SAP Güvenliği - Sistem Yetkilendirme Kavramı
SAP Sistem Yetkilendirme Kavramı, SAP sistemini çalışan işlemlere ve programlara yetkisiz erişime karşı korumaya yöneliktir. Kullanıcıların bu etkinlik için yetkilendirme tanımlayana kadar SAP sisteminde işlem ve program yürütmesine izin vermemelisiniz.
Sisteminizi daha güvenli hale getirmek ve güçlü yetkilendirme uygulamak için, yetkilendirme planınızı gözden geçirerek şirketin güvenlik gereksinimlerini karşıladığından ve güvenlik ihlali olmadığından emin olmanız gerekir.
Kullanıcı Türleri
SAP Sisteminin önceki sürümlerinde, kullanıcı türleri yalnızca iki kategoriye ayrıldı - İletişim kutusu kullanıcıları ve İletişim kutusu olmayan kullanıcılar ve iki sistem arasındaki iletişim için yalnızca iletişim kutusu olmayan kullanıcılar önerildi. SAP 4.6C ile kullanıcı türleri aşağıdaki kategorilere ayrılmıştır -
Dialog User- Bu kullanıcı bireysel etkileşimli sistem erişimi için kullanılır ve istemci işinin çoğu bir iletişim kutusu kullanıcısı kullanılarak gerçekleştirilir. Şifre, kullanıcının kendisi tarafından değiştirilebilir. Diyalog kullanıcılarında, çoklu diyalog oturumları önlenebilir.
Service User- Bu, ürün kataloğu görüntüleme gibi önceden belirlenmiş bazı görevleri gerçekleştirmek için etkileşimli sistem erişimi gerçekleştirmek için kullanılır. Bu kullanıcı için birden fazla oturum açmaya izin verilir ve yalnızca bir Yönetici bu kullanıcının parolasını değiştirebilir.
System User- Bu kullanıcı kimliği, sistemle ilgili görevlerin çoğunu gerçekleştirmek için kullanılır - Taşıma Yönetim Sistemi, İş Akışlarını Tanımlama ve ALE. Etkileşimli sisteme bağımlı bir kullanıcı değildir ve bu kullanıcı için birden fazla oturum açma izni vardır.
Reference User- SAP sisteminde oturum açmak için bir Referans kullanıcı kullanılmaz. Bu kullanıcı, dahili kullanıcılara ek yetki sağlamak için kullanılır. Bir SAP sisteminde, Roller sekmesine gidebilir ve iletişim kutusu kullanıcıları için ek haklar için bir referans kullanıcı belirleyebilirsiniz.
Communication Users- Bu kullanıcı türü, RFC bağlantısı, CPIC gibi farklı sistemler arasında diyalogsuz oturum açmak için kullanılır. SAP GUI kullanarak Dialog oturum açma, İletişim kullanıcıları için mümkün değildir. Bir Kullanıcı türü, ortak iletişim kutusu kullanıcıları gibi parolalarını değiştirebilir. Parolayı değiştirmek için RFC işlevsel modülü kullanılabilir.
İşlem Kodu: SU01SAP sisteminde kullanıcı oluşturmak için kullanılır. Aşağıdaki ekranda, SU01 İşlemi altında bir SAP sisteminde farklı Kullanıcı türlerini görebilirsiniz.
Bir Kullanıcı Oluşturma
Bir SAP sisteminde farklı erişim haklarına sahip bir kullanıcı veya birden çok kullanıcı oluşturmak için aşağıda verilen adımları izlemelisiniz.
Step 1 - İşlem kodunu kullanın - SU01.
Step 2 - Oluşturmak istediğiniz kullanıcı adını girin, aşağıdaki ekran görüntüsünde gösterildiği gibi oluştur simgesine tıklayın.
Step 3- Sonraki sekmeye yönlendirileceksiniz - Adres sekmesi. Buraya Ad, Soyad, Telefon Numarası, E-posta Kimliği vb. Ayrıntıları girmeniz gerekir.
Step 4 - Bir sonraki sekmeye yönlendirileceksiniz - Logon Data. Oturum açma verileri sekmesi altında kullanıcı türünü girin. Beş farklı kullanıcı tipimiz var.
