Sicurezza SAP - Guida rapida
In un ambiente distribuito SAP, è sempre necessario proteggere le informazioni ei dati critici da accessi non autorizzati. Errori umani, provisioning di accesso errato non dovrebbero consentire l'accesso non autorizzato a nessun sistema ed è necessario mantenere e rivedere le politiche del profilo e le politiche di sicurezza del sistema nel proprio ambiente SAP.
Per rendere il sistema sicuro, è necessario avere una buona conoscenza dei profili di accesso degli utenti, dei criteri delle password, della crittografia dei dati e dei metodi di autorizzazione da utilizzare nel sistema. Dovresti controllare regolarmenteSAP System Landscape e monitorare tutte le modifiche apportate alla configurazione e ai profili di accesso.
I super utenti standard dovrebbero essere ben protetti e i parametri ei valori del profilo utente dovrebbero essere impostati con cura per soddisfare i requisiti di sicurezza del sistema.
Durante la comunicazione su una rete, è necessario comprendere la topologia della rete ei servizi di rete devono essere rivisti e abilitati dopo numerosi controlli. I dati sulla rete dovrebbero essere ben protetti utilizzando chiavi private.
Perché è richiesta la sicurezza?
Per accedere alle informazioni in un ambiente distribuito, esiste la possibilità che informazioni e dati critici vengano divulgati ad un accesso non autorizzato e la sicurezza del sistema venga interrotta a causa di: mancanza di criteri per le password, super utenti standard non ben mantenuti o per altri motivi.
Alcuni motivi chiave della violazione dell'accesso in un sistema SAP sono i seguenti:
I criteri per password complesse non vengono mantenuti.
Gli utenti standard, i super user, gli utenti DB non vengono mantenuti correttamente e le password non vengono modificate regolarmente.
I parametri del profilo non sono definiti correttamente.
I tentativi di accesso non riusciti non vengono monitorati e i criteri di fine sessione utente inattiva non sono definiti.
La sicurezza della comunicazione di rete non viene considerata durante l'invio di dati su Internet e nessun utilizzo di chiavi di crittografia.
Gli utenti del database non vengono mantenuti correttamente e non vengono prese in considerazione misure di sicurezza durante la configurazione del database delle informazioni.
I Single Sign-on non sono configurati e gestiti correttamente in un ambiente SAP.
Per superare tutti i motivi di cui sopra, è necessario definire le politiche di sicurezza nel proprio ambiente SAP. È necessario definire i parametri di sicurezza e rivedere i criteri per le password dopo intervalli di tempo regolari.
La sicurezza del database è uno dei componenti critici per proteggere il tuo ambiente SAP. Quindi, è necessario gestire gli utenti del database e fare in modo che le password siano ben protette.
Il seguente meccanismo di sicurezza dovrebbe essere applicato nel sistema per proteggere l'ambiente SAP da qualsiasi accesso non autorizzato:
- Autenticazione e gestione degli utenti
- Sicurezza delle comunicazioni di rete
- Protezione degli utenti standard e dei super utenti
- Protezioni per accessi non riusciti
- Parametri del profilo e criteri per le password
- Sicurezza del sistema SAP in Unix e piattaforma Windows
- Concetto di Single Sign-On
Pertanto, la sicurezza nel sistema SAP è richiesta in un ambiente distribuito ed è necessario essere sicuri che i dati e i processi supportino le esigenze aziendali senza consentire l'accesso non autorizzato alle informazioni critiche. In un sistema SAP, errori umani, negligenza o tentativi di manipolazione sul sistema possono causare la perdita di informazioni critiche.
Se un utente non autorizzato può accedere al sistema SAP con un utente autorizzato noto e può apportare modifiche alla configurazione e manipolare la configurazione del sistema e le politiche chiave. Se un utente autorizzato ha accesso a dati e informazioni importanti di un sistema, quell'utente può accedere anche ad altre informazioni critiche. Ciò migliora l'uso dell'autenticazione sicura per proteggere la disponibilità, l'integrità e la privacy di un sistema utente.
Meccanismo di autenticazione in un sistema SAP
Il meccanismo di autenticazione definisce il modo in cui accedi al tuo sistema SAP. Sono disponibili vari metodi di autenticazione:
- ID utente e strumenti di gestione degli utenti
- Comunicazione di rete sicura
- Biglietti di accesso SAP
- Certificati client X.509
ID utente e strumenti di gestione degli utenti
Il metodo di autenticazione più comune in un sistema SAP consiste nell'utilizzare il nome utente e la password per accedere. Gli ID utente per il login vengono creati dall'amministratore SAP. Per fornire un meccanismo di autenticazione sicuro tramite nome utente e password, è necessario definire criteri per le password che non consentano agli utenti di impostare una password facilmente prevista.
