Bảo mật SAP - Hướng dẫn nhanh
Trong Môi trường Phân tán SAP, bạn luôn cần phải bảo vệ thông tin và dữ liệu quan trọng của mình khỏi bị truy cập trái phép. Lỗi do con người, cấp phép truy cập không chính xác không cho phép truy cập trái phép vào bất kỳ hệ thống nào và cần phải duy trì và xem xét các chính sách hồ sơ và chính sách bảo mật hệ thống trong Môi trường SAP của bạn.
Để đảm bảo an toàn cho hệ thống, bạn nên hiểu rõ về hồ sơ truy cập của người dùng, chính sách mật khẩu, mã hóa dữ liệu và các phương pháp ủy quyền sẽ được sử dụng trong hệ thống. Bạn nên thường xuyên kiểm traSAP System Landscape và giám sát tất cả các thay đổi được thực hiện trong cấu hình và cấu hình truy cập.
Các siêu người dùng tiêu chuẩn phải được bảo vệ tốt và các thông số và giá trị hồ sơ người dùng phải được thiết lập cẩn thận để đáp ứng các yêu cầu bảo mật hệ thống.
Trong khi giao tiếp qua mạng, bạn nên hiểu cấu trúc liên kết mạng và các dịch vụ mạng cần được xem xét và kích hoạt sau khi kiểm tra đáng kể. Dữ liệu qua mạng cần được bảo vệ tốt bằng cách sử dụng khóa riêng.
Tại sao Cần có Bảo mật?
Để truy cập thông tin trong môi trường phân tán, có khả năng thông tin và dữ liệu quan trọng bị rò rỉ để truy cập trái phép và bảo mật hệ thống bị phá vỡ do - Thiếu chính sách mật khẩu, người dùng siêu cấp tiêu chuẩn không được duy trì tốt hoặc bất kỳ lý do nào khác.
Một số lý do chính dẫn đến vi phạm quyền truy cập trong hệ thống SAP như sau:
Các chính sách mật khẩu mạnh không được duy trì.
Người dùng tiêu chuẩn, người dùng siêu cấp, người dùng DB không được duy trì đúng cách và mật khẩu không được thay đổi thường xuyên.
Thông số hồ sơ không được xác định chính xác.
Các nỗ lực đăng nhập không thành công không được giám sát và các chính sách kết thúc phiên người dùng không hoạt động không được xác định.
Bảo mật Truyền thông Mạng không được xem xét trong khi gửi dữ liệu qua internet và không sử dụng khóa mã hóa.
Người dùng cơ sở dữ liệu không được duy trì đúng cách và không có biện pháp bảo mật nào được xem xét trong khi thiết lập cơ sở dữ liệu thông tin.
Đăng nhập một lần không được định cấu hình và duy trì đúng cách trong môi trường SAP.
Để khắc phục tất cả các lý do trên, bạn cần xác định các chính sách bảo mật trong môi trường SAP của mình. Các thông số bảo mật nên được xác định và các chính sách mật khẩu nên được xem xét sau những khoảng thời gian định kỳ.
Bảo mật Cơ sở dữ liệu là một trong những thành phần quan trọng để bảo mật môi trường SAP của bạn. Vì vậy, bạn cần phải quản lý người dùng cơ sở dữ liệu của mình và thấy rằng mật khẩu được bảo vệ tốt.
Cơ chế Bảo mật sau đây sẽ được áp dụng trong hệ thống để bảo vệ Môi trường SAP khỏi mọi truy cập trái phép -
- Xác thực và Quản lý Người dùng
- Bảo mật truyền thông mạng
- Bảo vệ Người dùng Chuẩn và Người dùng Siêu
- Bảo vệ nhật ký không thành công
- Thông số hồ sơ và chính sách mật khẩu
- Bảo mật hệ thống SAP trong Unix và Windows Platform
- Khái niệm đăng nhập một lần
Vì vậy, bảo mật trong hệ thống SAP là bắt buộc trong môi trường phân tán và bạn cần đảm bảo rằng dữ liệu và quy trình của bạn hỗ trợ nhu cầu kinh doanh của bạn mà không cho phép truy cập trái phép vào thông tin quan trọng. Trong hệ thống SAP, lỗi của con người, sơ suất hoặc cố gắng thao tác trên hệ thống có thể dẫn đến mất thông tin quan trọng.
Nếu người dùng trái phép có thể truy cập hệ thống SAP dưới quyền người dùng được ủy quyền đã biết và có thể thực hiện các thay đổi cấu hình cũng như thao tác các chính sách chính và cấu hình hệ thống. Nếu người dùng được ủy quyền có quyền truy cập vào dữ liệu và thông tin quan trọng của hệ thống, thì người dùng đó cũng có thể truy cập thông tin quan trọng khác. Điều này tăng cường việc sử dụng xác thực an toàn để bảo vệ Tính sẵn có, Tính toàn vẹn và Quyền riêng tư của Hệ thống Người dùng.
Cơ chế xác thực trong hệ thống SAP
Cơ chế xác thực xác định cách bạn truy cập hệ thống SAP của mình. Có nhiều phương pháp xác thực khác nhau được cung cấp -
- Id người dùng và các công cụ quản lý người dùng
- Giao tiếp mạng an toàn
- Vé đăng nhập SAP
- X.509 Chứng chỉ Khách hàng
Công cụ quản lý người dùng và ID người dùng
Phương pháp xác thực phổ biến nhất trong hệ thống SAP là sử dụng tên người dùng và mật khẩu để đăng nhập. ID người dùng để đăng nhập do Quản trị viên SAP tạo. Để cung cấp cơ chế xác thực an toàn thông qua tên người dùng và mật khẩu, cần phải xác định các chính sách mật khẩu không cho phép người dùng đặt mật khẩu dễ dàng dự đoán.
SAP cung cấp các tham số mặc định khác nhau mà bạn nên đặt để xác định chính sách mật khẩu - độ dài mật khẩu, độ phức tạp của mật khẩu, thay đổi mật khẩu mặc định, v.v.
Công cụ quản lý người dùng trong hệ thống SAP
SAP NetWeaver Systemcung cấp các công cụ quản lý người dùng khác nhau có thể được sử dụng để quản lý hiệu quả người dùng trong môi trường của bạn. Chúng cung cấp phương pháp xác thực rất mạnh cho cả hai loại máy chủ Ứng dụng NetWeaver - Java và ABAP.
Một số Công cụ quản lý người dùng phổ biến nhất là:
Quản lý người dùng cho Máy chủ ứng dụng ABAP (Mã giao dịch: SU01)
Bạn có thể sử dụng quản lý người dùng Mã giao dịch SU01 để duy trì người dùng trong Máy chủ ứng dụng dựa trên ABAP của bạn.
SAP NetWeaver Identity Management
Bạn có thể sử dụng SAP NetWeaver Identity Management để quản lý người dùng cũng như để quản lý các vai trò và phân công vai trò trong môi trường SAP của bạn.
Vai trò PFCG
Bạn có thể sử dụng trình tạo hồ sơ PFCG để tạo vai trò và phân quyền cho người dùng trong hệ thống dựa trên ABAP.
Transaction Code - PFCG
Quản trị Người dùng Trung tâm
Bạn có thể sử dụng CUA để duy trì người dùng cho nhiều hệ thống dựa trên ABAP. Bạn cũng có thể đồng bộ hóa nó với các máy chủ thư mục của mình. Sử dụng công cụ này, bạn có thể quản lý tập trung tất cả bản ghi chính của người dùng từ máy khách của hệ thống.
Transaction Code - SCUA và tạo mô hình phân phối.
Công cụ quản lý người dùng UME
Bạn có thể sử dụng các vai trò UME để kiểm soát phân quyền của người dùng trong hệ thống. Quản trị viên có thể sử dụng các hành động đại diện cho thực thể nhỏ nhất của vai trò UME mà người dùng có thể sử dụng để xây dựng quyền truy cập.
Bạn có thể mở bảng điều khiển quản trị UME bằng cách sử dụng tùy chọn Quản trị viên SAP NetWeaver.
Chính sách mật khẩu
Chính sách mật khẩu được định nghĩa là một tập hợp các hướng dẫn mà người dùng phải tuân theo để cải thiện bảo mật hệ thống bằng cách sử dụng mật khẩu mạnh và sử dụng chúng đúng cách. Trong nhiều tổ chức, chính sách mật khẩu được chia sẻ như một phần của khóa đào tạo nâng cao nhận thức về bảo mật và người dùng bắt buộc phải duy trì chính sách bảo mật cho các hệ thống và thông tin quan trọng trong một tổ chức.
Sử dụng chính sách mật khẩu trong hệ thống SAP, quản trị viên có thể thiết lập người dùng hệ thống triển khai mật khẩu mạnh mà không dễ bị phá. Điều này cũng giúp thay đổi mật khẩu định kỳ để bảo mật hệ thống.
Các chính sách mật khẩu sau đây thường được sử dụng trong Hệ thống SAP:
Thay đổi mật khẩu mặc định / ban đầu
Điều này cho phép người dùng thay đổi mật khẩu ban đầu ngay lập tức khi sử dụng lần đầu tiên.
Độ dài mật khẩu
Trong hệ thống SAP, độ dài tối thiểu cho mật khẩu trong Hệ thống SAP theo mặc định là 3. Giá trị này có thể được thay đổi bằng cách sử dụng tham số cấu hình và độ dài tối đa được phép là 8.
Transaction Code - RZ11
Parameter Name - đăng nhập / min_password_lng
Bạn có thể nhấp vào tài liệu về tham số hồ sơ cho chính sách này và bạn có thể xem tài liệu chi tiết từ SAP như sau:
Parameter - đăng nhập / min_password_lng
Short text - Độ dài mật khẩu tối thiểu
Parameter Description- Tham số này chỉ định độ dài tối thiểu của mật khẩu đăng nhập. Mật khẩu phải có ít nhất ba ký tự. Tuy nhiên, quản trị viên có thể chỉ định độ dài tối thiểu lớn hơn. Cài đặt này áp dụng khi mật khẩu mới được chỉ định và khi mật khẩu hiện có được thay đổi hoặc đặt lại.
Application Area - Đăng nhập
Parameter Unit - Số ký tự (chữ và số)
Default Value - 6
Who is permitted to make changes? khách hàng
Operating System Restrictions - Không có
Database System Restrictions - Không có
Mật khẩu bất hợp pháp
Bạn không thể chọn ký tự đầu tiên của bất kỳ mật khẩu nào dưới dạng dấu chấm hỏi (?) Hoặc dấu chấm than (!). Bạn cũng có thể thêm các ký tự khác mà bạn muốn hạn chế trong bảng mật khẩu bất hợp pháp.
Transaction Code - Tên bảng SM30: USR40.
Khi bạn vào bảng - USR40 và nhấp vào Display ở trên cùng, nó sẽ hiển thị cho bạn danh sách tất cả các mật khẩu không được phép.
