SAP Security - Khái niệm Ủy quyền Hệ thống
Khái niệm Ủy quyền Hệ thống SAP đề cập đến việc bảo vệ hệ thống SAP chạy các giao dịch và chương trình khỏi bị truy cập trái phép. Bạn không nên cho phép người dùng thực hiện các giao dịch và chương trình trong hệ thống SAP cho đến khi họ đã xác định ủy quyền cho hoạt động này.
Để làm cho hệ thống của bạn an toàn hơn và thực hiện ủy quyền mạnh mẽ, bạn cần xem xét kế hoạch ủy quyền của mình để đảm bảo rằng nó đáp ứng yêu cầu bảo mật của công ty và không có vi phạm bảo mật nào.
Loại người dùng
Trong các bản phát hành trước của Hệ thống SAP, kiểu người dùng chỉ được chia thành hai loại - Người dùng hộp thoại và Người dùng không hộp thoại và chỉ những người dùng không phải hộp thoại mới được khuyến nghị để giao tiếp giữa hai hệ thống. Với SAP 4.6C, các kiểu người dùng đã được chia thành các loại sau:
Dialog User- Người dùng này được sử dụng để truy cập hệ thống tương tác cá nhân và hầu hết công việc của khách hàng được thực hiện bằng người dùng hộp thoại. Người dùng có thể tự thay đổi mật khẩu. Trong người dùng hộp thoại, có thể ngăn chặn nhiều bản ghi hộp thoại.
Service User- Điều này được sử dụng để thực hiện truy cập hệ thống tương tác để thực hiện một số tác vụ định trước như hiển thị danh mục sản phẩm. Cho phép nhiều lần đăng nhập cho người dùng này và chỉ Quản trị viên mới có thể thay đổi mật khẩu cho người dùng này.
System User- Id người dùng này được sử dụng để thực hiện hầu hết các tác vụ liên quan đến hệ thống - Hệ thống Quản lý Giao thông, Xác định Quy trình Công việc và ALE. Nó không phải là người dùng phụ thuộc vào hệ thống tương tác và có nhiều lần đăng nhập được phép cho người dùng này.
Reference User- Người dùng Tham chiếu không được sử dụng để đăng nhập vào hệ thống SAP. Người dùng này được sử dụng để cung cấp ủy quyền bổ sung cho người dùng nội bộ. Trong hệ thống SAP, bạn có thể đi tới tab Vai trò và chỉ định người dùng tham chiếu để có thêm quyền cho người dùng hộp thoại.
Communication Users- Kiểu người dùng này được sử dụng để duy trì đăng nhập miễn phí hộp thoại giữa các hệ thống khác nhau như kết nối RFC, CPIC. Không thể đăng nhập Hộp thoại bằng SAP GUI đối với người dùng Giao tiếp. Kiểu người dùng có thể thay đổi mật khẩu của họ giống như những người dùng hộp thoại thông thường. Mô-đun chức năng RFC có thể được sử dụng để thay đổi mật khẩu.
Mã giao dịch: SU01được sử dụng để tạo người dùng trong hệ thống SAP. Trong màn hình sau, bạn có thể thấy các kiểu Người dùng khác nhau trong hệ thống SAP theo Giao dịch SU01.
Tạo người dùng
Để tạo một người dùng hoặc nhiều người dùng có các quyền truy cập khác nhau trong hệ thống SAP, bạn nên làm theo các bước dưới đây.
Step 1 - Sử dụng mã giao dịch - SU01.
Step 2 - Nhập tên người dùng bạn muốn tạo, nhấp vào biểu tượng tạo như trong ảnh chụp màn hình sau.
Step 3- Bạn sẽ được chuyển đến tab tiếp theo - tab Địa chỉ. Tại đây, bạn cần nhập các thông tin chi tiết như Tên, Họ, Số điện thoại, Id Email, v.v.
Step 4 - Bạn sẽ được chuyển hướng đến tab tiếp theo - Logon Data. Nhập loại người dùng trong tab Dữ liệu đăng nhập. Chúng tôi có năm kiểu người dùng khác nhau.
Step 5 - Nhập Mật khẩu đăng nhập đầu tiên → Mật khẩu mới → Mật khẩu lặp lại.
Step 6 - Bạn sẽ được chuyển đến tab tiếp theo - Vai trò − Gán vai trò cho người dùng.
