Xác thực và Quản lý Người dùng
Nếu người dùng trái phép có thể truy cập hệ thống SAP dưới quyền người dùng được ủy quyền đã biết và có thể thực hiện các thay đổi cấu hình cũng như thao tác các chính sách chính và cấu hình hệ thống. Nếu người dùng được ủy quyền có quyền truy cập vào dữ liệu và thông tin quan trọng của hệ thống, thì người dùng đó cũng có thể truy cập thông tin quan trọng khác. Điều này tăng cường việc sử dụng xác thực an toàn để bảo vệ Tính sẵn có, Tính toàn vẹn và Quyền riêng tư của Hệ thống Người dùng.
Cơ chế xác thực trong hệ thống SAP
Cơ chế xác thực xác định cách bạn truy cập hệ thống SAP của mình. Có nhiều phương pháp xác thực khác nhau được cung cấp -
- Id người dùng và các công cụ quản lý người dùng
- Giao tiếp mạng an toàn
- Vé đăng nhập SAP
- X.509 Chứng chỉ Khách hàng
Công cụ quản lý người dùng và ID người dùng
Phương pháp xác thực phổ biến nhất trong hệ thống SAP là sử dụng tên người dùng và mật khẩu để đăng nhập. ID người dùng để đăng nhập do Quản trị viên SAP tạo. Để cung cấp cơ chế xác thực an toàn thông qua tên người dùng và mật khẩu, cần phải xác định các chính sách mật khẩu không cho phép người dùng đặt mật khẩu dễ dàng dự đoán.
SAP cung cấp các tham số mặc định khác nhau mà bạn nên đặt để xác định chính sách mật khẩu- độ dài mật khẩu, độ phức tạp của mật khẩu, thay đổi mật khẩu mặc định, v.v.
Công cụ quản lý người dùng trong hệ thống SAP
SAP NetWeaver Systemcung cấp các công cụ quản lý người dùng khác nhau có thể được sử dụng để quản lý hiệu quả người dùng trong môi trường của bạn. Chúng cung cấp phương pháp xác thực rất mạnh cho cả hai loại máy chủ Ứng dụng NetWeaver - Java và ABAP.
Một số Công cụ quản lý người dùng phổ biến nhất là:
Quản lý người dùng cho Máy chủ ứng dụng ABAP (Mã giao dịch: SU01)
Bạn có thể sử dụng quản lý người dùng Mã giao dịch SU01 để duy trì người dùng trong Máy chủ ứng dụng dựa trên ABAP của bạn.
SAP NetWeaver Identity Management
Bạn có thể sử dụng SAP NetWeaver Identity Management để quản lý người dùng cũng như để quản lý các vai trò và phân công vai trò trong môi trường SAP của bạn.
Vai trò PFCG
Bạn có thể sử dụng trình tạo hồ sơ PFCG để tạo vai trò và phân quyền cho người dùng trong hệ thống dựa trên ABAP.
Transaction Code - PFCG
Quản trị Người dùng Trung tâm
Bạn có thể sử dụng CUA để duy trì người dùng cho nhiều hệ thống dựa trên ABAP. Bạn cũng có thể đồng bộ hóa nó với các máy chủ thư mục của mình. Sử dụng công cụ này, bạn có thể quản lý tập trung tất cả bản ghi chính của người dùng từ máy khách của hệ thống.
Transaction Code - SCUA và tạo mô hình phân phối.
Công cụ quản lý người dùng UME
Bạn có thể sử dụng các vai trò UME để kiểm soát phân quyền của người dùng trong hệ thống. Quản trị viên có thể sử dụng các hành động đại diện cho thực thể nhỏ nhất của vai trò UME mà người dùng có thể sử dụng để xây dựng quyền truy cập.
Bạn có thể mở bảng điều khiển quản trị UME bằng cách sử dụng tùy chọn Quản trị viên SAP NetWeaver.
Chính sách mật khẩu
Chính sách mật khẩu được định nghĩa là một tập hợp các hướng dẫn mà người dùng phải tuân theo để cải thiện bảo mật hệ thống bằng cách sử dụng mật khẩu mạnh và sử dụng chúng đúng cách. Trong nhiều tổ chức, chính sách mật khẩu được chia sẻ như một phần của khóa đào tạo nâng cao nhận thức về bảo mật và người dùng bắt buộc phải duy trì chính sách bảo mật cho các hệ thống và thông tin quan trọng trong tổ chức.
Sử dụng chính sách mật khẩu trong hệ thống SAP, quản trị viên có thể thiết lập người dùng hệ thống triển khai mật khẩu mạnh mà không dễ bị phá. Điều này cũng giúp thay đổi mật khẩu định kỳ để bảo mật hệ thống.
Các chính sách mật khẩu sau đây thường được sử dụng trong Hệ thống SAP:
Thay đổi mật khẩu mặc định / ban đầu
Điều này cho phép người dùng thay đổi mật khẩu ban đầu ngay lập tức khi sử dụng lần đầu tiên.
Độ dài mật khẩu
Trong hệ thống SAP, độ dài tối thiểu cho mật khẩu trong Hệ thống SAP theo mặc định là 3. Giá trị này có thể được thay đổi bằng cách sử dụng tham số cấu hình và độ dài tối đa được phép là 8.
