintenance можно использовать для управления ролями и авторизацией в системе SAP. В PFCG роль представляет собой выполняемую человеком работу, связанную с реальными сценариями. PFCG позволяет вам определять набор транзакций, которые могут быть назначены человеку для выполнения своей повседневной работы.
Когда роли создаются в транзакции PFCG, вы можете использовать транзакцию SU01чтобы назначить эти роли отдельным пользователям. Пользователю в системе SAP может быть назначено несколько ролей, связанных с его / ее повседневной задачей в реальной жизни.
Эти роли связаны между пользователем и полномочиями в системе SAP. Фактические полномочия и профили хранятся в форме объектов в системе SAP.
Используя PFCG Role Maintenance, вы можете выполнять следующие функции:
- Изменение и назначение ролей
- Создание ролей
- Создание составных ролей
- Транспортные и распределительные роли
Давайте теперь обсудим эти функции подробно.
Изменение и назначение ролей
Выполнить транзакцию: PFCG
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/pfcg.jpg)
Вы попадете в окно обслуживания роли. Чтобы изменить существующую роль, введите полученное имя роли в поле.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/roles_maintenance.jpg)
Скопируйте стандартную роль, нажав кнопку Копировать роль. Введите имя из пространства имен. Нажмите кнопку выбора значения и выберите роль, в которую вы хотите его скопировать.
Вы также можете выбрать роли, поставленные SAP, начиная с SAP_, но тогда роли по умолчанию будут перезаписаны.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/overwritten.jpg)
Чтобы изменить роль, нажмите на Change в разделе "Обслуживание ролей".
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/change_button.jpg)
Перейдите на вкладку «Меню», чтобы изменить меню пользователя на странице вкладки «Меню». Перейдите на вкладку «Авторизация», чтобы изменить данные авторизации для этого пользователя.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/authorizations.jpg)
Вы также можете использовать экспертный режим для настройки полномочий для изменений меню в разделе «Авторизация». Нажмите кнопку «Создать», чтобы создать профиль для этой роли.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/change_authorizations.jpg)
Чтобы назначить пользователям эту роль, перейдите на вкладку «Пользователь» в параметре «Изменить роль». Чтобы назначить пользователю эту роль, он должен существовать в системе.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/user.jpg)
При необходимости вы также можете выполнить сравнение пользователей. Нажмите на опцию сравнения пользователей. Вы также можете нажать кнопку «Информация», чтобы узнать больше об отдельных и составных ролях, и о параметре «Сравнение пользователей», чтобы сравнить основные записи.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/user_comparison.jpg)
Создание ролей в PFCG
Вы можете создавать как отдельные роли, так и составные роли в PFCG. Введите имя роли и нажмите «Создать одиночные или составные роли», как показано на снимке экрана ниже.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/create_single_role.jpg)
Вы можете выбрать из пространства имен Customer, например Y_ или Z_. Поставляемые SAP роли начинаются с SAP_, и вы не можете взять имя из поставляемых SAP ролей.
После того, как вы нажмете кнопку «Создать роль», вы должны добавить транзакции, отчеты и веб-адреса на вкладке «МЕНЮ» в определении роли.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/menu_tab.jpg)
Перейдите на вкладку «Авторизация», чтобы сгенерировать профиль, нажмите «Изменить данные авторизации».
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/authorization_data_option.jpg)
В соответствии с выбранным вами видом деятельности вам будет предложено ввести организационные уровни. Когда вы вводите определенное значение в диалоговом окне, поля авторизации роли сохраняются автоматически.
Вы можете адаптировать ссылку для ролей. После того, как определение роли выполнено, вам нужно сгенерировать роль. Нажмите «Создать» (Shift + F5).
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/shift_f5.jpg)
В этой структуре, когда вы видите красный светофор, это означает, что уровни организации не имеют значений. Вы можете вводить и изменять уровни организации с помощью Уровни организации рядом с вкладкой Поддерживаемые.
Введите имя профиля и нажмите на галочку, чтобы завершить этап создания.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/tick_option.jpg)
Нажмите на Saveчтобы сохранить профиль. Вы можете напрямую назначить эту роль пользователям, перейдя на вкладки «Пользователь». Аналогичным образом вы можете создавать составные роли, используя опцию обслуживания ролей PFCG.
Транспортные и распределительные роли
Запустите транзакцию - PFCG, введите имя роли, которую вы хотите перенести, и нажмите «Транспортная роль».
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/utilities.jpg)
Вы дойдете до ролевого транспортного средства. У вас есть несколько вариантов в разделе транспортных ролей -
- Перенос одиночных ролей для составных ролей.
- Перенос сгенерированных профилей для ролей.
- Данные персонализации.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/role_of_transport.jpg)
В следующем диалоговом окне вы должны упомянуть назначение пользователя, и данные персонализации также должны быть перенесены. Если назначения пользователей также переносятся, они заменят все назначения ролей пользователям в целевой системе.
Чтобы заблокировать систему, чтобы нельзя было импортировать назначения ролей пользователям, введите ее в таблицу настройки. PRGN_CUST используя транзакцию SM30 и выберите поле значения USER_REL_IMPORT number.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/prompt.jpg)
Эта роль вводится в запросе настройки. Вы можете просмотреть это с помощью транзакцииSE10.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/transaction_se10.jpg)
В запросе настройки профили полномочий переносятся вместе с ролями.
Транзакция в информационной системе авторизации - SUIM
В управлении авторизацией SUIM является ключевым инструментом, с помощью которого вы можете найти профили пользователей в системе SAP, а также назначить эти профили для этого идентификатора пользователя. SUIM предоставляет начальный экран, который предоставляет параметры для поиска пользователей, ролей, профилей, авторизации, транзакций и сравнения.
Чтобы открыть информационную систему пользователя, запустите транзакцию: SUIM.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/user_information_system.jpg)
В информационной системе пользователя у вас есть разные узлы, которые можно использовать для выполнения различных функций в системе SAP. Как и в узле «Пользователь», вы можете выполнять поиск пользователей на основе критериев выбора. Вы можете получить заблокированный список пользователей, пользователей, имеющих доступ к определенному набору транзакций и т. Д.
Когда вы раскрываете каждую вкладку, у вас есть возможность создавать разные отчеты на основе разных критериев выбора. Как и при раскрытии вкладки пользователя, у вас есть следующие параметры:
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/structure.jpg)
Когда вы нажимаете на пользователей по сложным критериям выбора, вы можете применять несколько условий выбора одновременно. На следующем снимке экрана показаны различные критерии выбора.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/selection_criterias.jpg)
Ролевой узел
Аналогичным образом вы можете получить доступ к различным узлам, таким как роли, профили, авторизации и другим параметрам в этой информационной системе пользователя.
Вы также можете использовать инструмент SUIM для поиска ролей и профилей. Вы можете назначить список транзакций определенному набору идентификаторов пользователей, выполнив поиск по транзакциям и назначению в SUIM и назначив эти роли этому идентификатору пользователя.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/user_information.jpg)
Используя систему информации о пользователях, вы можете выполнять различные поиски в системе SAP. Вы можете ввести различные критерии выбора и получить отчеты на основе пользователей, профилей, ролей, транзакций и других критериев.
RSUSR002 - Пользователи по сложным критериям отбора.
![](https://post.nghiatu.com/assets/tutorial/sap_security/images/complex_selection_criteria.jpg)