Step 7 - Bạn sẽ được chuyển hướng đến tab tiếp theo - Hồ sơ −Gán Hồ sơ cho người dùng.
Step 8 - Bấm vào Lưu để nhận xác nhận.
Quản trị Người dùng Trung tâm (CUA)
Quản trị người dùng trung tâm là một trong những khái niệm chính cho phép bạn quản lý tất cả người dùng trong bối cảnh hệ thống SAP bằng cách sử dụng hệ thống trung tâm. Sử dụng công cụ này, bạn có thể quản lý tập trung tất cả bản ghi chính của người dùng trong một hệ thống. Quản trị viên Người dùng Trung tâm cho phép bạn tiết kiệm tiền và tài nguyên trong việc quản lý những người dùng tương tự trong một bối cảnh hệ thống.
Ưu điểm của Quản trị Người dùng Trung tâm là -
Khi bạn định cấu hình CUA trong cảnh quan SAP, bạn có thể tạo hoặc xóa người dùng chỉ bằng cách sử dụng hệ thống trung tâm.
Tất cả các vai trò và ủy quyền được yêu cầu tồn tại trong một hệ thống con ở dạng hoạt động.
Tất cả người dùng đều được giám sát và quản lý tập trung giúp cho nhiệm vụ quản trị dễ dàng và rõ ràng hơn đối với tất cả các hoạt động quản lý người dùng trong bối cảnh hệ thống phức tạp.
Quản trị viên Người dùng Trung tâm cho phép bạn tiết kiệm tiền và tài nguyên trong việc quản lý những người dùng tương tự trong một bối cảnh hệ thống.
Trao đổi dữ liệu được thực hiện bằng cách sử dụng ALE cảnh quan được gọi là Application Link Enablingcho phép trao đổi dữ liệu theo cách có kiểm soát. ALE được Quản trị viên Người dùng Trung tâm sử dụng để trao đổi dữ liệu với các hệ thống con trong bối cảnh hệ thống SAP.
Trong môi trường cảnh quan phức tạp, bạn xác định một hệ thống là Hệ thống trung tâm với môi trường ALE và hệ thống này được liên kết với tất cả các hệ thống con bằng cách sử dụng trao đổi dữ liệu hai chiều. Hệ thống con trong cảnh quan không được kết nối với nhau.
Để triển khai Quản trị người dùng trung tâm, cần xem xét các điểm sau:
Bạn cần một môi trường SAP với nhiều máy khách trong một môi trường phân tán / đơn lẻ.
Quản trị viên để quản lý người dùng, cần ủy quyền đối với các Mã giao dịch sau -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Bạn nên tạo mối quan hệ tin cậy-tin cậy giữa các hệ thống.
Bạn nên tạo người dùng hệ thống trong hệ thống trung tâm và hệ thống con.
Tạo Hệ thống lôgic và gán hệ thống lôgic cho máy khách tương ứng.
Tạo chế độ xem mô hình và BAPI để xem mô hình.
Tạo Quản trị viên Người dùng Trung tâm và đặt các thông số phân phối cho các trường.
Đồng bộ hóa địa chỉ công ty
Chuyển người dùng
Trong môi trường được quản lý tập trung, trước tiên bạn cần tạo Quản trị viên. Đăng nhập vào tất cả các hệ thống logic của CUA trong tương lai với tư cách là người dùng SAP * với mật khẩu mặc định là PASS.
Chạy giao dịch SU01 và tạo một người dùng với vai trò quản trị viên được chỉ định cho nó.
Để xác định một hệ thống logic, hãy sử dụng Giao dịch BD54. Nhấp vào Mục nhập mới để tạo một hệ thống logic mới.
Tạo một tên hợp lý mới bằng chữ in hoa cho Quản trị Người dùng Trung tâm cho các hệ thống trung tâm và tất cả các hệ thống con, bao gồm cả các tên từ Hệ thống SAP khác.
Để dễ dàng xác định hệ thống, bạn có quy ước đặt tên sau có thể được sử dụng để xác định hệ thống Quản trị Người dùng Trung tâm:
<System ID>CLNT<Client>
Nhập một số mô tả hữu ích về một hệ thống logic. Lưu mục nhập của bạn bằng cách nhấp vàoSavecái nút. Tiếp theo là tạo tên hệ thống logic cho hệ thống trung tâm trong tất cả các hệ thống con.