Step 5 - İlk Oturum Açma Parolasını yazın → Yeni Parola → Parolayı Tekrarla.
Step 6 - Bir sonraki sekmeye yönlendirileceksiniz - Roller − Rolleri kullanıcıya atayın.
Step 7 - Ayrıca bir sonraki sekmeye yönlendirileceksiniz - Profiller −Profilleri kullanıcılara atayın.
Step 8 - Onay almak için Kaydet'e tıklayın.
Merkezi Kullanıcı Yönetimi (CUA)
Merkezi Kullanıcı Yönetimi, merkezi bir sistem kullanarak bir SAP sistem ortamında tüm kullanıcıları yönetmenize olanak tanıyan temel konseptlerden biridir. Bu aracı kullanarak, tüm kullanıcı ana verilerini tek bir sistemde merkezi olarak yönetebilirsiniz. Merkezi Kullanıcı Yöneticisi, benzer kullanıcıları tek bir sistem ortamında yönetirken para ve kaynaklardan tasarruf etmenizi sağlar.
Merkezi Kullanıcı Yönetiminin avantajları şunlardır:
CUA'yı SAP ortamında yapılandırdığınızda, yalnızca merkezi sistemi kullanarak kullanıcılar oluşturabilir veya silebilirsiniz.
Tüm gerekli roller ve yetkilendirme, bir alt sistemde aktif formlarda mevcuttur.
Tüm kullanıcılar merkezi olarak izlenir ve yönetilir, bu da yönetim görevini karmaşık bir sistem ortamında tüm kullanıcı yönetimi etkinliklerini daha kolay ve net bir şekilde görmenizi sağlar.
Merkezi Kullanıcı Yöneticisi, benzer kullanıcıları tek bir sistem ortamında yönetirken para ve kaynaklardan tasarruf etmenizi sağlar.
Veri alışverişi kullanılarak gerçekleştirilen ALE manzara olarak adlandırılır Application Link Enablingbu, verilerin kontrollü bir şekilde değiş tokuş edilmesini sağlar. ALE, Merkezi Kullanıcı Yöneticisi tarafından SAP sistem ortamında alt sistemlerle veri alışverişi için kullanılır.
Karmaşık bir peyzaj ortamında, bir sistemi ALE ortamına sahip Merkezi sistem olarak tanımlarsınız ve bu, çift yönlü veri alışverişini kullanan tüm alt sistemlere bağlanır. Peyzajdaki çocuk sistemi birbirine bağlı değildir.
Merkezi Kullanıcı Yönetimini uygulamak için aşağıdaki noktalar dikkate alınmalıdır -
Tek / dağıtılmış bir ortamda birden çok istemciye sahip bir SAP ortamına ihtiyacınız var.
Yönetici kullanıcıları yönetmek için, aşağıdaki İşlem Kodlarında yetkilendirmeye ihtiyaç duyar -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Sistemler arasında güvene dayalı bir ilişki oluşturmalısınız.
Merkezi ve alt sistemde sistem kullanıcıları oluşturmalısınız.
Mantıksal Sistem oluşturun ve ilgili istemciye mantıksal sistem atayın.
Model görünümü için model görünümü ve BAPI oluşturun.
Bir Merkezi Kullanıcı Yöneticisi oluşturun ve alanlar için dağıtım parametrelerini ayarlayın.
Şirket adreslerini senkronize edin
Kullanıcıları Aktar
Merkezi olarak yönetilen bir ortamda, önce bir Yönetici oluşturmanız gerekir. Gelecekteki CUA'nın tüm mantıksal sistemlerinde varsayılan şifre PASS ile SAP * kullanıcısı olarak oturum açın.
İşlemi Çalıştırın SU01 ve kendisine yönetici rolü atanmış bir kullanıcı oluşturun.
Mantıksal bir sistem tanımlamak için İşlemi kullanın BD54. Yeni bir mantıksal sistem oluşturmak için Yeni Girişler'e tıklayın.
Merkezi ve diğer SAP Sistemlerinden olanlar dahil tüm alt sistemler için Merkezi Kullanıcı Yönetimi için büyük harflerle yeni bir mantıksal ad oluşturun.
