- SAP 安全教程
- SAP 安全 - 首頁
- SAP 安全 - 概述
- 使用者認證與管理
- 網路通訊安全
- 保護標準使用者
- 未授權登入保護
- 系統授權概念
- SAP 安全 - Unix 平臺
- SAP 安全 - Windows 平臺
- SAP 安全 - 資料庫
- 使用者認證與單點登入
- SAP 安全 - 登入票據
- SAP 安全有用資源
- SAP 安全 - 快速指南
- SAP 安全 - 有用資源
- SAP 安全 - 討論
SAP 安全 - 系統授權概念
SAP 系統授權概念涉及保護 SAP 系統免受未經授權的訪問執行事務和程式。在使用者為該活動定義授權之前,不應允許使用者在 SAP 系統中執行事務和程式。
為了使您的系統更安全並實施強大的授權,您需要審查您的授權計劃,以確保它滿足公司的安全要求並且沒有安全違規。
使用者型別
在早期版本的 SAP 系統中,使用者型別僅分為兩類 – 對話使用者和非對話使用者,並且僅推薦使用非對話使用者在兩個系統之間進行通訊。在 SAP 4.6C 中,使用者型別已細分為以下類別:
對話使用者 – 此使用者用於單個互動式系統訪問,並且大部分客戶端工作都是使用對話使用者執行的。密碼可以由使用者自己更改。在對話使用者中,可以防止多個對話登入。
服務使用者 – 用於執行互動式系統訪問以執行某些預定任務,例如產品目錄顯示。此使用者允許多個登入,並且只有管理員可以更改此使用者的密碼。
系統使用者 – 此使用者 ID 用於執行大部分與系統相關的任務 – 傳輸管理系統、定義工作流和 ALE。它不是互動式系統依賴的使用者,並且此使用者允許多個登入。
參考使用者 – 參考使用者不用於登入 SAP 系統。此使用者用於向內部使用者提供其他授權。在 SAP 系統中,您可以轉到“角色”選項卡併為對話使用者指定參考使用者以獲取其他許可權。
通訊使用者 – 此使用者型別用於維護不同系統(如 RFC 連線、CPIC)之間的無對話登入。對於通訊使用者,無法使用 SAP GUI 進行對話登入。使用者型別可以像普通對話使用者一樣更改其密碼。可以使用 RFC 功能模組更改密碼。
事務程式碼:SU01 用於在 SAP 系統中建立使用者。在以下螢幕中,您可以在 SAP 系統中看到 SU01 事務下的不同使用者型別。
建立使用者
要在 SAP 系統中建立具有不同訪問許可權的使用者或多個使用者,您應按照以下步驟操作。
步驟 1 – 使用事務程式碼 — SU01。
步驟 2 – 輸入您要建立的使用者名稱,單擊以下螢幕截圖中所示的建立圖示。
步驟 3 – 您將被定向到下一個選項卡 – 地址選項卡。在這裡,您需要輸入詳細資訊,如姓氏、名字、電話號碼、電子郵件 ID 等。
步驟 4 – 您將進一步被定向到下一個選項卡 – 登入資料。在登入資料選項卡下輸入使用者型別。我們有五種不同的使用者型別。
步驟 5 – 輸入第一個登入密碼→新密碼→重複密碼。
步驟 6 – 您將被定向到下一個選項卡 – 角色 – 將角色分配給使用者。
步驟 7 – 您將進一步被定向到下一個選項卡 – 配置檔案 – 將配置檔案分配給使用者。
步驟 8 – 單擊儲存以接收確認。
中央使用者管理 (CUA)
中央使用者管理是關鍵概念之一,它允許您使用中央系統管理 SAP 系統環境中的所有使用者。使用此工具,您可以在一個系統中集中管理所有使用者主記錄。中央使用者管理員允許您節省在管理一個系統環境中類似使用者的資金和資源。
中央使用者管理的優勢在於:
在 SAP 環境中配置 CUA 後,您只能使用中央系統建立或刪除使用者。
所有必需的角色和授權都以活動形式存在於子系統中。
所有使用者都集中監控和管理,這使得管理任務變得更容易,並且可以更清晰地瞭解複雜系統環境中的所有使用者管理活動。
中央使用者管理員允許您節省在管理一個系統環境中類似使用者的資金和資源。
使用稱為應用連結啟用的ALE環境執行的資料交換,允許以受控方式交換資料。ALE 由中央使用者管理員用於在 SAP 系統環境中將資料交換到子系統。
在複雜的景觀環境中,您將一個系統定義為具有 ALE 環境的中央系統,並透過雙向資料交換將其連結到所有子系統。景觀中的子系統彼此不連線。