Để chỉ định hệ thống lôgic cho khách hàng, hãy sử dụng Giao dịch SCC4 và chuyển sang Chế độ thay đổi.
Mở ứng dụng khách mà bạn muốn gán cho hệ thống logic bằng cách nhấp đúp hoặc nhấp vào Detailscái nút. Một máy khách chỉ có thể được gán cho một hệ thống logic.
Trong trường hệ thống logic trong chi tiết máy khách, hãy nhập tên hệ thống logic mà bạn muốn gán máy khách này.
Thực hiện các bước trên cho tất cả các máy khách trong môi trường SAP mà bạn muốn đưa vào Quản trị viên Người dùng Trung tâm. Để lưu cài đặt của bạn, hãy nhấp vàoSave ở trên cùng.
Bảo vệ cấu hình cụ thể trong SAP
Để duy trì bảo mật trong hệ thống SAP, bạn cần duy trì các cấu hình cụ thể có chứa ủy quyền quan trọng. Có nhiều cấu hình ủy quyền SAP khác nhau mà bạn cần bảo vệ trong hệ thống SAP có ủy quyền đầy đủ.
Một số cấu hình cần được bảo vệ trong hệ thống SAP là:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Hồ sơ ủy quyền SAP_ALL
Hồ sơ ủy quyền SAP_ALL cho phép người dùng thực hiện tất cả các tác vụ trong hệ thống SAP. Đây là cấu hình tổng hợp chứa tất cả các ủy quyền trong hệ thống SAP. Người dùng có quyền này có thể thực hiện tất cả các hoạt động trong hệ thống SAP, vì vậy hồ sơ này không nên được gán cho bất kỳ người dùng nào trong hệ thống của bạn.
Khuyến nghị rằng một người dùng duy nhất nên được duy trì với một hồ sơ. Mặc dù mật khẩu nên được bảo vệ tốt cho người dùng đó và nó chỉ nên được sử dụng khi được yêu cầu.
Thay vì chỉ định ủy quyền SAP_ALL, bạn nên chỉ định từng ủy quyền cho người dùng thích hợp. Hệ thống của bạn Superuser / System Administration, thay vì chỉ định ủy quyền SAP_ALL cho họ, bạn nên sử dụng các ủy quyền riêng lẻ được yêu cầu.
Ủy quyền SAP_NEW
Ủy quyền SAP_NEW chứa tất cả các quyền được yêu cầu trong một bản phát hành mới. Khi nâng cấp hệ thống xong, cấu hình này được sử dụng để một số tác vụ được chạy đúng cách.
Bạn nên nhớ những điểm sau về ủy quyền này -
Khi nâng cấp hệ thống được thực hiện, bạn cần xóa cấu hình SAP_NEW cho các bản phát hành trước đó.
Bạn cần chỉ định các ủy quyền riêng biệt trong hồ sơ SAP_NEW cho những người dùng khác nhau trong môi trường của bạn.
Hồ sơ này không nên được duy trì hoạt động quá lâu.
Khi bạn có một danh sách dài các cấu hình SAP_NEW trong môi trường, điều đó cho thấy bạn cần xem lại chính sách ủy quyền của mình trong hệ thống.
Để xem danh sách tất cả các cấu hình SAP_NEW, bạn nên chọn cấu hình này bằng cách nhấp đúp và sau đó → đi tới Choose.
Ủy quyền P_BAS_ALL
Quyền này cho phép người dùng xem nội dung của bảng từ các ứng dụng khác. Ủy quyền này chứaP_TABU_DISủy quyền. Sự ủy quyền này cho phép người dùng PA xem nội dung bảng không thuộc nhóm của họ.
Bảo trì vai trò PFCG
Bảo trì vai trò PFCG có thể được sử dụng để quản lý các vai trò và ủy quyền trong hệ thống SAP. Trong PFCG, vai trò đại diện cho công việc mà một người thực hiện liên quan đến các tình huống thực tế. PFCG cho phép bạn xác định tập hợp các giao dịch có thể được giao cho một người để thực hiện công việc hàng ngày của họ.