Khi bạn nhấp vào New Entries, bạn có thể nhập các giá trị mới vào bảng này và cũng có thể chọn hộp kiểm phân biệt chữ hoa chữ thường.
Mẫu mật khẩu
Bạn cũng có thể đặt ba ký tự đầu tiên của mật khẩu không được xuất hiện theo thứ tự như một phần của tên người dùng. Các mẫu mật khẩu khác nhau có thể bị hạn chế bằng cách sử dụng chính sách mật khẩu bao gồm:
- Ba ký tự đầu tiên không thể giống nhau.
- Ba ký tự đầu tiên không được bao gồm các ký tự khoảng trắng.
- Mật khẩu không được là PASS hoặc SAP.
Thay đổi mật khẩu
Trong chính sách này, người dùng có thể được phép thay đổi mật khẩu của mình gần như một lần mỗi ngày, nhưng quản trị viên có thể đặt lại mật khẩu của người dùng thường xuyên nếu cần.
Người dùng không được phép sử dụng lại năm mật khẩu cuối cùng. Tuy nhiên, quản trị viên có thể đặt lại mật khẩu đã được người dùng sử dụng trước đó.
Thông số hồ sơ
Có các tham số cấu hình khác nhau mà bạn có thể xác định trong hệ thống SAP để quản lý người dùng và chính sách mật khẩu.
Trong hệ thống SAP, bạn có thể hiển thị tài liệu cho từng tham số cấu hình bằng cách đi tới Tools → CCMS → Configuration →Profile Maintenance(Giao dịch: RZ11). Nhập tên thông số và nhấp vàoDisplay.
Trong cửa sổ tiếp theo xuất hiện, bạn phải nhập tên tham số, bạn có thể thấy 2 tùy chọn:
Display - Để hiển thị giá trị của các thông số trong hệ thống SAP.
Display Docu - Để hiển thị tài liệu SAP cho tham số đó.
Khi bạn nhấp vào nút Hiển thị, bạn sẽ được chuyển đến Maintain Profile Parametermàn. Bạn có thể xem chi tiết sau:
- Name
- Type
- Tiêu chí lựa chọn
- Nhóm tham số
- Mô tả thông số và nhiều hơn nữa
Ở dưới cùng, bạn có giá trị hiện tại của thông số login/min_password_lng
Khi bạn nhấp vào Display Doc tùy chọn, nó sẽ hiển thị tài liệu SAP cho tham số.
Mô tả về Thông Số
Tham số này chỉ định độ dài tối thiểu của mật khẩu đăng nhập. Mật khẩu phải có ít nhất ba ký tự. Tuy nhiên, quản trị viên có thể chỉ định độ dài tối thiểu lớn hơn. Cài đặt này áp dụng khi mật khẩu mới được chỉ định và khi mật khẩu hiện có được thay đổi hoặc đặt lại.
Mỗi tham số có một giá trị mặc định, giá trị được phép như sau:
Có các tham số mật khẩu khác nhau trong hệ thống SAP. Bạn có thể nhập từng tham số vàoRZ11 giao dịch và có thể xem tài liệu.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Để thay đổi giá trị Tham số, hãy chạy Transaction RZ10 và chọn Hồ sơ như hình dưới đây -
Multiple application servers - Sử dụng hồ sơ DEFAULT.
Single Application servers - Sử dụng Hồ sơ Phiên bản.
Lựa chọn Extended Maintenance và bấm vào Display.
Chọn thông số bạn muốn thay đổi và nhấp vào Parameter ở trên cùng.
Khi bạn nhấp vào tab Tham số, bạn có thể thay đổi giá trị của tham số trong cửa sổ mới. Bạn cũng có thể tạo tham số mới bằng cách nhấp vàoCreate (F5).
Bạn cũng có thể xem trạng thái của tham số trong cửa sổ này. Nhập giá trị tham số và nhấp vàoCopy.
Bạn sẽ được nhắc lưu khi thoát khỏi màn hình. Bấm vào Yes để lưu giá trị tham số.
Secure Network Communication (SNC)cũng có thể được sử dụng để đăng nhập vào máy chủ ứng dụng bằng phương pháp xác thực an toàn. Bạn có thể sử dụng SNC để xác thực người dùng thông qua SAP GUI cho windows hoặc bằng cách sử dụng kết nối RFC.
SNC sử dụng sản phẩm bảo mật bên ngoài để thực hiện xác thực giữa các đối tác truyền thông. Bạn có thể sử dụng các biện pháp bảo mật như PKI cơ sở hạ tầng khóa công khai và các thủ tục để tạo và phân phối các cặp khóa.
Bạn nên xác định cấu trúc liên kết mạng có thể loại bỏ các mối đe dọa và ngăn chặn các cuộc tấn công mạng. Khi người dùng không thể đăng nhập vào ứng dụng hoặc lớp cơ sở dữ liệu, những kẻ tấn công không thể truy cập vào hệ thống SAP hoặc hệ thống cơ sở dữ liệu để truy cập thông tin quan trọng.
Cấu trúc liên kết mạng được xác định rõ ràng không cho phép những kẻ xâm nhập kết nối với mạng LAN của công ty và do đó không có quyền truy cập vào các lỗ hổng vòng lặp bảo mật trên các dịch vụ mạng hoặc trên hệ thống SAP.
Cấu trúc liên kết mạng trong hệ thống SAP
Kiến trúc mạng vật lý của bạn hoàn toàn phụ thuộc vào kích thước của Hệ thống SAP của bạn. Hệ thống SAP thường được triển khai với kiến trúc máy khách-máy chủ và mỗi hệ thống thường được chia thành ba lớp sau:
- Lớp cơ sở dữ liệu
- Lớp ứng dụng
- Lớp trình bày
Khi hệ thống SAP của bạn nhỏ, nó có thể không có ứng dụng và máy chủ cơ sở dữ liệu riêng biệt. Tuy nhiên, trong một hệ thống lớn, nhiều máy chủ ứng dụng giao tiếp với một máy chủ cơ sở dữ liệu và một số giao diện người dùng. Điều này xác định cấu trúc liên kết mạng của một hệ thống từ đơn giản đến phức tạp và bạn nên xem xét các tình huống khác nhau khi tổ chức cấu trúc liên kết mạng của mình.
Trong một tổ chức quy mô lớn, bạn nên cài đặt ứng dụng và máy chủ cơ sở dữ liệu của mình trên các máy khác nhau và đặt trong một mạng LAN riêng biệt với hệ thống giao diện người dùng.
Trong hình ảnh sau, bạn có thể thấy cấu trúc liên kết Mạng ưa thích của hệ thống SAP:
Khi bạn đặt cơ sở dữ liệu và máy chủ ứng dụng của mình trong VLAN riêng biệt với VLAN phía trước, nó cho phép bạn cải thiện hệ thống kiểm soát truy cập và do đó tăng tính bảo mật cho hệ thống SAP của bạn. Hệ thống giao diện người dùng nằm trong các VLAN khác nhau, vì vậy không dễ dàng vào được VLAN của máy chủ và do đó vượt qua bảo mật của hệ thống SAP của bạn.
Dịch vụ mạng SAP
Trong hệ thống SAP của bạn, có nhiều dịch vụ khác nhau được kích hoạt, tuy nhiên chỉ một số ít được yêu cầu để chạy hệ thống SAP. Trong hệ thống SAP,Landscape, Database và Application Serverslà mục tiêu phổ biến nhất của các cuộc tấn công mạng. Nhiều dịch vụ mạng đang chạy trong bối cảnh của bạn cho phép truy cập vào các máy chủ này và các dịch vụ này cần được giám sát cẩn thận.
Trong máy Window / UNIX của bạn, các dịch vụ này được duy trì trong /etc/services. Bạn có thể mở tệp này trong máy Windows bằng cách truy cập đường dẫn sau:
system32/drivers/etc/services
Bạn có thể mở tệp này trong Notepad và xem lại tất cả các dịch vụ đã kích hoạt trong máy chủ của bạn -
Bạn nên tắt tất cả các dịch vụ không cần thiết trên các máy chủ ngang. Đôi khi những dịch vụ này có một vài lỗi mà kẻ xâm nhập có thể sử dụng để truy cập trái phép. Khi bạn tắt các dịch vụ này, bạn giảm nguy cơ bị tấn công vào mạng của mình.
Để có mức độ bảo mật cao, bạn cũng nên sử dụng các tệp mật khẩu tĩnh trong môi trường SAP của mình.
Chìa khóa riêng
SNC sử dụng sản phẩm bảo mật bên ngoài để thực hiện xác thực giữa các đối tác truyền thông. Bạn có thể sử dụng các biện pháp bảo mật nhưPublic Key Infrastructure (PKI) và các thủ tục khác để tạo và phân phối các cặp khóa và để đảm bảo rằng các khóa riêng tư cho người dùng được bảo mật đúng cách.
Có nhiều cách khác nhau để bảo mật khóa riêng tư cho ủy quyền mạng -
- Giải pháp phần cứng
- Giải phap băng phân mêm
Bây giờ chúng ta hãy thảo luận chi tiết về chúng.
Giải pháp phần cứng
Bạn có thể bảo vệ khóa riêng tư cho người dùng bằng giải pháp phần cứng trong đó bạn cấp thẻ thông minh cho người dùng cá nhân. Tất cả các khóa được lưu trữ trong thẻ thông minh và người dùng nên xác thực thẻ thông minh của họ thông qua sinh trắc học bằng cách sử dụng dấu vân tay hoặc sử dụng mật khẩu PIN.
Những thẻ thông minh này phải được bảo vệ khỏi bị trộm hoặc mất bởi từng người dùng cá nhân và người dùng có thể sử dụng thẻ để mã hóa tài liệu.
Người dùng không được phép chia sẻ thẻ thông minh hoặc đưa chúng cho người dùng khác.
Giải phap băng phân mêm
Cũng có thể sử dụng giải pháp phần mềm để lưu trữ khóa cá nhân cho người dùng cá nhân. Giải pháp phần mềm là giải pháp ít tốn kém hơn so với giải pháp phần cứng, nhưng chúng cũng kém an toàn hơn.
Khi người dùng lưu trữ khóa cá nhân trong tệp và chi tiết người dùng, cần phải bảo mật những tệp đó để truy cập trái phép.
Khi bạn cài đặt hệ thống SAP lần đầu tiên, có một số người dùng mặc định được tạo ra để thực hiện các tác vụ quản trị. Theo mặc định, nó tạo ra ba máy khách trong Môi trường SAP, đó là:
Máy khách 000 - Máy khách tham chiếu SAP
Ứng dụng khách 001 - Ứng dụng khách mẫu từ SAP
Khách hàng 066 - Khách hàng theo dõi sớm SAP
SAP tạo ra những người dùng tiêu chuẩn trong ứng dụng khách nói trên trong hệ thống. Mỗi người dùng tiêu chuẩn có mật khẩu mặc định của riêng mình với lần cài đặt đầu tiên.
