การตรวจสอบผู้ใช้และการจัดการ

หากผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบ SAP ภายใต้ผู้ใช้ที่ได้รับอนุญาตที่รู้จักและสามารถเปลี่ยนแปลงการกำหนดค่าและจัดการการกำหนดค่าระบบและนโยบายหลักได้ หากผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลสำคัญและข้อมูลของระบบได้ผู้ใช้รายนั้นก็สามารถเข้าถึงข้อมูลสำคัญอื่น ๆ ได้เช่นกัน สิ่งนี้ช่วยเพิ่มการใช้การรับรองความถูกต้องที่ปลอดภัยเพื่อปกป้องความพร้อมใช้งานความสมบูรณ์และความเป็นส่วนตัวของระบบผู้ใช้

กลไกการพิสูจน์ตัวตนในระบบ SAP

กลไกการพิสูจน์ตัวตนกำหนดวิธีการเข้าถึงระบบ SAP ของคุณ มีวิธีการพิสูจน์ตัวตนที่หลากหลาย -

  • รหัสผู้ใช้และเครื่องมือการจัดการผู้ใช้
  • การสื่อสารเครือข่ายที่ปลอดภัย
  • ตั๋วเข้าสู่ระบบ SAP
  • ใบรับรองลูกค้า X.509

User ID และเครื่องมือการจัดการผู้ใช้

วิธีการพิสูจน์ตัวตนโดยทั่วไปในระบบ SAP คือการใช้ชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบ ID ผู้ใช้เพื่อเข้าสู่ระบบถูกสร้างขึ้นโดยผู้ดูแลระบบ SAP ในการจัดเตรียมกลไกการตรวจสอบความปลอดภัยผ่านชื่อผู้ใช้และรหัสผ่านจำเป็นต้องกำหนดนโยบายรหัสผ่านที่ไม่อนุญาตให้ผู้ใช้ตั้งรหัสผ่านที่คาดเดาได้ง่าย

SAP จัดเตรียมพารามิเตอร์เริ่มต้นต่างๆที่คุณควรตั้งเพื่อกำหนดนโยบายรหัสผ่าน - ความยาวของรหัสผ่านความซับซ้อนของรหัสผ่านการเปลี่ยนรหัสผ่านเริ่มต้น ฯลฯ

เครื่องมือการจัดการผู้ใช้ในระบบ SAP

SAP NetWeaver Systemมีเครื่องมือการจัดการผู้ใช้ต่างๆที่สามารถใช้เพื่อจัดการผู้ใช้ในสภาพแวดล้อมของคุณได้อย่างมีประสิทธิภาพ พวกเขามีวิธีการพิสูจน์ตัวตนที่แข็งแกร่งมากสำหรับเซิร์ฟเวอร์ NetWeaver Application ทั้งสองประเภท - Java และ ABAP

เครื่องมือการจัดการผู้ใช้ที่พบบ่อยที่สุด ได้แก่ -

การจัดการผู้ใช้สำหรับ ABAP Application Server (รหัสธุรกรรม: SU01)

คุณสามารถใช้รหัสธุรกรรมการจัดการผู้ใช้ SU01 เพื่อรักษาผู้ใช้ในเซิร์ฟเวอร์แอปพลิเคชันที่ใช้ ABAP ของคุณ

SAP NetWeaver Identity Management

คุณสามารถใช้ SAP NetWeaver Identity Management สำหรับการจัดการผู้ใช้ตลอดจนสำหรับการจัดการบทบาทและการกำหนดบทบาทในสภาพแวดล้อม SAP ของคุณ

บทบาทของ PFCG

คุณสามารถใช้ตัวสร้างโปรไฟล์ PFCG เพื่อสร้างบทบาทและกำหนดสิทธิ์ให้กับผู้ใช้ในระบบที่ใช้ ABAP

Transaction Code - พีเอฟซีจี

การดูแลผู้ใช้ส่วนกลาง

คุณสามารถใช้ CUA เพื่อรักษาผู้ใช้สำหรับระบบที่ใช้ ABAP หลายระบบ คุณยังสามารถซิงค์กับไดเร็กทอรีเซิร์ฟเวอร์ของคุณ เมื่อใช้เครื่องมือนี้คุณสามารถจัดการเรกคอร์ดหลักผู้ใช้ทั้งหมดจากส่วนกลางจากไคลเอนต์ของระบบ

Transaction Code - SCUA และสร้างรูปแบบการกระจาย

เครื่องมือจัดการผู้ใช้ UME

คุณสามารถใช้บทบาท UME เพื่อควบคุมการอนุญาตผู้ใช้ในระบบ ผู้ดูแลระบบสามารถใช้การดำเนินการที่แสดงถึงเอนทิตีที่เล็กที่สุดของบทบาท UME ที่ผู้ใช้สามารถใช้เพื่อสร้างสิทธิ์การเข้าถึง