Sistemi kolayca tanımlamak için, Merkezi Kullanıcı Yönetim sistemini tanımlamak için kullanılabilecek aşağıdaki adlandırma kuralına sahipsiniz -
<System ID>CLNT<Client>
Mantıksal bir sistemin bazı yararlı açıklamalarını girin. Girişinizi kaydetmek içinSavebuton. Sonraki, tüm alt sistemlerde merkezi sistem için mantıksal sistem adı oluşturmaktır.
Bir müşteriye Mantıksal bir sistem atamak için İşlemi kullanın SCC4 ve Değiştir moduna geçin.
Mantıksal sisteme atamak istediğiniz istemciyi çift tıklayarak veya üzerine tıklayarak açın. Detailsbuton. Bir istemci yalnızca bir mantıksal sisteme atanabilir.
İstemci ayrıntılarındaki bir mantıksal sistem alanına, bu istemciyi atamak istediğiniz mantıksal bir sistem adı girin.
Merkezi Kullanıcı Yöneticisi'ne dahil etmek istediğiniz bir SAP ortamındaki tüm istemciler için yukarıdaki adımları uygulayın. Ayarlarınızı kaydetmek için,Save üstteki düğmesi.
SAP'de Belirli Profilleri Koruma
Bir SAP sisteminde güvenliği sağlamak için, kritik yetkilendirme içeren belirli profilleri korumanız gerekir. Tam yetkiye sahip bir SAP sisteminde korumanız gereken çeşitli SAP yetkilendirme profilleri vardır.
SAP sisteminde korunması gereken birkaç profil şunlardır:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL Yetkilendirme Profili
Bir SAP_ALL yetkilendirme profili, kullanıcının bir SAP sistemindeki tüm görevleri gerçekleştirmesine izin verir. Bu, bir SAP sistemindeki tüm yetkileri içeren kompozit profildir. Bu yetkiye sahip kullanıcılar bir SAP sistemindeki tüm aktiviteleri gerçekleştirebilir, bu nedenle bu profil sisteminizdeki herhangi bir kullanıcıya atanmamalıdır.
Tek bir kullanıcının bir profille korunması tavsiye edilir. Parola o kullanıcı için iyi korunmalı ve yalnızca gerektiğinde kullanılmalıdır.
SAP_ALL yetkileri atamak yerine, uygun kullanıcılara bireysel yetkiler atamalısınız. Sistem Süper Kullanıcı / Sistem Yönetiminiz, SAP_ALL yetkisini onlara atamak yerine, gerekli olan bireysel yetkileri kullanmalısınız.
SAP_NEW Yetkilendirmesi
SAP_NEW yetkisi, yeni bir sürümde gerekli olan tüm yetkileri içerir. Bir sistem yükseltmesi yapıldığında, bu profil, bazı görevlerin düzgün şekilde çalıştırılması için kullanılır.
Bu yetkilendirmeyle ilgili aşağıdaki noktaları hatırlamalısınız -
Bir sistem yükseltmesi gerçekleştirildiğinde, bundan önce sürümler için SAP_NEW profillerini silmeniz gerekir.
Ortamınızdaki farklı kullanıcılara SAP_NEW profili altında ayrı yetkiler atamanız gerekir.
Bu profil çok uzun süre aktif tutulmamalıdır.
Ortamda uzun bir SAP_NEW profilleri listesine sahip olduğunuzda, sistemdeki yetkilendirme politikanızı gözden geçirmeniz gerektiğini gösterir.
Tüm SAP_NEW profillerinin listesini görmek için, bu profili çift tıklayarak seçmeli ve ardından → adresine gitmelisiniz. Choose.
P_BAS_ALL Yetkilendirme
Bu yetkilendirme, kullanıcının diğer uygulamalardan tablo içeriğini görüntülemesine izin verir. Bu yetki şunları içerir:P_TABU_DISyetki. Bu yetkilendirme, PA kullanıcısının kendi grubuna ait olmayan tablo içeriğini görmesine izin verir.
PFCG Rol Bakımı
PFCG Rol Bakımı, bir SAP sistemindeki rolleri ve yetkilendirmeyi yönetmek için kullanılabilir. PFCG'de rol, bir kişinin gerçek hayat senaryolarıyla ilgili olarak gerçekleştirdiği bir işi temsil eder. PFCG, bir kişiye günlük işlerini gerçekleştirmesi için atanabilecek bir dizi işlem tanımlamanıza olanak tanır.