Người dùng Chuẩn trong hệ thống SAP bao gồm những người dùng sau trong ứng dụng khách mặc định -
Người dùng | Chi tiết | Khách hàng | Mật khẩu mặc định |
---|---|---|---|
nhựa cây | Siêu người dùng hệ thống SAP | 000, 001, 066 | 6071992 |
Tất cả khách hàng mới | VƯỢT QUA | ||
DDIC | ABAP Dictionary Super User | 000, 001 | 19920706 |
SAPCPIC | Người dùng CPI-C cho SAP | 000, 001 | quản trị viên |
ĐỒNG HỒ SỚM | Người dùng xem sớm | 66 | ủng hộ |
Đây là những người dùng tiêu chuẩn trong các máy khách SAP Mặc định để thực hiện nhiệm vụ quản trị và cấu hình trong hệ thống SAP. Để duy trì bảo mật trong hệ thống SAP, bạn nên bảo vệ những người dùng này -
Bạn nên thêm những người dùng này vào nhóm SUPER, để họ chỉ được sửa đổi bởi Quản trị viên có đặc quyền thêm / sửa đổi người dùng vào nhóm SUPER.
Mật khẩu mặc định cho người dùng Chuẩn phải được thay đổi.
Làm thế nào để Xem Danh sách Khách hàng trong Hệ thống SAP?
Bạn có thể xem danh sách tất cả các khách hàng trong môi trường SAP của mình bằng cách sử dụng Giao dịch SM30, hiển thị bảng T000.
Khi bạn vào bảng và nhấp vào Display, nó sẽ hiển thị cho bạn danh sách tất cả các khách hàng trong hệ thống SAP của bạn. Bảng này bao gồm chi tiết của tất cả các máy khách mặc định và máy khách mới mà bạn tạo trong môi trường chia sẻ tài nguyên.
Bạn có thể sử dụng báo cáo RSUSR003 để đảm bảo rằng SAP người dùng đã được tạo trong tất cả các ứng dụng khách và mật khẩu chuẩn đã được thay đổi cho SAP, DDIC và SAPCPIC.
Đi đến ABAP Editor SE38 và nhập tên báo cáo và nhấp vào THỰC HIỆN.
Nhập tiêu đề báo cáo và nhấp vào Executecái nút. Nó sẽ hiển thị tất cả các máy khách và người dùng tiêu chuẩn trong Hệ thống SAP, Trạng thái mật khẩu, Khóa lý do sử dụng, Hợp lệ từ và Hợp lệ đến, v.v.
Bảo vệ Siêu người dùng Hệ thống SAP
Để bảo vệ Siêu Người dùng Hệ thống SAP “SAP”, bạn có thể thực hiện các bước sau trong hệ thống:
Step 1- Bạn cần xác định Người dùng Siêu mới trong hệ thống SAP và hủy kích hoạt người dùng SAP. Lưu ý rằng bạn không được xóa SAP của người dùng trong hệ thống. Để hủy kích hoạt người dùng được mã hóa cứng, bạn có thể sử dụng tham số cấu hình:login/no_automatic_user_sapstar.
Nếu bản ghi chính người dùng của người dùng SAP * bị xóa, bạn có thể đăng nhập bằng “SAP” và PASS mật khẩu ban đầu.
Người dùng "SAP" có các thuộc tính sau:
Người dùng có toàn quyền vì không có kiểm tra ủy quyền nào được thực hiện.
Không thể thay đổi mật khẩu PASS mặc định.
Bạn có thể sử dụng tham số hồ sơ login/no_automatic_user_sapstar để hủy kích hoạt các thuộc tính đặc biệt này của SAP và kiểm soát việc đăng nhập tự động của người dùng SAP *.
Step 2 - Để kiểm tra giá trị của tham số này, hãy chạy Giao dịch RZ11 và nhập tên tham số.
Values allowed - 0, 1, trong đó -
0 - Cho phép người dùng tự động SAP *.
1 - Người dùng tự động SAP * bị vô hiệu hóa.
Step 3 - Trong hệ thống sau, bạn có thể thấy giá trị của tham số này được đặt thành 1. Điều này cho thấy rằng Super user “SAP” đã bị vô hiệu hóa trong hệ thống.
Step 4 - Bấm vào Display và bạn có thể thấy giá trị hiện tại của tham số này.
Để tạo Siêu người dùng mới trong hệ thống, hãy xác định hồ sơ chính người dùng mới và gán hồ sơ SAP_ALL cho siêu người dùng này.
Bảo vệ người dùng DDIC
Người dùng DDIC được yêu cầu cho một số tác vụ liên quan đến Hậu cần phần mềm, Từ điển ABAP và Nhiệm vụ liên quan đến cài đặt và nâng cấp. Để bảo vệ người dùng này, bạn nên khóa người dùng này trong hệ thống SAP. Bạn không nên xóa người dùng này để thực hiện một số chức năng để sử dụng trong tương lai.
Để khóa người dùng, hãy sử dụng Mã giao dịch: SU01.
Nếu bạn muốn bảo vệ người dùng này, bạn có thể chỉ định SAP_ALL ủy quyền cho người dùng này tại thời điểm cài đặt và sau đó khóa nó.
Bảo vệ người dùng SAPCPIC
Người dùng SAPCPIC được sử dụng để gọi các chương trình và mô-đun chức năng nhất định trong hệ thống SAP và là người dùng không sử dụng hộp thoại.
Bạn nên khóa người dùng này và thay đổi mật khẩu cho người dùng này để bảo vệ nó. Trong các bản phát hành trước, khi bạn khóa người dùng SAPCPIC hoặc thay đổi mật khẩu, nó sẽ ảnh hưởng đến các chương trình bổ sung RSCOLL00, RSCOLL30 và LSYPGU01.
Bảo vệ Xem sớm
Ứng dụng khách 066 - Đây được gọi là SAP Early watch và được sử dụng cho dịch vụ giám sát và quét chẩn đoán trong hệ thống SAP và người dùng EARLYWATCH là người dùng tương tác cho dịch vụ Early Watch trong Client 066. Để bảo mật người dùng này, bạn có thể thực hiện các hành động sau:
- Khóa người dùng EARLYWATCH cho đến khi không cần thiết trong môi trường SAP.
- Thay đổi mật khẩu mặc định cho người dùng này.
Những điểm chính
Để bảo vệ người dùng SAP Standard và bảo vệ khách hàng trong bối cảnh SAP, bạn nên xem xét các điểm chính sau:
Bạn nên duy trì đúng cách các máy khách trong hệ thống SAP và đảm bảo rằng không có máy khách nào không xác định tồn tại.
Bạn cần đảm bảo rằng SAP super user “SAP” tồn tại và đã bị vô hiệu hóa trong tất cả các máy khách.
Bạn cần đảm bảo rằng mật khẩu mặc định được thay đổi cho tất cả người dùng chuẩn SAP SAP, DDIC và người dùng EARLYWATCH.
Bạn cần đảm bảo rằng tất cả người dùng Chuẩn đã được thêm vào nhóm SUPER trong hệ thống SAP và người duy nhất được phép thực hiện thay đổi đối với nhóm SUPER chỉ có thể chỉnh sửa những người dùng này.
Bạn cần đảm bảo rằng mật khẩu mặc định cho SAPCPIC đã được thay đổi và người dùng này bị khóa và nó được mở khóa khi được yêu cầu.
Tất cả người dùng chuẩn SAP phải được khóa và chỉ có thể được mở khóa khi được yêu cầu. Mật khẩu phải được bảo vệ tốt cho tất cả những người dùng này.
Làm thế nào để thay đổi mật khẩu của một người dùng chuẩn?
Bạn nên đảm bảo rằng mật khẩu cho tất cả người dùng chuẩn SAP phải được thay đổi trong tất cả các máy khách được duy trì trong Table T000 và người dùng “SAP” phải tồn tại cho tất cả các máy khách.
Để thay đổi mật khẩu, hãy đăng nhập bằng Super user. Nhập Id người dùng vào trường Tên người dùng mà bạn muốn thay đổi mật khẩu. Nhấp vào tùy chọn Thay đổi mật khẩu như được hiển thị trong ảnh chụp màn hình sau:
Nhập mật khẩu mới, lặp lại mật khẩu và nhấp vào Apply. Bạn nên lặp lại quy trình tương tự cho tất cả người dùng tiêu chuẩn.
Để triển khai bảo mật trong hệ thống SAP, cần phải giám sát đăng nhập không thành công trong môi trường SAP. Khi ai đó cố gắng đăng nhập vào hệ thống bằng mật khẩu không chính xác, hệ thống sẽ khóa tên người dùng trong một thời gian hoặc phiên đó sẽ bị chấm dứt sau một số lần thử xác định.
Các thông số bảo mật khác nhau có thể được đặt cho các nỗ lực đăng nhập trái phép -
- Kết thúc một phiên
- Khóa người dùng
- Kích hoạt Trình bảo vệ màn hình
- Theo dõi các lần đăng nhập không thành công
- Ghi lại các lần đăng nhập
Bây giờ chúng ta hãy thảo luận chi tiết từng điều này.
Kết thúc một phiên
Khi có nhiều lần đăng nhập không thành công được thực hiện trên một id người dùng, hệ thống sẽ kết thúc phiên cho người dùng đó. Điều này sẽ được gửi bằng tham số Hồ sơ -login/fails_to_session_end.
Để thay đổi giá trị Tham số, hãy chạy Giao dịch RZ10và chọn Hồ sơ như được hiển thị trong ảnh chụp màn hình sau. Chọn Bảo trì mở rộng và nhấp vàoDisplay.
Chọn tham số bạn muốn thay đổi và nhấp vào Parameter ở trên cùng như hình dưới đây.
Khi bạn nhấp vào tab Tham số, bạn có thể thay đổi giá trị của tham số trong một cửa sổ mới. Bạn cũng có thể tạo tham số mới bằng cách nhấp vàoCreate (F5) cái nút.
Để xem chi tiết của thông số này, hãy chạy Mã giao dịch: RZ11 và nhập tên hồ sơ - login/fails_to_session_end và nhấp vào Display Document.
Parameter - login / failed_to_session_end
Short text - Số lần đăng nhập không hợp lệ cho đến khi phiên kết thúc.
Parameter Description - Số lần đăng nhập không hợp lệ có thể được thực hiện với bản ghi chính của người dùng cho đến khi thủ tục đăng nhập bị chấm dứt.
Application Area - Đăng nhập
Default Value - 3
Who is permitted to make changes? - Khách hàng
Operating System Restrictions - Không có
Database System Restrictions - Không có
Are other parameters affected or dependent? - Không có
Values allowed - 1 - 99
Trong ảnh chụp màn hình ở trên, bạn có thể thấy giá trị của tham số này được đặt thành 3, tức là giá trị mặc định cũng vậy. Sau 3 lần đăng nhập không thành công, phiên sẽ bị chấm dứt đối với một người dùng.