คุณสามารถเปิดคอนโซลการดูแลระบบ UME โดยใช้ตัวเลือก SAP NetWeaver Administrator

นโยบายรหัสผ่าน

นโยบายรหัสผ่านกำหนดเป็นชุดคำสั่งที่ผู้ใช้ต้องปฏิบัติตามเพื่อปรับปรุงความปลอดภัยของระบบโดยใช้รหัสผ่านที่คาดเดายากและใช้อย่างถูกต้อง ในหลายองค์กรนโยบายรหัสผ่านจะถูกแชร์เป็นส่วนหนึ่งของการฝึกอบรมการตระหนักถึงความปลอดภัยและจำเป็นสำหรับผู้ใช้ที่จะต้องรักษานโยบายเพื่อความปลอดภัยของระบบและข้อมูลที่สำคัญในองค์กร

การใช้นโยบายรหัสผ่านในระบบ SAP ผู้ดูแลระบบสามารถตั้งค่าผู้ใช้ระบบเพื่อปรับใช้รหัสผ่านที่คาดเดายากซึ่งไม่ง่ายที่จะทำลาย นอกจากนี้ยังช่วยในการเปลี่ยนรหัสผ่านในช่วงเวลาปกติเพื่อความปลอดภัยของระบบ

นโยบายรหัสผ่านต่อไปนี้มักใช้ในระบบ SAP -

การเปลี่ยนรหัสผ่านเริ่มต้น / เริ่มต้น

สิ่งนี้ช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านเริ่มต้นได้ทันทีเมื่อใช้เป็นครั้งแรก

ความยาวรหัสผ่าน

ในระบบ SAP ความยาวขั้นต่ำสำหรับรหัสผ่านใน SAP Systems คือ 3 โดยค่าเริ่มต้น ค่านี้สามารถเปลี่ยนแปลงได้โดยใช้พารามิเตอร์โปรไฟล์และความยาวสูงสุดที่อนุญาตคือ 8

Transaction Code - RZ11

Parameter Name - เข้าสู่ระบบ / min_password_lng

คุณสามารถคลิกที่เอกสารประกอบของพารามิเตอร์โปรไฟล์สำหรับนโยบายนี้และคุณสามารถดูเอกสารโดยละเอียดจาก SAP ได้ดังต่อไปนี้ -

Parameter - เข้าสู่ระบบ / min_password_lng

Short text - ความยาวรหัสผ่านขั้นต่ำ

Parameter Description- พารามิเตอร์นี้ระบุความยาวขั้นต่ำของรหัสผ่านการเข้าสู่ระบบ รหัสผ่านต้องมีอักขระอย่างน้อยสามตัว อย่างไรก็ตามผู้ดูแลระบบสามารถระบุความยาวขั้นต่ำที่มากขึ้นได้ การตั้งค่านี้ใช้เมื่อมีการกำหนดรหัสผ่านใหม่และเมื่อมีการเปลี่ยนหรือรีเซ็ตรหัสผ่านที่มีอยู่

Application Area - เข้าสู่ระบบ

Parameter Unit - จำนวนอักขระ (ตัวอักษรและตัวเลข)

Default Value - 6

Who is permitted to make changes? ลูกค้า

Operating System Restrictions - ไม่มี

Database System Restrictions - ไม่มี

รหัสผ่านผิดกฎหมาย

คุณไม่สามารถเลือกอักขระตัวแรกของรหัสผ่านใด ๆ เป็นเครื่องหมายคำถาม (?) หรือเครื่องหมายอัศเจรีย์ (!) คุณยังสามารถเพิ่มอักขระอื่น ๆ ที่คุณต้องการ จำกัด ในตารางรหัสผ่านที่ไม่ถูกต้อง

Transaction Code - ชื่อตาราง SM30: USR40

เมื่อคุณเข้าสู่ตาราง - USR40 และคลิกที่ Display ที่ด้านบนจะแสดงรายการรหัสผ่านที่ไม่สามารถยอมรับได้ทั้งหมด

เมื่อคุณคลิกที่ New Entriesคุณสามารถป้อนค่าใหม่ลงในตารางนี้และเลือกกล่องกาเครื่องหมายตรงตามตัวพิมพ์เล็กและใหญ่

รูปแบบรหัสผ่าน

คุณยังสามารถตั้งค่าให้อักขระสามตัวแรกของรหัสผ่านไม่สามารถปรากฏในลำดับเดียวกันกับส่วนหนึ่งของชื่อผู้ใช้ รูปแบบรหัสผ่านต่างๆที่สามารถ จำกัด ได้โดยใช้นโยบายรหัสผ่าน ได้แก่ -

  • อักขระสามตัวแรกต้องไม่เหมือนกันทั้งหมด
  • อักขระสามตัวแรกไม่สามารถรวมอักขระเว้นวรรคได้
  • รหัสผ่านไม่สามารถเป็น PASS หรือ SAP ได้