要實施中央使用者管理,應考慮以下幾點:
您需要一個在單一/分散式環境中具有多個客戶端的 SAP 環境。
管理員要管理使用者,需要以下事務程式碼的授權:
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
您應該在系統之間建立信任關係。
您應該在中央和子系統中建立系統使用者。
建立邏輯系統並將邏輯系統分配給相應的客戶端。
建立模型檢視和 BAPI 到模型檢視。
建立一箇中央使用者管理員併為欄位設定分發引數。
同步公司地址
傳輸使用者
在集中管理的環境中,您需要首先建立一個管理員。以使用者 SAP* 身份使用預設密碼 PASS 登入未來 CUA 的所有邏輯系統。
執行事務SU01並建立一個分配了管理員角色的使用者。
要定義邏輯系統,請使用事務BD54。單擊“新建條目”以建立新的邏輯系統。
為中央使用者管理的中央和所有子系統(包括來自其他 SAP 系統的子系統)建立大寫字母的新邏輯名稱。
為了輕鬆識別系統,您可以使用以下命名約定來識別中央使用者管理系統:
<系統 ID>CLNT<客戶端>
輸入邏輯系統的一些有用描述。透過單擊“儲存”按鈕儲存您的條目。接下來是在所有子系統中為中央系統建立邏輯系統名稱。
要將邏輯系統分配給客戶端,請使用事務SCC4並切換到更改模式。
透過雙擊或單擊“詳細資訊”按鈕開啟您要分配給邏輯系統的客戶端。一個客戶端只能分配給一個邏輯系統。
在客戶端詳細資訊中的邏輯系統欄位中,輸入要將此客戶端分配到的邏輯系統名稱。
對要在中央使用者管理員中包含的 SAP 環境中的所有客戶端執行上述步驟。要儲存您的設定,請單擊頂部的“儲存”按鈕。
保護 SAP 中的特定配置檔案
為了在 SAP 系統中維護安全,您需要維護包含關鍵授權的特定配置檔案。在具有完全授權的 SAP 系統中,您需要保護各種 SAP 授權配置檔案。
在 SAP 系統中需要保護的一些配置檔案是:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL 授權配置檔案
SAP_ALL 授權配置檔案允許使用者執行 SAP 系統中的所有任務。這是包含 SAP 系統中所有授權的複合配置檔案。擁有此授權的使用者可以在 SAP 系統中執行所有活動,因此此配置檔案不應分配給系統中的任何使用者。
建議為單個使用者維護一個配置檔案。同時,應妥善保護該使用者的密碼,並且僅在需要時使用。
您應該將各個授權分配給相應的使用者,而不是分配 SAP_ALL 授權。您的系統超級使用者/系統管理員,而不是將 SAP_ALL 授權分配給他們,您應該使用所需的各個授權。
SAP_NEW 授權
SAP_NEW 授權包含新版本中所需的所有授權。完成系統升級後,將使用此配置檔案以使某些任務正確執行。
您應該記住有關此授權的以下幾點:
執行系統升級時,您需要刪除此版本之前的 SAP_NEW 配置檔案。
您需要在 SAP_NEW 配置檔案下將單獨的授權分配給環境中的不同使用者。
此配置檔案不應保持啟用太長時間。
當您的環境中存在很長的 SAP_NEW 配置檔案列表時,這表明您需要審查系統中的授權策略。
要檢視所有 SAP_NEW 配置檔案的列表,您應該透過雙擊選擇此配置檔案,然後→轉到選擇。
P_BAS_ALL 授權
此授權允許使用者檢視其他應用程式中的表內容。此授權包含P_TABU_DIS授權。此授權允許 PA 使用者檢視不屬於其組的表內容。
PFCG 角色維護
PFCG 角色維護可用於管理 SAP 系統中的角色和授權。在 PFCG 中,角色表示與現實場景相關的一個人執行的工作。PFCG 允許您定義可以分配給一個人以執行其日常工作的交易集。
在 PFCG 事務中建立角色後,您可以使用事務SU01將這些角色分配給各個使用者。SAP 系統中的使用者可以分配多個與其實際生活中日常任務相關的角色。
這些角色連線著 SAP 系統中的使用者和授權。實際的授權和配置檔案以物件的形式儲存在 SAP 系統中。
使用 PFCG 角色維護,您可以執行以下功能 -
- 更改和分配角色
- 建立角色
- 建立複合角色
- 傳輸和分發角色
現在讓我們詳細討論這些功能。
更改和分配角色
執行事務:PFCG