Khóa người dùng
Bạn cũng có thể kiểm tra một Id Người dùng cụ thể, nếu vượt quá số lần đăng nhập liên tiếp không thành công trong một Id Người dùng. Đặt số lần đăng nhập không hợp lệ được phép trong thông số cấu hình:login/fails_to_user_lock.
Có thể đặt khóa trên User ID cụ thể.
Các khóa được áp dụng trên Id người dùng cho đến nửa đêm. Tuy nhiên, Quản trị viên hệ thống cũng có thể xóa thủ công bất kỳ lúc nào.
Trong hệ thống SAP, bạn cũng có thể đặt một giá trị tham số cho phép khóa được đặt trên User Id cho đến khi chúng được gỡ bỏ theo cách thủ công. Tên thông số:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Mỗi khi nhập mật khẩu đăng nhập không chính xác, bộ đếm đăng nhập không thành công cho bản ghi chính của người dùng có liên quan sẽ tăng lên. Các nỗ lực đăng nhập có thể được ghi vào Nhật ký Kiểm tra Bảo mật. Nếu vượt quá giới hạn được chỉ định bởi tham số này, người dùng có liên quan sẽ bị khóa. Quá trình này cũng được đăng nhập trong Syslog.
Khóa không còn hiệu lực sau khi ngày hiện tại kết thúc. (Điều kiện khác −login / fail_user_auto_unlock)
Bộ đếm đăng nhập không thành công được đặt lại sau khi người dùng đăng nhập bằng mật khẩu chính xác. Đăng nhập không dựa trên mật khẩu không có bất kỳ ảnh hưởng nào đến bộ đếm đăng nhập không thành công. Tuy nhiên, các khóa đăng nhập đang hoạt động được kiểm tra cho mọi lần đăng nhập.
Values allowed - 1 - 99
Để xem giá trị hiện tại của tham số này, hãy sử dụng T-Code: RZ11.
Parameter name - đăng nhập / fail_user_auto_unlock
Short text - Tắt tính năng mở khóa tự động của người dùng bị khóa vào lúc nửa đêm.
Parameter Description- Kiểm soát việc mở khóa của người dùng bị khóa do đăng nhập sai. Nếu thông số được đặt thành 1, các khóa đã được đặt do các lần đăng nhập mật khẩu không thành công sẽ chỉ áp dụng vào cùng ngày (khi khóa). Nếu tham số được đặt thành 0, các khóa vẫn có hiệu lực.
Application Area - Đăng nhập.
Default Value - 0.
Kích hoạt Trình bảo vệ màn hình
Quản trị viên hệ thống cũng có thể bật trình bảo vệ màn hình để bảo vệ màn hình giao diện người dùng khỏi bất kỳ truy cập trái phép nào. Những bảo vệ màn hình này có thể được bảo vệ bằng mật khẩu.
Theo dõi các nỗ lực đăng nhập không thành công và ghi lại các nỗ lực đăng nhập
Trong hệ thống SAP, bạn có thể sử dụng báo cáo RSUSR006để kiểm tra xem có người dùng nào đã thử đăng nhập không thành công vào hệ thống hay không. Báo cáo này chứa thông tin chi tiết về số lần đăng nhập không chính xác của người dùng và người dùng khóa và bạn có thể lập lịch báo cáo này theo yêu cầu của mình.
Đi đến ABAP Editor SE38 và nhập tên báo cáo, sau đó nhấp vào EXECUTE.
Trong báo cáo này, bạn có các chi tiết khác nhau như Tên người dùng, Loại, Đã tạo trên, Người tạo, Mật khẩu, Khóa và Chi tiết đăng nhập không chính xác.
Trong hệ thống SAP, bạn cũng có thể sử dụng Nhật ký kiểm tra bảo mật (các giao dịch SM18, SM19 và SM20) để ghi lại tất cả các lần đăng nhập thành công và không thành công. Bạn có thể phân tích nhật ký kiểm tra bảo mật bằng giao dịch SM20, nhưng kiểm tra bảo mật nên được kích hoạt trong hệ thống để theo dõi nhật ký kiểm tra bảo mật.
Đăng xuất người dùng nhàn rỗi
Khi người dùng đã đăng nhập vào hệ thống SAP và phiên không hoạt động trong một khoảng thời gian cụ thể, bạn cũng có thể đặt họ ở chế độ đăng xuất để tránh mọi truy cập trái phép.
Để bật cài đặt này, bạn cần chỉ định giá trị này trong thông số cấu hình: rdisp/gui_auto_logout.
Parameter Description- Bạn có thể xác định rằng người dùng SAP GUI không hoạt động sẽ tự động bị đăng xuất khỏi hệ thống SAP sau một khoảng thời gian xác định trước. Tham số cấu hình thời gian này. Tự động đăng xuất trong hệ thống SAP bị vô hiệu hóa theo mặc định (giá trị 0), nghĩa là người dùng không bị đăng xuất ngay cả khi họ không thực hiện bất kỳ hành động nào trong thời gian dài hơn.
Values allowed- n [đơn vị], trong đó n> = 0 và Đơn vị = S | M | H | D
Để xem giá trị hiện tại của tham số, hãy chạy T-Code: RZ11.
Bảng sau đây cho bạn thấy danh sách các tham số chính, giá trị mặc định và được phép của chúng trong hệ thống SAP -
Tham số | Sự miêu tả | Mặc định | Giá trị cho phép |
---|---|---|---|
Đăng nhập / fail_to_session_end | Số lần đăng nhập không hợp lệ cho đến khi kết thúc phiên | 3 | 1-99 |
Đăng nhập / fail_to_user_lock | Số lần đăng nhập không hợp lệ cho đến khi người dùng khóa | 12 | 1-99 |
Đăng nhập / fail_user_auto_unlock | Khi bộ t 1: Các khóa áp dụng vào ngày chúng được thiết lập. Chúng bị xóa vào ngày hôm sau khi người dùng đăng nhập | 1 | 0 hoặc 1 |
rdisp / gui_auto_output | Thời gian nhàn rỗi tối đa cho người dùng tính bằng số giây | 0 (không giới hạn) | không hạn chế |
Khái niệm Ủy quyền Hệ thống SAP đề cập đến việc bảo vệ hệ thống SAP chạy các giao dịch và chương trình khỏi bị truy cập trái phép. Bạn không nên cho phép người dùng thực hiện các giao dịch và chương trình trong hệ thống SAP cho đến khi họ đã xác định ủy quyền cho hoạt động này.
Để làm cho hệ thống của bạn an toàn hơn và thực hiện ủy quyền mạnh mẽ, bạn cần xem xét kế hoạch ủy quyền của mình để đảm bảo rằng nó đáp ứng yêu cầu bảo mật của công ty và không có vi phạm bảo mật nào.
Loại người dùng
Trong các bản phát hành trước của Hệ thống SAP, kiểu người dùng chỉ được chia thành hai loại - Người dùng hộp thoại và Người dùng không hộp thoại và chỉ những người dùng không phải hộp thoại mới được khuyến nghị để giao tiếp giữa hai hệ thống. Với SAP 4.6C, các kiểu người dùng đã được chia thành các loại sau:
Dialog User- Người dùng này được sử dụng để truy cập hệ thống tương tác cá nhân và hầu hết công việc của khách hàng được thực hiện bằng người dùng hộp thoại. Người dùng có thể tự thay đổi mật khẩu. Trong người dùng hộp thoại, có thể ngăn chặn nhiều bản ghi hộp thoại.
Service User- Điều này được sử dụng để thực hiện truy cập hệ thống tương tác để thực hiện một số tác vụ định trước như hiển thị danh mục sản phẩm. Cho phép nhiều lần đăng nhập cho người dùng này và chỉ Quản trị viên mới có thể thay đổi mật khẩu cho người dùng này.
System User- Id người dùng này được sử dụng để thực hiện hầu hết các tác vụ liên quan đến hệ thống - Hệ thống Quản lý Giao thông, Xác định Quy trình Công việc và ALE. Nó không phải là người dùng phụ thuộc vào hệ thống tương tác và có nhiều lần đăng nhập được phép cho người dùng này.
Reference User- Người dùng Tham chiếu không được sử dụng để đăng nhập vào hệ thống SAP. Người dùng này được sử dụng để cung cấp ủy quyền bổ sung cho người dùng nội bộ. Trong hệ thống SAP, bạn có thể đi tới tab Vai trò và chỉ định người dùng tham chiếu để có thêm quyền cho người dùng hộp thoại.
Communication Users- Kiểu người dùng này được sử dụng để duy trì đăng nhập miễn phí hộp thoại giữa các hệ thống khác nhau như kết nối RFC, CPIC. Không thể đăng nhập Hộp thoại bằng SAP GUI đối với người dùng Giao tiếp. Kiểu người dùng có thể thay đổi mật khẩu của họ giống như những người dùng hộp thoại thông thường. Mô-đun chức năng RFC có thể được sử dụng để thay đổi mật khẩu.
Mã giao dịch: SU01được sử dụng để tạo người dùng trong hệ thống SAP. Trong màn hình sau, bạn có thể thấy các kiểu Người dùng khác nhau trong hệ thống SAP theo Giao dịch SU01.
Tạo người dùng
Để tạo một người dùng hoặc nhiều người dùng có các quyền truy cập khác nhau trong hệ thống SAP, bạn nên làm theo các bước dưới đây.
Step 1 - Sử dụng mã giao dịch - SU01.
Step 2 - Nhập tên người dùng bạn muốn tạo, nhấp vào biểu tượng tạo như trong ảnh chụp màn hình sau.
Step 3- Bạn sẽ được chuyển đến tab tiếp theo - tab Địa chỉ. Tại đây, bạn cần nhập các thông tin chi tiết như Tên, Họ, Số điện thoại, Id Email, v.v.
Step 4 - Bạn sẽ được chuyển hướng đến tab tiếp theo - Logon Data. Nhập loại người dùng trong tab Dữ liệu đăng nhập. Chúng tôi có năm kiểu người dùng khác nhau.
Step 5 - Nhập Mật khẩu đăng nhập đầu tiên → Mật khẩu mới → Mật khẩu lặp lại.
Step 6 - Bạn sẽ được chuyển đến tab tiếp theo - Vai trò − Gán vai trò cho người dùng.
Step 7 - Bạn sẽ được chuyển hướng đến tab tiếp theo - Hồ sơ −Gán Hồ sơ cho người dùng.
Step 8 - Bấm vào Lưu để nhận xác nhận.