เปลี่ยนรหัสผ่าน

ในนโยบายนี้ผู้ใช้สามารถได้รับอนุญาตให้เปลี่ยนรหัสผ่านของตนเองเกือบวันละครั้ง แต่ผู้ดูแลระบบสามารถรีเซ็ตรหัสผ่านของผู้ใช้ได้บ่อยเท่าที่จำเป็น

ผู้ใช้ไม่ควรได้รับอนุญาตให้ใช้รหัสผ่านห้ารหัสล่าสุดซ้ำ อย่างไรก็ตามผู้ดูแลระบบสามารถรีเซ็ตรหัสผ่านที่ผู้ใช้ใช้ก่อนหน้านี้ได้

พารามิเตอร์โปรไฟล์

มีพารามิเตอร์โปรไฟล์ที่แตกต่างกันที่คุณสามารถกำหนดในระบบ SAP สำหรับนโยบายการจัดการผู้ใช้และรหัสผ่าน

ในระบบ SAP คุณสามารถแสดงเอกสารสำหรับพารามิเตอร์โปรไฟล์แต่ละรายการได้โดยไปที่ Tools → CCMS → Configuration →Profile Maintenance(ธุรกรรม: RZ11). ป้อนชื่อพารามิเตอร์และคลิกที่Display.

ในหน้าต่างถัดไปที่ปรากฏขึ้นคุณต้องป้อนชื่อพารามิเตอร์คุณจะเห็น 2 ตัวเลือก -

Display - เพื่อแสดงค่าของพารามิเตอร์ในระบบ SAP

Display Docu - เพื่อแสดงเอกสาร SAP สำหรับพารามิเตอร์นั้น

เมื่อคุณคลิกที่ปุ่มแสดงคุณจะถูกย้ายไปที่ Maintain Profile Parameterหน้าจอ สามารถดูรายละเอียดดังต่อไปนี้ -

  • Name
  • Type
  • เกณฑ์การคัดเลือก
  • กลุ่มพารามิเตอร์
  • คำอธิบายพารามิเตอร์และอื่น ๆ อีกมากมาย

ที่ด้านล่างคุณมีค่าพารามิเตอร์ปัจจุบัน login/min_password_lng

เมื่อคุณคลิกที่ Display Doc จะแสดงเอกสาร SAP สำหรับพารามิเตอร์

คำอธิบายพารามิเตอร์

พารามิเตอร์นี้ระบุความยาวขั้นต่ำของรหัสผ่านการเข้าสู่ระบบ รหัสผ่านต้องมีอักขระอย่างน้อยสามตัว อย่างไรก็ตามผู้ดูแลระบบสามารถระบุความยาวขั้นต่ำที่มากขึ้นได้ การตั้งค่านี้ใช้เมื่อมีการกำหนดรหัสผ่านใหม่และเมื่อมีการเปลี่ยนหรือรีเซ็ตรหัสผ่านที่มีอยู่

แต่ละพารามิเตอร์มีค่าเริ่มต้นค่าที่อนุญาตดังต่อไปนี้ -

มีพารามิเตอร์รหัสผ่านที่แตกต่างกันในระบบ SAP คุณสามารถป้อนแต่ละพารามิเตอร์ในไฟล์RZ11 และสามารถดูเอกสาร

  • login/min_password_diff
  • login/min_password_digits
  • login/min_password_letters
  • login/min_password_specials
  • login/min_password_lowercase
  • login/min_password_uppercase
  • login/disable_password_logon
  • login/password_charset
  • login/password_downwards_compatibility
  • login/password_compliance_to_current_policy

หากต้องการเปลี่ยนค่าพารามิเตอร์ให้เรียกใช้ Transaction RZ10 และเลือกโปรไฟล์ตามที่แสดงด้านล่าง -

  • Multiple application servers - ใช้โปรไฟล์เริ่มต้น

  • Single Application servers - ใช้โปรไฟล์อินสแตนซ์

เลือก Extended Maintenance แล้วคลิก Display.

เลือกพารามิเตอร์ที่คุณต้องการเปลี่ยนแปลงแล้วคลิก Parameter ที่ด้านบน.

เมื่อคุณคลิกที่แท็บพารามิเตอร์คุณสามารถเปลี่ยนค่าของพารามิเตอร์ในหน้าต่างใหม่ คุณยังสามารถสร้างพารามิเตอร์ใหม่ได้โดยคลิกที่Create (F5).

คุณยังสามารถดูสถานะของพารามิเตอร์ในหน้าต่างนี้ พิมพ์ค่าพารามิเตอร์และคลิกที่Copy.

คุณจะได้รับแจ้งให้บันทึกเมื่อคุณออกจากหน้าจอ คลิกใช่เพื่อบันทึกค่าพารามิเตอร์