Bir PFCG İşleminde roller oluşturulduğunda, İşlemi kullanabilirsiniz. SU01bu rolleri bireysel kullanıcılara atamak için. SAP sistemindeki bir kullanıcıya çok sayıda rol atanabilir ve bunlar gerçek hayattaki günlük görevleriyle ilgilidir.
Bu roller, bir SAP sistemindeki kullanıcı ve yetkiler arasında bağlantılıdır. Gerçek yetkilendirmeler ve profiller, bir SAP sistemindeki nesneler biçiminde saklanır.
PFCG Rol Bakımını kullanarak aşağıdaki işlevleri gerçekleştirebilirsiniz -
- Rol Değiştirme ve Atama
- Rol Oluşturma
- Bileşik Roller Oluşturma
- Rollerin Taşınması ve Dağıtılması
Şimdi bu işlevleri ayrıntılı olarak tartışalım.
Rol Değiştirme ve Atama
İşlemi Çalıştır: PFCG
Sizi bakım penceresi rolüne götürecektir. Mevcut rolü değiştirmek için alana verilen rol adını girin.
Rolü kopyala düğmesine tıklayarak standart rolü kopyalayın. Ad alanından adı girin. Değer seçim düğmesine tıklayın ve bunu kopyalamak istediğiniz rolü seçin.
Ayrıca, SAP tarafından başlatılan rolleri de seçebilirsiniz. SAP_, ancak daha sonra varsayılan rollerin üzerine yazılacaktır.
Rolü değiştirmek için, Change Rol Bakımında düğmesi.
Menü sekme sayfasındaki kullanıcı menüsünü değiştirmek için Menü sekmesine gidin. Söz konusu kullanıcı için Yetkilendirme verilerini değiştirmek için Yetkilendirme sekmesine gidin.
Yetki altında menü değişiklikleri için yetkileri ayarlamak için Uzman Modu'nu da kullanabilirsiniz. Bu rol için profil oluşturmak üzere Oluştur düğmesine tıklayın.
Kullanıcıları bu role atamak için Rol Değişiklikleri seçeneğindeki Kullanıcı sekmesine gidin. Bu role bir kullanıcı atamak için sistemde mevcut olmalıdır.
Ayrıca gerekirse bir Kullanıcı Karşılaştırması da yapabilirsiniz. Kullanıcı Karşılaştırma seçeneğine tıklayın. Ayrıca, Ana kayıtları karşılaştırmak için Tek ve Bileşik roller ve Kullanıcı Karşılaştırma seçeneği hakkında daha fazla bilgi edinmek için Bilgi düğmesine de tıklayabilirsiniz.
PFCG'de Rol Oluşturma
PFCG'de hem tekli roller hem de bileşik roller oluşturabilirsiniz. Rol adını girin ve aşağıdaki ekran görüntüsünde gösterildiği gibi Tek veya Bileşik Rol Oluştur'u tıklayın.
Y_ veya Z_ gibi Müşteri ad alanından seçim yapabilirsiniz. SAP tarafından sağlanan roller SAP_ ile başlar ve adı SAP tarafından sağlanan rollerden alamazsınız.
Rol oluştur düğmesine tıkladıktan sonra, rol tanımında MENÜ sekmesi altında İşlemler, Raporlar ve Web Adresleri eklemelisiniz.
Profili oluşturmak için Yetkilendirme sekmesine gidin, Yetkilendirme verilerini değiştir seçeneğine tıklayın.
Faaliyet seçiminize göre, organizasyonel seviyelere girmeniz istenir. İletişim kutusuna belirli bir değer girdiğinizde, rolün yetki alanları otomatik olarak korunur.
Referansı rollere göre uyarlayabilirsiniz. Bir rol tanımı yapıldığında, rolü oluşturmanız gerekir. Oluştur'a tıklayın (Shift + F5).
Bu yapıda kırmızı trafik ışıkları gördüğünüzde değer içermeyen organizasyon seviyelerini gösterir. Korunan sekmesinin yanındaki Organizasyon seviyeleri ile organizasyon seviyelerine girebilir ve bunları değiştirebilirsiniz.
