- SAP安全教程
- SAP安全 - 首頁
- SAP安全 - 概述
- 使用者認證與管理
- 網路通訊安全
- 保護標準使用者
- 未授權登入保護
- 系統授權概念
- SAP安全 - Unix平臺
- SAP安全 - Windows平臺
- SAP安全 - 資料庫
- 使用者認證與單點登入
- SAP安全 - 登入票據
- SAP安全有用資源
- SAP安全 - 快速指南
- SAP安全 - 有用資源
- SAP安全 - 討論
使用者認證和管理
如果未經授權的使用者可以在已知授權使用者的身份下訪問SAP系統,並可以進行配置更改以及作業系統配置和關鍵策略。如果授權使用者可以訪問系統的關鍵資料和資訊,則該使用者也可以訪問其他關鍵資訊。這增強了安全認證的使用,以保護使用者系統的可用性、完整性和隱私。
SAP系統中的身份驗證機制
身份驗證機制定義了您訪問SAP系統的方式。提供了各種身份驗證方法 -
- 使用者ID和使用者管理工具
- 安全網路通訊
- SAP登入票據
- X.509客戶端證書
使用者ID和使用者管理工具
SAP系統中最常用的身份驗證方法是使用使用者名稱和密碼登入。登入的UserID由SAP管理員建立。為了透過使用者名稱和密碼提供安全的身份驗證機制,需要定義不允許使用者設定容易預測的密碼的密碼策略。
SAP提供了各種預設引數,您可以設定這些引數來定義密碼策略 - 密碼長度、密碼複雜度、預設密碼更改等
SAP系統中的使用者管理工具
SAP NetWeaver系統提供了各種使用者管理工具,可用於有效地管理您環境中的使用者。它們為兩種型別的NetWeaver應用伺服器(Java和ABAP)提供了非常強大的身份驗證方法。
一些最常用的使用者管理工具是 -
ABAP應用伺服器的使用者管理(事務程式碼:SU01)
您可以使用使用者管理事務程式碼SU01來維護基於ABAP的應用伺服器中的使用者。
SAP NetWeaver身份管理
您可以使用SAP NetWeaver身份管理進行使用者管理以及管理SAP環境中的角色和角色分配。
PFCG角色
您可以使用配置檔案生成器PFCG建立角色並將授權分配給基於ABAP的系統中的使用者。
事務程式碼 - PFCG
中央使用者管理
您可以使用CUA維護多個基於ABAP的系統中的使用者。您還可以將其與您的目錄伺服器同步。使用此工具,您可以從系統的客戶端集中管理所有使用者主記錄。
事務程式碼 - SCUA並建立分發模型。
使用者管理引擎UME
您可以使用UME角色控制系統中的使用者授權。管理員可以使用表示使用者可以用來構建訪問許可權的UME角色最小實體的操作。
您可以使用SAP NetWeaver管理員選項開啟UME管理控制檯。
密碼策略
密碼策略定義為一組使用者必須遵循的指令,以透過使用強密碼並正確使用它們來提高系統安全性。在許多組織中,密碼策略作為安全意識培訓的一部分共享,並且使用者必須維護該策略以確保組織中關鍵系統和資訊的安全。
在SAP系統中使用密碼策略,管理員可以設定系統使用者以部署不易破解的強密碼。這也有助於定期更改密碼以確保系統安全。
以下密碼策略通常在SAP系統中使用 -
預設/初始密碼更改
這允許使用者在首次使用時立即更改初始密碼。
密碼長度
在SAP系統中,SAP系統中密碼的最小長度預設為3。此值可以使用配置檔案引數更改,允許的最大長度為8。
事務程式碼 - RZ11
引數名稱 - login/min_password_lng
您可以單擊此策略的配置檔案引數的文件,您可以看到SAP的詳細文件如下 -
引數 - login/min_password_lng
短文字 - 最小密碼長度
引數描述 - 此引數指定登入密碼的最小長度。密碼必須至少包含三個字元。但是,管理員可以指定更大的最小長度。此設定適用於分配新密碼以及更改或重置現有密碼時。
應用領域 - 登入
引數單位 - 字元數(字母數字)
預設值 - 6
誰被允許更改? 客戶
作業系統限制 - 無
資料庫系統限制 - 無
非法密碼
您不能選擇任何密碼的第一個字元為問號(?)或感嘆號(!)。您還可以將您想要限制的其他字元新增到非法密碼錶中。
事務程式碼 - SM30 表名:USR40。
輸入表 - USR40 並單擊頂部的顯示,它將顯示所有不允許的密碼列表。
單擊新條目後,您可以將新值輸入此表,還可以選中區分大小寫複選框。
密碼模式
您還可以設定密碼的前三個字元不能以與使用者名稱相同的順序出現。可以使用密碼策略限制的不同密碼模式包括 -
- 前三個字元不能全部相同。
- 前三個字元不能包含空格字元。
- 密碼不能是PASS或SAP。
密碼更改
在此策略中,使用者幾乎可以每天更改一次密碼,但管理員可以根據需要重置使用者的密碼。
不允許使用者重複使用最後五個密碼。但是,管理員可以重置使用者之前使用的密碼。
配置檔案引數
您可以在SAP系統中為使用者管理和密碼策略定義不同的配置檔案引數。
在SAP系統中,您可以透過轉到工具→CCMS→配置→配置檔案維護(事務:RZ11)來顯示每個配置檔案引數的文件。輸入引數名稱並單擊顯示。
在顯示的下一個視窗中,您必須輸入引數名稱,您可以看到2個選項 -
顯示 - 在SAP系統中顯示引數的值。
顯示文件 - 顯示該引數的SAP文件。
單擊“顯示”按鈕後,您將轉到“維護配置檔案引數”螢幕。您可以看到以下詳細資訊 -
- 名稱
- 型別
- 選擇標準
- 引數組
- 引數描述等等
在底部,您有引數login/min_password_lng的當前值
單擊顯示文件選項時,它將顯示該引數的SAP文件。
引數描述
此引數指定登入密碼的最小長度。密碼必須至少包含三個字元。但是,管理員可以指定更大的最小長度。此設定適用於分配新密碼以及更改或重置現有密碼時。
每個引數都有一個預設值,允許的值如下 -
SAP系統中存在不同的密碼引數。您可以將每個引數輸入RZ11事務中並檢視文件。
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
要更改引數值,請執行事務RZ10並選擇如下所示的配置檔案 -
多個應用伺服器 - 使用DEFAULT配置檔案。
單個應用伺服器 - 使用例項配置檔案。
選擇擴充套件維護並單擊顯示。
選擇要更改的引數,然後單擊頂部的引數。
單擊“引數”選項卡時,您可以在新視窗中更改引數的值。您還可以透過單擊建立(F5)來建立新引數。
您還可以在此視窗中檢視引數的狀態。鍵入引數值並單擊複製。
退出螢幕時,系統將提示您儲存。單擊“是”以儲存引數值。