Quản trị Người dùng Trung tâm (CUA)
Quản trị người dùng trung tâm là một trong những khái niệm chính cho phép bạn quản lý tất cả người dùng trong bối cảnh hệ thống SAP bằng cách sử dụng hệ thống trung tâm. Sử dụng công cụ này, bạn có thể quản lý tập trung tất cả bản ghi chính của người dùng trong một hệ thống. Quản trị viên Người dùng Trung tâm cho phép bạn tiết kiệm tiền và tài nguyên trong việc quản lý những người dùng tương tự trong một bối cảnh hệ thống.
Ưu điểm của Quản trị Người dùng Trung tâm là -
Khi bạn định cấu hình CUA trong cảnh quan SAP, bạn có thể tạo hoặc xóa người dùng chỉ bằng cách sử dụng hệ thống trung tâm.
Tất cả các vai trò và ủy quyền được yêu cầu tồn tại trong một hệ thống con ở dạng hoạt động.
Tất cả người dùng đều được giám sát và quản lý tập trung giúp cho nhiệm vụ quản trị dễ dàng và rõ ràng hơn đối với tất cả các hoạt động quản lý người dùng trong bối cảnh hệ thống phức tạp.
Quản trị viên Người dùng Trung tâm cho phép bạn tiết kiệm tiền và tài nguyên trong việc quản lý những người dùng tương tự trong một bối cảnh hệ thống.
Trao đổi dữ liệu được thực hiện bằng cách sử dụng ALE cảnh quan được gọi là Application Link Enablingcho phép trao đổi dữ liệu theo cách có kiểm soát. ALE được Quản trị viên Người dùng Trung tâm sử dụng để trao đổi dữ liệu với các hệ thống con trong bối cảnh hệ thống SAP.
Trong môi trường cảnh quan phức tạp, bạn xác định một hệ thống là Hệ thống trung tâm với môi trường ALE và hệ thống này được liên kết với tất cả các hệ thống con bằng cách sử dụng trao đổi dữ liệu hai chiều. Hệ thống con trong cảnh quan không được kết nối với nhau.
Để triển khai Quản trị người dùng trung tâm, cần xem xét các điểm sau:
Bạn cần một môi trường SAP với nhiều máy khách trong một môi trường phân tán / đơn lẻ.
Quản trị viên để quản lý người dùng, cần ủy quyền đối với các Mã giao dịch sau -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Bạn nên tạo mối quan hệ tin cậy-tin cậy giữa các hệ thống.
Bạn nên tạo người dùng hệ thống trong hệ thống trung tâm và hệ thống con.
Tạo Hệ thống lôgic và gán hệ thống lôgic cho máy khách tương ứng.
Tạo chế độ xem mô hình và BAPI để xem mô hình.
Tạo Quản trị viên Người dùng Trung tâm và đặt các thông số phân phối cho các trường.
Đồng bộ hóa địa chỉ công ty
Chuyển người dùng
Trong môi trường được quản lý tập trung, trước tiên bạn cần tạo Quản trị viên. Đăng nhập vào tất cả các hệ thống logic của CUA trong tương lai với tư cách là người dùng SAP * với mật khẩu mặc định là PASS.
Chạy giao dịch SU01 và tạo một người dùng với vai trò quản trị viên được chỉ định cho nó.
Để xác định một hệ thống logic, hãy sử dụng Giao dịch BD54. Nhấp vào Mục nhập mới để tạo một hệ thống logic mới.
Tạo một tên hợp lý mới bằng chữ in hoa cho Quản trị Người dùng Trung tâm cho các hệ thống trung tâm và tất cả các hệ thống con, bao gồm cả các tên từ Hệ thống SAP khác.
Để dễ dàng xác định hệ thống, bạn có quy ước đặt tên sau có thể được sử dụng để xác định hệ thống Quản trị Người dùng Trung tâm:
<System ID>CLNT<Client>
Nhập một số mô tả hữu ích về một hệ thống logic. Lưu mục nhập của bạn bằng cách nhấp vàoSavecái nút. Tiếp theo là tạo tên hệ thống logic cho hệ thống trung tâm trong tất cả các hệ thống con.
Để chỉ định hệ thống lôgic cho khách hàng, hãy sử dụng Giao dịch SCC4 và chuyển sang Chế độ thay đổi.
Mở ứng dụng khách mà bạn muốn gán cho hệ thống logic bằng cách nhấp đúp hoặc nhấp vào Detailscái nút. Một máy khách chỉ có thể được gán cho một hệ thống logic.
Trong trường hệ thống logic trong chi tiết máy khách, hãy nhập tên hệ thống logic mà bạn muốn gán máy khách này.
Thực hiện các bước trên cho tất cả các máy khách trong môi trường SAP mà bạn muốn đưa vào Quản trị viên Người dùng Trung tâm. Để lưu cài đặt của bạn, hãy nhấp vàoSave ở trên cùng.
Bảo vệ cấu hình cụ thể trong SAP
Để duy trì bảo mật trong hệ thống SAP, bạn cần duy trì các cấu hình cụ thể có chứa ủy quyền quan trọng. Có nhiều cấu hình ủy quyền SAP khác nhau mà bạn cần bảo vệ trong hệ thống SAP có ủy quyền đầy đủ.
Một số cấu hình cần được bảo vệ trong hệ thống SAP là:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Hồ sơ ủy quyền SAP_ALL
Hồ sơ ủy quyền SAP_ALL cho phép người dùng thực hiện tất cả các tác vụ trong hệ thống SAP. Đây là cấu hình tổng hợp chứa tất cả các ủy quyền trong hệ thống SAP. Người dùng có quyền này có thể thực hiện tất cả các hoạt động trong hệ thống SAP, vì vậy hồ sơ này không nên được gán cho bất kỳ người dùng nào trong hệ thống của bạn.
Khuyến nghị rằng một người dùng duy nhất nên được duy trì với một hồ sơ. Mặc dù mật khẩu nên được bảo vệ tốt cho người dùng đó và nó chỉ nên được sử dụng khi được yêu cầu.
Thay vì chỉ định ủy quyền SAP_ALL, bạn nên chỉ định từng ủy quyền cho người dùng thích hợp. Hệ thống của bạn Superuser / System Administration, thay vì chỉ định ủy quyền SAP_ALL cho họ, bạn nên sử dụng các ủy quyền riêng lẻ được yêu cầu.
Ủy quyền SAP_NEW
Ủy quyền SAP_NEW chứa tất cả các quyền được yêu cầu trong một bản phát hành mới. Khi nâng cấp hệ thống xong, cấu hình này được sử dụng để một số tác vụ được chạy đúng cách.
Bạn nên nhớ những điểm sau về ủy quyền này -
Khi nâng cấp hệ thống được thực hiện, bạn cần xóa cấu hình SAP_NEW cho các bản phát hành trước đó.
Bạn cần chỉ định các ủy quyền riêng biệt trong hồ sơ SAP_NEW cho những người dùng khác nhau trong môi trường của bạn.
Hồ sơ này không nên được duy trì hoạt động quá lâu.
Khi bạn có một danh sách dài các cấu hình SAP_NEW trong môi trường, điều đó cho thấy bạn cần xem lại chính sách ủy quyền của mình trong hệ thống.
Để xem danh sách tất cả các cấu hình SAP_NEW, bạn nên chọn cấu hình này bằng cách nhấp đúp và sau đó → đi tới Choose.
Ủy quyền P_BAS_ALL
Quyền này cho phép người dùng xem nội dung của bảng từ các ứng dụng khác. Ủy quyền này chứaP_TABU_DISủy quyền. Sự ủy quyền này cho phép người dùng PA xem nội dung bảng không thuộc nhóm của họ.
Bảo trì vai trò PFCG
Bảo trì vai trò PFCG có thể được sử dụng để quản lý các vai trò và ủy quyền trong hệ thống SAP. Trong PFCG, vai trò đại diện cho công việc mà một người thực hiện liên quan đến các tình huống thực tế. PFCG cho phép bạn xác định tập hợp các giao dịch có thể được giao cho một người để thực hiện công việc hàng ngày của họ.
Khi các vai trò được tạo trong Giao dịch PFCG, bạn có thể sử dụng Giao dịch SU01để gán những vai trò này cho người dùng cá nhân. Người dùng trong hệ thống SAP có thể được chỉ định nhiều vai trò và có liên quan đến công việc hàng ngày của họ trong đời thực.
Những vai trò này có liên quan giữa người dùng và các ủy quyền trong hệ thống SAP. Các ủy quyền và hồ sơ thực tế được lưu trữ dưới dạng các đối tượng trong hệ thống SAP.
Sử dụng PFCG Role Maintenance, bạn có thể thực hiện các chức năng sau:
- Thay đổi và chỉ định vai trò
- Tạo vai trò
- Tạo vai trò tổng hợp
- Vận chuyển và phân phối vai trò
Bây giờ chúng ta hãy thảo luận chi tiết về các chức năng này.
Thay đổi và chỉ định vai trò
Chạy giao dịch: PFCG
Nó sẽ đưa bạn đến cửa sổ bảo trì vai trò. Để thay đổi vai trò hiện có, hãy nhập tên vai trò đã phân phối vào trường.
Sao chép vai trò tiêu chuẩn bằng cách nhấp vào nút Sao chép vai trò. Nhập tên từ không gian tên. Nhấp vào nút chọn giá trị và chọn vai trò mà bạn muốn sao chép nó.
Bạn cũng có thể chọn các vai trò được giao bởi SAP bắt đầu với SAP_, nhưng sau đó các vai trò mặc định sẽ bị ghi đè.
Để thay đổi vai trò, hãy nhấp vào Change trong Bảo trì vai trò.
Điều hướng đến tab Menu để thay đổi menu người dùng trên trang tab Menu. Chuyển đến tab Ủy quyền để thay đổi dữ liệu Ủy quyền cho người dùng đó.
Bạn cũng có thể sử dụng Chế độ chuyên gia để điều chỉnh quyền cho các thay đổi menu trong Ủy quyền. Nhấp vào nút Tạo để tạo hồ sơ cho vai trò này.
Để chỉ định người dùng cho vai trò này, hãy chuyển đến tab Người dùng trong tùy chọn Thay đổi vai trò. Để gán một người dùng cho vai trò này, nó phải tồn tại trong hệ thống.
Bạn cũng có thể thực hiện So sánh người dùng nếu được yêu cầu. Nhấp vào tùy chọn So sánh người dùng. Bạn cũng có thể nhấp vào nút Thông tin để biết thêm về các vai trò Đơn lẻ và Kết hợp và tùy chọn So sánh Người dùng để so sánh các bản ghi chính.
Tạo vai trò trong PFCG
Bạn có thể tạo cả vai trò đơn lẻ và vai trò tổng hợp trong PFCG. Nhập tên vai trò và nhấp vào Tạo vai trò đơn lẻ hoặc tổng hợp như thể hiện trong ảnh chụp màn hình bên dưới.
Bạn có thể chọn từ không gian tên Khách hàng như Y_ hoặc Z_. Các vai trò được phân phối SAP bắt đầu bằng SAP_ và bạn không thể lấy tên từ các vai trò được phân phối SAP.