Profil adını girin ve Oluştur adımını tamamlamak için onay seçeneğine tıklayın.
Tıklamak Saveprofili kaydetmek için. Kullanıcı sekmelerine giderek bu rolü kullanıcılara doğrudan atayabilirsiniz. Benzer şekilde, PFCG Rol Bakım Seçeneğini kullanarak Bileşik roller oluşturabilirsiniz.
Rollerin Taşınması ve Dağıtılması
Transaction - PFCG'yi çalıştırın ve taşımak istediğiniz rol adını girin ve Taşıma Rolü'ne tıklayın.
Rol taşıma seçeneğine ulaşacaksınız. Taşıma Rolleri altında birden fazla seçeneğiniz var -
- Bileşik roller için tek rolleri taşıyın.
- Roller için oluşturulan profilleri taşıma.
- Kişiselleştirme Verileri.
Bir sonraki iletişim kutusunda, kullanıcı atamasından bahsetmelisiniz ve kişiselleştirme verileri de taşınmalıdır. Kullanıcı atamaları da taşınırsa, hedef sistemdeki tüm kullanıcı atamalarının yerini alır.
Kullanıcı rol atamalarının alınamaması için bir sistemi kilitlemek için, sistemi Özelleştirme tablosuna girin. PRGN_CUST işlem kullanarak SM30 ve değer alanını seçin USER_REL_IMPORT number.
Bu rol, özelleştirme talebinde girilir. İşlemi kullanarak bunu görüntüleyebilirsinizSE10.
Özelleştirme talebinde yetkilendirme profilleri rollerle birlikte taşınır.
Yetki Bilgisi Sistem İşlemi - SUIM
Yetkilendirme Yönetiminde SUIM, bir SAP sisteminde kullanıcı profillerini bulabileceğiniz ve bu profilleri bu Kullanıcı Kimliğine atayabileceğiniz önemli bir araçtır. SUIM, Kullanıcıları, Rolleri, Profilleri, Yetkileri, İşlemleri ve Karşılaştırmayı Arama seçenekleri sunan bir başlangıç ekranı sağlar.
Kullanıcı Bilgi Sistemini açmak için İşlemi Çalıştırın: SUIM.
Bir Kullanıcı Bilgi Sisteminde, bir SAP sisteminde farklı işlevleri gerçekleştirmek için kullanılabilecek farklı düğümleriniz vardır. Bir Kullanıcı düğümünde olduğu gibi, seçim kriterlerine göre kullanıcılar üzerinde bir arama gerçekleştirebilirsiniz. Kilitli kullanıcıların listesini, belirli bir işlem kümesine erişimi olan kullanıcıları vb. Alabilirsiniz.
Her sekmeyi genişlettiğinizde, farklı seçim kriterlerine göre farklı raporlar oluşturma seçeneğiniz vardır. Kullanıcı sekmesini genişlettiğinizde olduğu gibi, aşağıdaki seçeneklere sahipsiniz -
Kullanıcıları karmaşık seçim kriterlerine göre tıkladığınızda, aynı anda birden çok seçim koşulunu uygulayabilirsiniz. Aşağıdaki ekran görüntüsü size farklı seçim kriterlerini gösterir.
Rol Düğümü
Benzer şekilde, bu kullanıcı bilgi sistemi altındaki Roller, Profiller, Yetkiler ve çeşitli diğer seçenekler gibi farklı düğümlere erişebilirsiniz.
Rolleri ve profilleri aramak için SUIM aracını da kullanabilirsiniz. SUIM'de işlem ve atama ile arama yaparak belirli bir kullanıcı kimliği kümesine bir işlem listesi atayabilir ve bu rolleri bu kullanıcı kimliğine atayabilirsiniz.
Kullanıcı Bilgileri sistemini kullanarak bir SAP sisteminde çeşitli aramalar gerçekleştirebilirsiniz. Kullanıcılara, Profillere, rollere, İşlemlere ve çeşitli diğer kriterlere göre farklı seçim kriterleri girebilir ve raporları alabilirsiniz.
RSUSR002 - Karmaşık Seçim Kriterlerine Göre Kullanıcılar.