Transaction Code - RZ11
Parameter Name - đăng nhập / min_password_lng
Bạn có thể nhấp vào tài liệu về tham số hồ sơ cho chính sách này và bạn có thể xem tài liệu chi tiết từ SAP như sau:
Parameter - đăng nhập / min_password_lng
Short text - Độ dài mật khẩu tối thiểu
Parameter Description- Tham số này chỉ định độ dài tối thiểu của mật khẩu đăng nhập. Mật khẩu phải có ít nhất ba ký tự. Tuy nhiên, quản trị viên có thể chỉ định độ dài tối thiểu lớn hơn. Cài đặt này áp dụng khi mật khẩu mới được chỉ định và khi mật khẩu hiện có được thay đổi hoặc đặt lại.
Application Area - Đăng nhập
Parameter Unit - Số ký tự (chữ và số)
Default Value - 6
Who is permitted to make changes? khách hàng
Operating System Restrictions - Không có
Database System Restrictions - Không có
Mật khẩu bất hợp pháp
Bạn không thể chọn ký tự đầu tiên của bất kỳ mật khẩu nào dưới dạng dấu chấm hỏi (?) Hoặc dấu chấm than (!). Bạn cũng có thể thêm các ký tự khác mà bạn muốn hạn chế trong bảng mật khẩu bất hợp pháp.
Transaction Code - Tên bảng SM30: USR40.
Khi bạn vào bảng - USR40 và nhấp vào Display ở trên cùng, nó sẽ hiển thị cho bạn danh sách tất cả các mật khẩu không được phép.
Khi bạn nhấp vào New Entries, bạn có thể nhập các giá trị mới vào bảng này và cũng có thể chọn hộp kiểm phân biệt chữ hoa chữ thường.
Mẫu mật khẩu
Bạn cũng có thể đặt ba ký tự đầu tiên của mật khẩu không được xuất hiện theo thứ tự như một phần của tên người dùng. Các mẫu mật khẩu khác nhau có thể bị hạn chế bằng cách sử dụng chính sách mật khẩu bao gồm:
- Ba ký tự đầu tiên không thể giống nhau.
- Ba ký tự đầu tiên không được bao gồm các ký tự khoảng trắng.
- Mật khẩu không được là PASS hoặc SAP.
Thay đổi mật khẩu
Trong chính sách này, người dùng có thể được phép thay đổi mật khẩu của mình gần như một lần mỗi ngày, nhưng quản trị viên có thể đặt lại mật khẩu của người dùng thường xuyên nếu cần.
Người dùng không được phép sử dụng lại năm mật khẩu cuối cùng. Tuy nhiên, quản trị viên có thể đặt lại mật khẩu đã được người dùng sử dụng trước đó.
Thông số hồ sơ
Có các tham số cấu hình khác nhau mà bạn có thể xác định trong hệ thống SAP để quản lý người dùng và chính sách mật khẩu.
Trong hệ thống SAP, bạn có thể hiển thị tài liệu cho từng tham số cấu hình bằng cách đi tới Tools → CCMS → Configuration →Profile Maintenance(Giao dịch: RZ11). Nhập tên thông số và nhấp vàoDisplay.
Trong cửa sổ tiếp theo xuất hiện, bạn phải nhập tên tham số, bạn có thể thấy 2 tùy chọn:
Display - Để hiển thị giá trị của các thông số trong hệ thống SAP.
Display Docu - Để hiển thị tài liệu SAP cho tham số đó.
Khi bạn nhấp vào nút Hiển thị, bạn sẽ được chuyển đến Maintain Profile Parametermàn. Bạn có thể xem chi tiết sau:
- Name
- Type
- Tiêu chí lựa chọn
- Nhóm tham số
- Mô tả thông số và nhiều hơn nữa
Ở dưới cùng, bạn có giá trị hiện tại của thông số login/min_password_lng
Khi bạn nhấp vào Display Doc tùy chọn, nó sẽ hiển thị tài liệu SAP cho tham số.
Mô tả về Thông Số
Tham số này chỉ định độ dài tối thiểu của mật khẩu đăng nhập. Mật khẩu phải có ít nhất ba ký tự. Tuy nhiên, quản trị viên có thể chỉ định độ dài tối thiểu lớn hơn. Cài đặt này áp dụng khi mật khẩu mới được chỉ định và khi mật khẩu hiện có được thay đổi hoặc đặt lại.
Mỗi tham số có một giá trị mặc định, giá trị được phép như sau:
Có các tham số mật khẩu khác nhau trong hệ thống SAP. Bạn có thể nhập từng tham số vàoRZ11 giao dịch và có thể xem tài liệu.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Để thay đổi giá trị Tham số, hãy chạy Transaction RZ10 và chọn Hồ sơ như hình dưới đây -
Multiple application servers - Sử dụng hồ sơ DEFAULT.
Single Application servers - Sử dụng Hồ sơ Phiên bản.
Lựa chọn Extended Maintenance và bấm vào Display.
Chọn thông số bạn muốn thay đổi và nhấp vào Parameter ở trên cùng.
Khi bạn nhấp vào tab Tham số, bạn có thể thay đổi giá trị của tham số trong cửa sổ mới. Bạn cũng có thể tạo tham số mới bằng cách nhấp vàoCreate (F5).
Bạn cũng có thể xem trạng thái của tham số trong cửa sổ này. Nhập giá trị tham số và nhấp vàoCopy.
Bạn sẽ được nhắc lưu khi thoát khỏi màn hình. Bấm vào Yes để lưu giá trị tham số.