Khi bạn nhấp vào nút Tạo vai trò, bạn nên thêm Giao dịch, Báo cáo và Địa chỉ web trong tab MENU trong định nghĩa vai trò.
Điều hướng đến tab Ủy quyền để tạo Hồ sơ, nhấp vào tùy chọn Thay đổi dữ liệu Ủy quyền.
Theo lựa chọn hoạt động của bạn, bạn được nhắc nhập các cấp độ tổ chức. Khi bạn nhập một giá trị cụ thể vào hộp thoại, các trường ủy quyền chết của vai trò sẽ được duy trì tự động.
Bạn có thể điều chỉnh tham chiếu cho các vai trò. Sau khi xác định xong vai trò, bạn cần tạo vai trò. Nhấp vào Tạo (Shift + F5).
Trong cấu trúc này, khi bạn nhìn thấy đèn giao thông màu đỏ, nó sẽ hiển thị các cấp tổ chức không có giá trị. Bạn có thể nhập và thay đổi cấp độ tổ chức với Cấp độ tổ chức bên cạnh tab Được duy trì.
Nhập tên Hồ sơ và nhấp vào tùy chọn đánh dấu để hoàn thành bước Tạo.
Bấm vào Saveđể lưu hồ sơ. Bạn có thể chỉ định trực tiếp vai trò này cho người dùng bằng cách chuyển đến tab Người dùng. Theo cách tương tự, bạn có thể tạo các vai trò Tổng hợp bằng cách sử dụng Tùy chọn duy trì vai trò PFCG.
Vận chuyển và phân phối vai trò
Chạy Giao dịch - PFCG và nhập tên vai trò mà bạn muốn vận chuyển và nhấp vào Vai trò vận chuyển.
Bạn sẽ đạt đến tùy chọn vận chuyển vai trò. Bạn có nhiều tùy chọn trong các Vai trò vận chuyển -
- Vận chuyển các vai trò đơn lẻ cho các vai trò tổng hợp.
- Vận chuyển các cấu hình đã tạo cho các vai trò.
- Dữ liệu cá nhân hóa.
Trong hộp thoại tiếp theo, bạn nên đề cập đến việc chỉ định người dùng và dữ liệu cá nhân hóa cũng phải được vận chuyển. Nếu các nhiệm vụ của người dùng cũng được vận chuyển, chúng sẽ thay thế toàn bộ việc chỉ định vai trò của người dùng trong hệ thống đích.
Để khóa hệ thống để không thể nhập các nhiệm vụ của người dùng về vai trò, hãy nhập hệ thống đó vào bảng Tùy chỉnh PRGN_CUST sử dụng giao dịch SM30 và chọn trường giá trị USER_REL_IMPORT number.
Vai trò này được nhập vào yêu cầu tùy chỉnh. Bạn có thể xem điều này bằng Giao dịchSE10.
Trong Yêu cầu tùy chỉnh, hồ sơ ủy quyền được vận chuyển cùng với các vai trò.
Giao dịch hệ thống thông tin ủy quyền - SUIM
Trong Quản lý Ủy quyền, SUIM là một công cụ chính mà bạn có thể tìm thấy hồ sơ người dùng trong hệ thống SAP và cũng có thể gán các hồ sơ đó cho User ID đó. SUIM cung cấp màn hình ban đầu cung cấp các tùy chọn để Tìm kiếm người dùng, Vai trò, Hồ sơ, Ủy quyền, Giao dịch và So sánh.
Để mở Hệ thống Thông tin Người dùng, Chạy Giao dịch: SUIM.
Trong Hệ thống thông tin người dùng, bạn có các nút khác nhau có thể được sử dụng để thực hiện các chức năng khác nhau trong hệ thống SAP. Giống như trong nút Người dùng, bạn có thể thực hiện tìm kiếm người dùng dựa trên tiêu chí lựa chọn. Bạn có thể lấy danh sách người dùng bị khóa, người dùng có quyền truy cập vào một nhóm giao dịch cụ thể, v.v.
Khi bạn mở rộng từng tab, bạn có tùy chọn để tạo các báo cáo khác nhau dựa trên các tiêu chí lựa chọn khác nhau. Giống như khi bạn mở rộng tab người dùng, bạn có các tùy chọn sau:
Khi bạn nhấp vào người dùng theo các tiêu chí lựa chọn phức tạp, bạn có thể áp dụng đồng thời nhiều điều kiện lựa chọn. Ảnh chụp màn hình sau đây cho bạn thấy các tiêu chí lựa chọn khác nhau.
Nút vai trò
Theo cách tương tự, bạn có thể truy cập các nút khác nhau như Vai trò, Hồ sơ, Ủy quyền và nhiều tùy chọn khác trong hệ thống thông tin người dùng này.
Bạn cũng có thể sử dụng công cụ SUIM để tìm kiếm vai trò và hồ sơ. Bạn có thể chỉ định danh sách các giao dịch cho một nhóm ID người dùng cụ thể, bằng cách thực hiện tìm kiếm theo giao dịch và chỉ định trong SUIM và gán các vai trò đó cho ID người dùng đó.
Sử dụng hệ thống Thông tin Người dùng, bạn có thể thực hiện các tìm kiếm khác nhau trong hệ thống SAP. Bạn có thể nhập các tiêu chí lựa chọn khác nhau và lấy các báo cáo dựa trên Người dùng, Tiểu sử, vai trò, Giao dịch và nhiều tiêu chí khác.
RSUSR002 - Người dùng theo Tiêu chí lựa chọn phức tạp.
Bạn cần thực hiện các biện pháp bảo mật khác nhau khi sử dụng Thuộc tính, Tệp hoặc Dịch vụ Unix nhất định, Bảo vệ Tệp Mật khẩu và Hủy kích hoạt Dịch vụ Từ xa BSD cho rlogin và remsh.
Mật khẩu bảo vệ
Trong nền tảng Unix, kẻ tấn công có thể sử dụng chương trình tấn công từ điển để khám phá thông tin mật khẩu được lưu trữ trong Hệ điều hành Unix. Bạn có thể lưu trữ mật khẩu trong một tệp mật khẩu ẩn và chỉ người dùng root mới có quyền truy cập vào tệp này để cải thiện tính bảo mật trong hệ thống.
Hủy kích hoạt các dịch vụ từ xa
Các dịch vụ BSD Remote cho phép truy cập từ xa vào hệ thống Unix. Khi một kết nối từ xa được bắt đầu/etc/host.equiv và $HOME/.rhosts được sử dụng và trong trường hợp các tệp này chứa thông tin về tên máy chủ và địa chỉ IP của nguồn kết nối hoặc bất kỳ ký tự đại diện nào thì không cần nhập mật khẩu khi đăng nhập.
Các dịch vụ từ xa rlogin và remsh là mối đe dọa bảo mật trong trường hợp này và bạn cần phải hủy kích hoạt các dịch vụ này. Bạn có thể hủy kích hoạt các dịch vụ này bằng cách truy cậpinetd.conf trong hệ thống Unix.
Trong hệ thống Unix, rlogin là một trình khách shell từ xa (như SSH), được thiết kế để nhanh và nhỏ. Nó không được mã hóa, có thể có một số nhược điểm nhỏ trong môi trường bảo mật cao, nhưng nó có thể hoạt động ở tốc độ rất cao. Cả máy chủ và máy khách đều không sử dụng nhiều bộ nhớ.
Bảo mật Hệ thống Tệp Mạng trong UNIX
Trong nền tảng UNIX, Hệ thống Tệp Mạng được sử dụng để truy cập các thư mục truyền tải và công việc qua mạng từ hệ thống SAP. Để truy cập thư mục công việc, quá trình xác thực liên quan đến địa chỉ mạng. Những kẻ tấn công có thể có được quyền truy cập trái phép vào Hệ thống tệp mạng bằng cách sử dụng giả mạo IP.
Để đảm bảo an toàn cho hệ thống, bạn không nên phân phối thư mục chính qua Hệ thống Tệp Mạng và việc cấp quyền ghi cho các thư mục này phải được chỉ định cẩn thận.
Quyền truy cập thư mục hệ thống SAP cho Hệ thống SAP trong UNIX
Bạn nên đặt các quyền truy cập sau cho Thư mục Hệ thống SAP trong UNIX -
Thư mục SAP | Đặc quyền truy cập dạng bát phân | Chủ nhân | Nhóm |
---|---|---|---|
/ sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
/ sapmnt / <SID> / exe / saposcol | 4755 | nguồn gốc | sapsys |
/ sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
/ sapmnt / <SID> / hồ sơ | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> | 751 | <sid> adm | sapsys |
/ usr / sap / <SID> / <ID phiên bản> | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instance ID> / * | 750 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instance ID> / giây | 700 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
/ usr / sap / trans | 775 | <sid> adm | sapsys |
/ usr / sap / trans / * | 770 | <sid> adm | sapsys |
/usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
<thư mục chính của <sid> adm> | 700 | <sid> adm | sapsys |
<thư mục chính của <sid> adm> / * | 700 | <sid> adm | sapsys |
Bạn cần tạo những người dùng và nhóm khác nhau trong Nền tảng Windows để chạy hệ thống SAP của mình một cách an toàn. Để dễ dàng thực hiện nhiệm vụ quản lý người dùng, bạn nên thêm tất cả người dùng WIN NT vào nhóm người dùng có quyền truy cập chính xác ở cấp hệ điều hành. Trong Hệ điều hành Window, có các cấp nhóm khác nhau -
- Nhóm toàn cầu
- Nhóm địa phương
Nhóm toàn cầu
Nhóm toàn cầu trong WIN có sẵn ở cấp miền và có thể được sử dụng để chỉ định người dùng từ nhiều máy chủ. Nhóm toàn cầu có sẵn cho tất cả các máy chủ trong một miền.
Bạn có thể chọn tên của Global Groups tùy theo sự thuận tiện của bạn. Tuy nhiên, nên sử dụng các quy ước đặt tên theoSAP R/3 System Installation, là Nhóm Toàn cầu tiêu chuẩn dành cho Quản trị viên Hệ thống SAP và nó được định nghĩa là SAP_<SID>_GlobalAdmin.
Trong Nền tảng Cửa sổ, có nhiều Nhóm Toàn cầu thường được tạo khác nhau có thể được sử dụng để chạy Hệ thống SAP -
SAPadmin - Nhóm này chứa danh sách tất cả các Quản trị viên Hệ thống SAP.
SAPusers - Nhóm này chứa danh sách tất cả Người dùng ứng dụng SAP.
SAPservices - Nhóm này chứa danh sách tất cả các Chương trình Hệ thống SAP.
Domain Admin - Nhóm này chứa danh sách tất cả các quản trị viên từ tất cả các miền.