Khi các vai trò được tạo trong Giao dịch PFCG, bạn có thể sử dụng Giao dịch SU01để gán những vai trò này cho người dùng cá nhân. Người dùng trong hệ thống SAP có thể được chỉ định nhiều vai trò và có liên quan đến công việc hàng ngày của họ trong đời thực.
Những vai trò này có liên quan giữa người dùng và các ủy quyền trong hệ thống SAP. Các ủy quyền và hồ sơ thực tế được lưu trữ dưới dạng các đối tượng trong hệ thống SAP.
Sử dụng PFCG Role Maintenance, bạn có thể thực hiện các chức năng sau:
- Thay đổi và chỉ định vai trò
- Tạo vai trò
- Tạo vai trò tổng hợp
- Vận chuyển và phân phối vai trò
Bây giờ chúng ta hãy thảo luận chi tiết về các chức năng này.
Thay đổi và chỉ định vai trò
Chạy giao dịch: PFCG
Nó sẽ đưa bạn đến cửa sổ bảo trì vai trò. Để thay đổi vai trò hiện có, hãy nhập tên vai trò đã phân phối vào trường.
Sao chép vai trò tiêu chuẩn bằng cách nhấp vào nút Sao chép vai trò. Nhập tên từ không gian tên. Nhấp vào nút chọn giá trị và chọn vai trò mà bạn muốn sao chép nó.
Bạn cũng có thể chọn các vai trò được giao bởi SAP bắt đầu với SAP_, nhưng sau đó các vai trò mặc định sẽ bị ghi đè.
Để thay đổi vai trò, hãy nhấp vào Change trong Bảo trì vai trò.
Điều hướng đến tab Menu để thay đổi menu người dùng trên trang tab Menu. Chuyển đến tab Ủy quyền để thay đổi dữ liệu Ủy quyền cho người dùng đó.
Bạn cũng có thể sử dụng Chế độ chuyên gia để điều chỉnh quyền cho các thay đổi menu trong Ủy quyền. Nhấp vào nút Tạo để tạo hồ sơ cho vai trò này.
Để chỉ định người dùng cho vai trò này, hãy chuyển đến tab Người dùng trong tùy chọn Thay đổi vai trò. Để gán một người dùng cho vai trò này, nó phải tồn tại trong hệ thống.
Bạn cũng có thể thực hiện So sánh người dùng nếu được yêu cầu. Nhấp vào tùy chọn So sánh người dùng. Bạn cũng có thể nhấp vào nút Thông tin để biết thêm về các vai trò Đơn lẻ và Kết hợp và tùy chọn So sánh Người dùng để so sánh các bản ghi chính.
Tạo vai trò trong PFCG
Bạn có thể tạo cả vai trò đơn lẻ và vai trò tổng hợp trong PFCG. Nhập tên vai trò và nhấp vào Tạo vai trò đơn lẻ hoặc tổng hợp như thể hiện trong ảnh chụp màn hình bên dưới.
Bạn có thể chọn từ không gian tên Khách hàng như Y_ hoặc Z_. Các vai trò được phân phối SAP bắt đầu bằng SAP_ và bạn không thể lấy tên từ các vai trò được phân phối SAP.
Khi bạn nhấp vào nút Tạo vai trò, bạn nên thêm Giao dịch, Báo cáo và Địa chỉ web trong tab MENU trong định nghĩa vai trò.
Điều hướng đến tab Ủy quyền để tạo Hồ sơ, nhấp vào tùy chọn Thay đổi dữ liệu Ủy quyền.
Theo lựa chọn hoạt động của bạn, bạn được nhắc nhập các cấp độ tổ chức. Khi bạn nhập một giá trị cụ thể vào hộp thoại, các trường ủy quyền chết của vai trò sẽ được duy trì tự động.
Bạn có thể điều chỉnh tham chiếu cho các vai trò. Sau khi xác định xong vai trò, bạn cần tạo vai trò. Nhấp vào Tạo (Shift + F5).
Trong cấu trúc này, khi bạn nhìn thấy đèn giao thông màu đỏ, nó sẽ hiển thị các cấp tổ chức không có giá trị. Bạn có thể nhập và thay đổi cấp độ tổ chức với Cấp độ tổ chức bên cạnh tab Được duy trì.
Nhập tên Hồ sơ và nhấp vào tùy chọn đánh dấu để hoàn thành bước Tạo.