它將帶您進入角色維護視窗。要更改現有角色,請在欄位中輸入已交付的角色名稱。
點選“複製角色”按鈕複製標準角色。從名稱空間中輸入名稱。點選值選擇按鈕並選擇您要複製到的角色。
您也可以選擇 SAP 提供的角色,其名稱以 **SAP_** 開頭,但隨後預設角色將被覆蓋。
要更改角色,請在角色維護中點選“更改”按鈕。
導航到“選單”選項卡以更改“選單”選項卡頁面上的使用者選單。轉到“授權”選項卡以更改該使用者的授權資料。
您還可以使用專家模式在“授權”下調整選單更改的授權。點選“生成”按鈕為該角色生成配置檔案。
要將使用者分配到此角色,請轉到“更改角色”選項中的“使用者”選項卡。要將使用者分配到此角色,該使用者必須存在於系統中。
如果需要,您還可以執行使用者比較。點選“使用者比較”選項。您還可以點選“資訊”按鈕以瞭解有關單個角色和複合角色以及使用者比較選項以比較主記錄的更多資訊。
在 PFCG 中建立角色
您可以在 PFCG 中建立單個角色和複合角色。輸入角色名稱,然後點選“建立單個角色”或“建立複合角色”,如下面的螢幕截圖所示。
您可以從客戶名稱空間(如 Y_ 或 Z_)中進行選擇。SAP 提供的角色以 SAP_ 開頭,您不能從 SAP 提供的角色中獲取名稱。
點選“建立角色”按鈕後,您應該在角色定義的“選單”選項卡下新增事務、報表和 Web 地址。
導航到“授權”選項卡以生成配置檔案,點選“更改授權資料”選項。
根據您的活動選擇,系統會提示您輸入組織級別。當您在對話方塊中輸入特定值時,角色的授權欄位會自動維護。
您可以調整角色的參考。完成角色定義後,需要生成角色。點選“生成”(Shift+F5)。
在此結構中,當您看到紅色交通燈時,它表示組織級別沒有值。您可以使用“維護”選項卡旁邊的“組織級別”輸入和更改組織級別。
輸入配置檔名稱,然後點選勾選選項以完成生成步驟。
點選“儲存”以儲存配置檔案。您可以透過轉到“使用者”選項卡直接將此角色分配給使用者。以類似的方式,您可以使用 PFCG 角色維護選項建立複合角色。
傳輸和分發角色
執行事務 – PFCG 並輸入要傳輸的角色名稱,然後點選“傳輸角色”。
您將到達角色傳輸選項。在“傳輸角色”下有多個選項 -
- 為複合角色傳輸單個角色。
- 傳輸為角色生成的配置檔案。
- 個性化資料。
在下一個對話方塊中,您應該提及使用者分配,並且個性化資料也應該被傳輸。如果也傳輸了使用者分配,它們將替換目標系統中角色的整個使用者分配。
要鎖定系統以防止匯入角色的使用者分配,請使用事務 **SM30** 在定製表 **PRGN_CUST** 中輸入它,並選擇值欄位 **USER_REL_IMPORT 編號**。
此角色已在定製請求中輸入。您可以使用事務 **SE10** 檢視它。
在定製請求中,授權配置檔案與角色一起傳輸。
授權資訊系統事務 – SUIM
在授權管理中,SUIM 是一個關鍵工具,您可以使用它在 SAP 系統中查詢使用者配置檔案,並可以將這些配置檔案分配給該使用者 ID。SUIM 提供一個初始螢幕,提供用於搜尋使用者、角色、配置檔案、授權、事務和比較的選項。
要開啟使用者資訊系統,請執行事務:**SUIM**。
在使用者資訊系統中,您有不同的節點可用於在 SAP 系統中執行不同的功能。例如,在“使用者”節點中,您可以根據選擇條件對使用者執行搜尋。您可以獲取使用者的鎖定列表、具有訪問特定事務集的使用者等。
當您展開每個選項卡時,您可以根據不同的選擇條件生成不同的報表。例如,當您展開“使用者”選項卡時,您有以下選項 -
當您點選“根據複雜選擇條件查詢使用者”時,您可以同時應用多個選擇條件。以下螢幕截圖顯示了不同的選擇條件。
角色節點
以類似的方式,您可以訪問此使用者資訊系統下的不同節點,例如角色、配置檔案、授權和其他各種選項。
您還可以使用 SUIM 工具搜尋角色和配置檔案。您可以透過在 SUIM 中執行事務和分配搜尋,將事務列表分配給特定使用者 ID 集,並將這些角色分配給該使用者 ID。
使用使用者資訊系統,您可以在 SAP 系統中執行各種搜尋。您可以輸入不同的選擇條件並根據使用者、配置檔案、角色、事務和其他各種條件提取報表。
**RSUSR002** - 根據複雜選擇條件查詢使用者。