Nhóm địa phương
Nhóm cục bộ trong Nền tảng Windows được giới hạn ở một máy chủ trong miền. Trong quá trình cài đặt, quyền được chỉ định cho người dùng cá nhân chứ không phải nhóm. Tuy nhiên, bạn nên chỉ định quyền truy cập cho các nhóm cục bộ thay vì người dùng đơn lẻ.
Nhóm cục bộ được sử dụng để tăng tính bảo mật của môi trường Windows trong các miền được chia sẻ. Bạn có thể chỉ định thêm người dùng toàn cầu và nhóm toàn cầu cho một nhóm cục bộ. Bạn có thể tạo một nhóm cục bộ với bất kỳ tên nào, nhưng bạn nên sử dụng tên nhóm cục bộ là:SAP_<SID>_LocalAdmin.
Bạn có thể xác định các mối quan hệ khác nhau giữa người dùng, nhóm cục bộ và nhóm toàn cầu -
- Một người dùng duy nhất có thể là một phần của nhóm toàn cầu và nhóm cục bộ.
- Bạn cũng có thể bao gồm một nhóm toàn cầu vào một nhóm cục bộ.
Người dùng tiêu chuẩn trong nền tảng Windows
Khi bạn chạy hệ thống SAP trên nền tảng Windows, có những người dùng tiêu chuẩn cần được quản lý cẩn thận. Sau đây là một số người dùng tiêu chuẩn trong Windows:
Window NT User -
Administrator - Tài khoản quản trị viên có quyền truy cập vào tất cả các tài nguyên.
Guest - Chỉ khách truy cập vào tất cả các tài nguyên trong hệ thống.
SAP System User -
<SID>ADM SAP - Quản trị viên Hệ thống có toàn quyền truy cập vào tất cả các tài nguyên SAP.
SAPService<SID> - Người dùng đặc biệt chịu trách nhiệm chạy các dịch vụ SAP.
Database Users -
<DBService> - Để chạy các dịch vụ cơ sở dữ liệu cụ thể trong nền tảng Window.
<DBuser> - Người sử dụng cơ sở dữ liệu để thực hiện các hoạt động DB chung.
Ngoài ra, lưu ý rằng người dùng Quản trị viên và Khách được tạo trong quá trình cài đặt và được sử dụng để thực hiện các tác vụ cụ thể của Window. Tất cả những người dùng này phải được bảo vệ trong nền tảng Window.
Điều quan trọng và cần thiết để bảo vệ người dùng cơ sở dữ liệu của bạn trong hệ thống SAP. Cơ sở dữ liệu có thể là cơ sở dữ liệu Oracle, SQL Server hoặc Cơ sở dữ liệu MYSQL. Bạn cần bảo vệ người dùng tiêu chuẩn khỏi các cơ sở dữ liệu này. Mật khẩu phải được bảo vệ cho người dùng tiêu chuẩn và chúng nên được thay đổi thường xuyên.
Người dùng tiêu chuẩn của Oracle
Bảng sau đây hiển thị danh sách người dùng tiêu chuẩn trong môi trường Windows. Mật khẩu nên được duy trì cho tất cả những người dùng này.
Tên tài khoản | Kiểu | Phương pháp thay đổi mật khẩu |
---|---|---|
<SID> QUẢNG CÁO | Người dùng hệ điều hành | Cơ chế OPS $ |
SAPServic <SID> | Người dùng hệ điều hành | Cơ chế OPS $ |
SYS (nội bộ) | Người dùng hệ điều hành | SAPDBA |
HỆ THỐNG | Người dùng hệ điều hành | SAPDBA |
SAPR3 | Người dùng hệ điều hành | SAPDBA |
Cách tạo người dùng OPS $ cho <SID> ADM?
Để tạo người dùng OPS $, bạn cần đăng nhập bằng ADM <SID>. Trước tiên, bạn nên dừng Hệ thống SAP nếu nó đang chạy và sau đó thực hiện lệnh dưới đây.
Create user OPS$<adm_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
<adm_user> đây là -
<SID> ADM cho các bản phát hành Oracle cũ hơn
<domain_name> \ <SID> ADM bản phát hành mới nhất
Sau đó, bạn nên làm theo các bước dưới đây -
Cấp kết nối, tài nguyên cho OPS $ <adm_user & gtl;
Kết nối /
Tạo bảng SAPUSER (USERID Varchar (20), PASSWD VARCHAR2 (20));
Chèn vào các giá trị SAPUSER ('SAPR3', '<mật khẩu>);
Kết nối nội bộ
Người dùng thay thế SAPR3 được xác định bởi <password>;
Theo cách tương tự, bạn có thể tạo OPS$ cho SAPService<SID>. Trong lệnh sau, bạn nên sử dụng SAP_service_user thay vì adm_user.
Create user OPS$<SAP_service_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
Đây <SAP_service_user> là -
SAPService <SID> cho các bản phát hành Oracle cũ hơn
<domain_name> \ SAPservice <SID> cho các bản phát hành mới nhất
Quản lý mật khẩu cho người dùng DB
Cần phải quản lý mật khẩu cho người dùng tiêu chuẩn trong cơ sở dữ liệu của bạn. Có nhiều tiện ích khác nhau mà bạn có thể sử dụng để thay đổi mật khẩu.
Làm thế nào để thay đổi mật khẩu cho người dùng DBA bằng SAPDBA?
Mật khẩu có thể được thay đổi cho người dùng DBA bằng dòng lệnh hoặc GUI. Để thay đổi mật khẩu bằng dòng lệnh, bạn nên sử dụng lệnh sau:
Sapdba [-u <user1>/<user1_password>] –user2 <user2_password>
Trong lệnh trên, user1 là người dùng cơ sở dữ liệu mà SAPDBA sử dụng để đăng nhập vào cơ sở dữ liệu.
<user1_password> là mật khẩu cho mật khẩu của user1.
<user2> hiển thị người dùng cơ sở dữ liệu mà mật khẩu sẽ được thay đổi.
<user2_password> là mật khẩu mới cho cùng một người dùng.
Trong trường hợp bạn muốn đăng nhập bằng tên người dùng “HỆ THỐNG” với mật khẩu mặc định, bạn có thể bỏ qua –u từ lệnh.
Sapdba –u system/<system_password>] –sapr3 <sapr3_password>
Làm thế nào để thay đổi mật khẩu cho SAPR3 bằng SVRMGRL?
SVRMGRL là một tiện ích cũ được cung cấp cùng với các bản phát hành trước của Oracle và đã được sử dụng để thực hiện các chức năng cơ sở dữ liệu được đề cập bên dưới. Trong các phiên bản mới nhất, các lệnh Server Manager hiện có sẵn trongSQL*Plus.
- Tạo cơ sở dữ liệu
- Khởi động và tắt Cơ sở dữ liệu
- Khôi phục cơ sở dữ liệu
- Quản lý mật khẩu
Để thay đổi mật khẩu, bạn nên làm theo các bước dưới đây:
- Khởi động SVRMGRL.
- Kết nối với cơ sở dữ liệu bằng lệnh kết nối nội bộ.
- SVRMGR> kết nối nội bộ.
- Connected.
Bước tiếp theo là cập nhật bảng SAPUSER bằng cách nhập lệnh dưới đây:
Update OPS$ <SID>ADM.SAPUSER set PASSWD = ’<new_password>’ where USERID = ’SAPR3’;
Bạn nên cập nhật mật khẩu cho SAPR3 trong cơ sở dữ liệu bằng dòng lệnh.
Người dùng thay thế sapr3 được xác định bởi <new_password>
Single Sign-On (SSO)là một trong những khái niệm chính cho phép bạn đăng nhập vào một hệ thống và bạn có thể truy cập nhiều hệ thống trong phần phụ trợ. SSO cho phép người dùng truy cập tài nguyên phần mềm trên các hệ thống SAP ở back-end.
Các SSO with NetWeavernền tảng cung cấp xác thực người dùng và giúp quản trị viên hệ thống quản lý tải của người dùng trong Cảnh quan hệ thống SAP phức tạp. Cấu hình SSO đơn giản hóa quy trình cách người dùng đăng nhập vào hệ thống SAP và ứng dụng trong khung cảnh bằng cách tăng cường các biện pháp bảo mật và giảm các tác vụ quản lý mật khẩu cho nhiều hệ thống.
SSO giúp tổ chức giảm chi phí hoạt động bằng cách giảm số lượng cuộc gọi đến Bộ phận dịch vụ liên quan đến vấn đề mật khẩu và do đó tăng năng suất của người dùng doanh nghiệp. Cơ chế tích hợp SAP NetWeaver cho phép bạn dễ dàng tích hợp hệ thống SAP NetWeaver của mình trong khái niệm SSO và cung cấp khả năng truy cập dễ dàng vào các hệ thống phụ trợ trong Môi trường cảnh quan hệ thống SAP.
Khái niệm đăng nhập một lần SAP
Đăng nhập Một lần có thể được định cấu hình với MySAP Workplace cho phép người dùng đăng nhập vào mySAP Workplace hàng ngày và họ có thể truy cập các ứng dụng mà không cần nhập lại tên người dùng và mật khẩu của mình.
Bạn có thể định cấu hình SSO với mySAP Workplace bằng cách sử dụng các phương pháp xác thực sau:
- Tên người dùng và mật khẩu
- Vé đăng nhập SAP
- Chứng chỉ khách hàng X.509
Tích hợp trong Đăng nhập một lần
SSO với nền tảng NetWeaver cung cấp xác thực người dùng và giúp quản trị viên hệ thống quản lý tải của người dùng trong bối cảnh hệ thống SAP phức tạp. Cấu hình SSO đơn giản hóa quy trình cách người dùng đăng nhập vào các hệ thống và ứng dụng SAP bằng cách tăng cường các biện pháp bảo mật và giảm các tác vụ quản lý mật khẩu cho nhiều hệ thống.
Sử dụng SAP NetWeaver cho phép bạn định cấu hình các cơ chế khác nhau mà người dùng được ủy quyền sử dụng để truy cập Hệ thống NetWeaver bằng phương pháp SSO. Cơ chế đăng nhập vào hệ thống phụ thuộc vào công nghệ của hệ thống SAP NetWeaver và các kênh truyền thông khác nhau được sử dụng để truy cập các hệ thống đó.
Định cấu hình Đăng nhập một lần trong SAP GUI
Để định cấu hình Đăng nhập một lần, bạn cần có quyền truy cập vào các mã T sau:
- RZ10
- STRUST
Sau khi có các mã T này, bạn nên làm theo các bước được cung cấp bên dưới -
Step 1 - Đăng nhập vào bất kỳ Hệ thống SAP ECC nào bằng SAP GUI, đi tới T-code RZ10.
Step 2 - Chọn cấu hình Mặc định và Bảo trì mở rộng sau đó.
Step 3 - Nhấp vào Thay đổi và bạn sẽ thấy danh sách các thông số của hồ sơ.