Bấm vào Saveđể lưu hồ sơ. Bạn có thể chỉ định trực tiếp vai trò này cho người dùng bằng cách chuyển đến tab Người dùng. Theo cách tương tự, bạn có thể tạo các vai trò Tổng hợp bằng cách sử dụng Tùy chọn duy trì vai trò PFCG.
Vận chuyển và phân phối vai trò
Chạy Giao dịch - PFCG và nhập tên vai trò mà bạn muốn vận chuyển và nhấp vào Vai trò vận chuyển.
Bạn sẽ đạt đến tùy chọn vận chuyển vai trò. Bạn có nhiều tùy chọn trong các Vai trò vận chuyển -
- Vận chuyển các vai trò đơn lẻ cho các vai trò tổng hợp.
- Vận chuyển các cấu hình đã tạo cho các vai trò.
- Dữ liệu cá nhân hóa.
Trong hộp thoại tiếp theo, bạn nên đề cập đến việc chỉ định người dùng và dữ liệu cá nhân hóa cũng phải được vận chuyển. Nếu các nhiệm vụ của người dùng cũng được vận chuyển, chúng sẽ thay thế toàn bộ việc chỉ định vai trò của người dùng trong hệ thống đích.
Để khóa hệ thống để không thể nhập các nhiệm vụ của người dùng về vai trò, hãy nhập hệ thống đó vào bảng Tùy chỉnh PRGN_CUST sử dụng giao dịch SM30 và chọn trường giá trị USER_REL_IMPORT number.
Vai trò này được nhập vào yêu cầu tùy chỉnh. Bạn có thể xem điều này bằng Giao dịchSE10.
Trong Yêu cầu tùy chỉnh, hồ sơ ủy quyền được vận chuyển cùng với các vai trò.
Giao dịch hệ thống thông tin ủy quyền - SUIM
Trong Quản lý Ủy quyền, SUIM là một công cụ chính mà bạn có thể tìm thấy hồ sơ người dùng trong hệ thống SAP và cũng có thể gán các hồ sơ đó cho User ID đó. SUIM cung cấp màn hình ban đầu cung cấp các tùy chọn để Tìm kiếm người dùng, Vai trò, Hồ sơ, Ủy quyền, Giao dịch và So sánh.
Để mở Hệ thống Thông tin Người dùng, Chạy Giao dịch: SUIM.
Trong Hệ thống thông tin người dùng, bạn có các nút khác nhau có thể được sử dụng để thực hiện các chức năng khác nhau trong hệ thống SAP. Giống như trong nút Người dùng, bạn có thể thực hiện tìm kiếm người dùng dựa trên tiêu chí lựa chọn. Bạn có thể lấy danh sách người dùng bị khóa, người dùng có quyền truy cập vào một nhóm giao dịch cụ thể, v.v.
Khi bạn mở rộng từng tab, bạn có tùy chọn để tạo các báo cáo khác nhau dựa trên các tiêu chí lựa chọn khác nhau. Giống như khi bạn mở rộng tab người dùng, bạn có các tùy chọn sau:
Khi bạn nhấp vào người dùng theo các tiêu chí lựa chọn phức tạp, bạn có thể áp dụng đồng thời nhiều điều kiện lựa chọn. Ảnh chụp màn hình sau đây cho bạn thấy các tiêu chí lựa chọn khác nhau.
Nút vai trò
Theo cách tương tự, bạn có thể truy cập các nút khác nhau như Vai trò, Hồ sơ, Ủy quyền và nhiều tùy chọn khác trong hệ thống thông tin người dùng này.
Bạn cũng có thể sử dụng công cụ SUIM để tìm kiếm vai trò và hồ sơ. Bạn có thể chỉ định danh sách các giao dịch cho một nhóm ID người dùng cụ thể, bằng cách thực hiện tìm kiếm theo giao dịch và chỉ định trong SUIM và gán các vai trò đó cho ID người dùng đó.
Sử dụng hệ thống Thông tin Người dùng, bạn có thể thực hiện các tìm kiếm khác nhau trong hệ thống SAP. Bạn có thể nhập các tiêu chí lựa chọn khác nhau và lấy các báo cáo dựa trên Người dùng, Tiểu sử, vai trò, Giao dịch và nhiều tiêu chí khác.
RSUSR002 - Người dùng theo Tiêu chí lựa chọn phức tạp.