Step 4 - Thay đổi các thông số cấu hình sau -
- login / create_sso2_ticket = 1
- login / accept_sso2_ticket = 1
Step 5- Lưu và Kích hoạt hồ sơ. Nó sẽ tạo ra một hồ sơ mới.
Step 6 - Xuất khẩu R3SSO chứng chỉ từ Trust Manager, chuyển đến giao dịch STRUST.
Step 7- Bấm đúp vào hộp văn bản ở bên phải Chứng chỉ riêng. Thông tin chứng chỉ được hiển thị. Ghi lại các giá trị của chứng chỉ này khi bạn cần nhập các giá trị.
Step 8 - Nhấp vào Biểu tượng Giấy chứng nhận xuất khẩu.
Step 9 - Lưu tệp dưới dạng <R3_Name> - <Client> .crt.
Example - EBS-300.crt
Step 10 - Nháy vào ô tích để tạo tệp trong thư mục mẹ.
Step 11 - Nhập khẩu R3 SSO chứng chỉ cho công cụ Java bằng công cụ quản trị viên.
Note - Đảm bảo rằng công cụ Java đã được khởi động.
Step 12 - Mở công cụ Quản trị Java.
Step 13 - Nhập mật khẩu Quản trị viên Java Engine và nhấp vào Kết nối.
Step 14 - Chọn Máy chủ → Khóa dịch vụ → Bộ nhớ.
Step 15 - Nhấp vào Kho chìa khóa vé trong bảng Xem.
Step 16- Bấm vào Nạp ở ô Nhập nhóm. Chọn tệp .crt mà bạn đã xuất ở bước trước.
Step 17 - Định cấu hình dịch vụ Nhà cung cấp Bảo mật trong công cụ Java SAP bằng công cụ Quản trị viên.
Step 18 - Chọn Nhà cung cấp Bảo mật Dịch vụ Máy chủ.
Step 19 - Chọn vé trong bảng Thành phần và chuyển đến tab Xác thực.
Step 20 - Sửa đổi các tùy chọn của Đánh giá Mô-đun Đăng nhập Vé và thêm các thuộc tính sau vào từng hệ thống phụ trợ mà bạn muốn định cấu hình SSO.
Đăng nhập một lần để truy cập dựa trên web
Bạn có thể cấu hình một số tùy chọn với SSO để truy cập hệ thống SAP NetWeaver. Bạn cũng có thể truy cập Hệ thống SAP NetWeaver qua trình duyệt web hoặc từ một số ứng dụng khách web khác. Sử dụng SSO, người dùng có thể truy cập hệ thống phụ trợ và các thông tin bảo mật khác nằm trong mạng công ty.
SSO cho phép bạn sử dụng một số phương pháp xác thực bảo mật để tích hợp quyền truy cập của người dùng dựa trên web trên máy chủ Ứng dụng NetWeaver. Bạn cũng có thể thực hiện các phương pháp bảo mật truyền thông mạng khác nhau như Cryptography để gửi thông tin qua mạng.
Các phương pháp xác thực sau có thể được định cấu hình bằng SSO để truy cập dữ liệu qua máy chủ Ứng dụng -
- Sử dụng ID người dùng và xác thực mật khẩu
- Sử dụng vé đăng nhập
- Sử dụng chứng chỉ ứng dụng khách X.509
- Sử dụng Phần mềm Trình duyệt SAML
- Sử dụng SAML 2.0
- Sử dụng Xác thực Kerberos
Trong khi truy cập dữ liệu qua internet, bạn cũng có thể sử dụng cơ chế bảo mật trong Lớp Mạng và Lớp Truyền tải.
Bạn có thể định cấu hình vé đăng nhập SAP được ký điện tử để cấu hình với Đăng nhập một lần để truy cập các ứng dụng tích hợp trong môi trường SAP. Bạn có thể cấu hình một cổng thông tin để cấp vé đăng nhập SAP cho người dùng và người dùng cần xác thực hệ thống này để truy cập ban đầu. Khi vé đăng nhập SAP được cấp cho người dùng, chúng sẽ được lưu trong trình duyệt web và cho phép người dùng đăng nhập vào các hệ thống khác nhau bằng SSO.
Trong máy chủ ứng dụng ABAP, có hai loại vé đăng nhập khác nhau có thể được định cấu hình -
Logon Tickets - Các vé này cho phép truy cập dựa trên web bằng phương pháp SSO.
Authentication Assertion Tickets - Các vé này được sử dụng để giao tiếp giữa hệ thống với hệ thống.
Để cấu hình vé đăng nhập SAP, các thông số sau phải được đặt trong hồ sơ Người dùng.
login / accept_sso2_ticket
Bạn có thể sử dụng vé Đăng nhập một lần (SSO) để cho phép SSO giữa các hệ thống SAP và thậm chí xa hơn các hệ thống không phải SAP. Vé SSO có thể là vé đăng nhập hoặc vé xác nhận. Vé đăng nhập được chuyển dưới dạng cookie với tênMYSAPSSO2. Phiếu xác nhận được chuyển dưới dạng một biến tiêu đề HTTP với tên MYSAPSSO2.
Note- Điều này yêu cầu các bước cấu hình bổ sung để phát hành và chấp nhận hệ thống. Hệ thống thành phần SSO phải cho phép đăng nhập bằng vé SSO (login / accept_sso2_ticket = 1).
Nếu chỉ quy trình (chứng chỉ ứng dụng X.509) được sử dụng cho Đăng nhập một lần hoặc nếu bạn không muốn sử dụng Đăng nhập một lần cho hệ thống này, bạn có thể hủy kích hoạt đăng nhập này bằng phiếu SSO (login / accept_sso2_ticket = 0).
Để đặt thông số, hãy sử dụng Giao dịch RZ11
Values allowed - 0/1
đăng nhập / create_sso2_ticket
Bạn có thể sử dụng vé Đăng nhập một lần (SSO) để cho phép SSO giữa các hệ thống SAP và thậm chí xa hơn đối với các hệ thống không phải SAP. Vé SSO có thể là vé đăng nhập hoặc vé xác nhận. Vé đăng nhập được chuyển dưới dạng cookie với tên MYSAPSSO2. Phiếu xác nhận được chuyển dưới dạng một biến tiêu đề HTTP với tên MYSAPSSO2.
Note - Điều này yêu cầu các bước cấu hình bổ sung để phát hành và chấp nhận hệ thống.
Hệ thống phát hành phải cho phép tạo vé SSO -
login / create_sso2_ticket = 1: SSO vé bao gồm chứng chỉ
login / create_sso2_ticket = 2: SSO ticket không có chứng chỉ
login / create_sso2_ticket = 3: Chỉ tạo phiếu xác nhận
Values allowed- 0/1/2/3
đăng nhập / ticket_expiration_time
Để có thể Đăng nhập một lần (SSO) khi sử dụng MySAP.com Workplace, bạn có thể sử dụng vé SSO. Khi tạo vé SSO, bạn có thể đặt thời hạn hiệu lực. Khi điều này đã hết hạn, thẻ SSO không thể được sử dụng nữa để đăng nhập vào các hệ thống thành phần tại nơi làm việc. Sau đó, người dùng cần đăng nhập lại vào máy chủ nơi làm việc để có được một phiếu SSO mới.
Values allowed - <Giờ> [: <Phút>]
Nếu giá trị được nhập không chính xác, giá trị mặc định được sử dụng (8 giờ).
Các giá trị chính xác sẽ như hình dưới đây -
- 24 → 24 giờ
- 1:30 → 1 giờ, 30 phút
- 0:05 → 5 phút
Các giá trị không chính xác sẽ như sau:
- 40 (0:40 sẽ đúng)
- 0:60 (1 đúng)
- 10: 000 (10 sẽ đúng)
- 24: (24 sẽ đúng)
- 1:A3
X.509 Chứng chỉ Khách hàng
Sử dụng phương pháp SSO, bạn có thể sử dụng chứng chỉ máy khách X.509 để xác thực Máy chủ ứng dụng NetWeaver. Chứng chỉ ứng dụng khách sử dụng các phương pháp mật mã rất mạnh để bảo mật quyền truy cập của người dùng vào máy chủ Ứng dụng NetWeaver, vì vậy Máy chủ ứng dụng NetWeaver của bạn phải được kích hoạt bằng các kỹ thuật mật mã mạnh.
Bạn nên định cấu hình SSL trên các máy chủ ứng dụng SAP NetWeaver của mình vì quá trình xác thực xảy ra bằng giao thức SSL mà không cần nhập bất kỳ tên người dùng và mật khẩu nào. Để sử dụng giao thức SSL, nó yêu cầu kết nối HTTPS để giao tiếp giữa trình duyệt Web và Máy chủ ứng dụng NetWeaver ABAP.
Ngôn ngữ đánh dấu xác nhận bảo mật (SAML2.0)
SAML2.0 có thể được sử dụng làm xác thực với SSO Đăng nhập Một lần và nó cho phép SSO trên các miền khác nhau. SAML 2.0 được phát triển bởi tổ chức tên là OASIS. Nó cũng cung cấp tùy chọn Đăng xuất một lần, có nghĩa là khi người dùng đăng xuất khỏi tất cả các hệ thống, nhà cung cấp dịch vụ trong hệ thống SAP sẽ thông báo cho các nhà cung cấp danh tính để họ đăng xuất tất cả các phiên.
Sau đây là những ưu điểm của việc sử dụng xác thực SAML2.0 -
Bạn có thể giảm chi phí duy trì xác thực cho hệ thống lưu trữ ứng dụng với hệ thống khác.
Bạn cũng có thể duy trì xác thực cho các nhà cung cấp dịch vụ bên ngoài mà không cần duy trì danh tính người dùng trong hệ thống.
Tùy chọn Đăng xuất duy nhất trong tất cả các hệ thống.
Để ánh xạ tài khoản người dùng tự động.
Xác thực Kerberos
Bạn cũng có thể sử dụng Xác thực Kerberos cho máy chủ Ứng dụng SAP NetWeaver bằng cách sử dụng quyền truy cập qua máy khách web và trình duyệt web. Nó sử dụng cơ chế Đàm phán API GSS đơn giản và được bảo vệSPNegocũng yêu cầu phiên bản SSO 2.0 hoặc đăng nhập một lần có thêm giấy phép để sử dụng xác thực này. CácSPNego không hỗ trợ bảo mật Lớp truyền tải, vì vậy bạn nên sử dụng giao thức SSL để thêm bảo mật lớp truyền tải để giao tiếp với Máy chủ ứng dụng NetWeaver.
Trong ảnh chụp màn hình trên, bạn có thể thấy các phương pháp xác thực khác nhau có thể được định cấu hình trong hồ sơ người dùng cho mục đích xác thực.
Mỗi phương pháp xác thực trong SAP có những ưu điểm riêng và có thể được sử dụng trong các tình huống khác nhau.