SAP fornisce vari parametri predefiniti che è necessario impostare per definire i criteri della password: lunghezza della password, complessità della password, modifica della password predefinita, ecc
Strumenti di gestione degli utenti in un sistema SAP
SAP NetWeaver Systemfornisce vari strumenti di gestione degli utenti che possono essere utilizzati per gestire efficacemente gli utenti nel proprio ambiente. Forniscono un metodo di autenticazione molto potente per entrambi i tipi di server NetWeaver Application: Java e ABAP.
Alcuni degli strumenti di gestione degli utenti più comuni sono:
Gestione utenti per ABAP Application Server (codice transazione: SU01)
È possibile utilizzare il codice transazione SU01 per la gestione degli utenti per mantenere gli utenti nei server delle applicazioni basati su ABAP.
SAP NetWeaver Identity Management
È possibile utilizzare SAP NetWeaver Identity Management per la gestione degli utenti, nonché per la gestione dei ruoli e delle assegnazioni di ruoli nel proprio ambiente SAP.
Ruoli PFCG
È possibile utilizzare il generatore di profili PFCG per creare ruoli e assegnare autorizzazioni agli utenti nei sistemi basati su ABAP.
Transaction Code - PFCG
Amministrazione centrale degli utenti
È possibile utilizzare CUA per mantenere gli utenti per più sistemi basati su ABAP. Puoi anche sincronizzarlo con i tuoi server di directory. Utilizzando questo strumento, puoi gestire tutto il record anagrafico dell'utente centralmente dal client del sistema.
Transaction Code - SCUA e creare un modello di distribuzione.
UME del motore di gestione degli utenti
È possibile utilizzare i ruoli UME per controllare l'autorizzazione dell'utente nel sistema. Un amministratore può utilizzare azioni che rappresentano la più piccola entità del ruolo UME che un utente può utilizzare per creare diritti di accesso.
È possibile aprire la console di amministrazione UME utilizzando l'opzione SAP NetWeaver Administrator.
Criterio password
Un criterio per le password è definito come un insieme di istruzioni che un utente deve seguire per migliorare la sicurezza del sistema utilizzando password complesse e utilizzandole correttamente. In molte organizzazioni, la policy delle password è condivisa come parte della formazione sulla consapevolezza della sicurezza ed è obbligatorio per gli utenti mantenere la policy per la sicurezza dei sistemi e delle informazioni critiche in un'organizzazione.
Utilizzando la politica delle password in un sistema SAP, un amministratore può configurare gli utenti del sistema per distribuire password complesse che non sono facili da violare. Questo aiuta anche a cambiare la password a intervalli di tempo regolari per la sicurezza del sistema.
I seguenti criteri per le password sono comunemente utilizzati in un sistema SAP:
Modifica password predefinita / iniziale
Ciò consente agli utenti di modificare immediatamente la password iniziale quando viene utilizzata per la prima volta.
Lunghezza della password
In un sistema SAP, la lunghezza minima per le password nei sistemi SAP è 3 per impostazione predefinita. Questo valore può essere modificato utilizzando il parametro del profilo e la lunghezza massima consentita è 8.
Transaction Code - RZ11
Parameter Name - login / min_password_lng
È possibile fare clic sulla documentazione del parametro del profilo per questa politica e visualizzare la documentazione dettagliata da SAP come segue:
Parameter - login / min_password_lng
Short text - Lunghezza minima della password
Parameter Description- Questo parametro specifica la lunghezza minima della password di accesso. La password deve contenere almeno tre caratteri. Tuttavia, l'amministratore può specificare una lunghezza minima maggiore. Questa impostazione si applica quando vengono assegnate nuove password e quando le password esistenti vengono modificate o reimpostate.
Application Area - Accesso
Parameter Unit - Numero di caratteri (alfanumerici)
Default Value - 6
Who is permitted to make changes? Cliente
Operating System Restrictions - Nessuno
Database System Restrictions - Nessuno
Password illegali
Non è possibile selezionare il primo carattere di una password come punto interrogativo (?) O punto esclamativo (!). Puoi anche aggiungere gli altri caratteri che desideri limitare nella tabella delle password illegali.
Transaction Code - Nome tabella SM30: USR40.
Una volta entrato nella tabella - USR40 e fare clic su Display in alto, ti mostrerà l'elenco di tutte le password non consentite.
Dopo aver fatto clic su New Entries, è possibile immettere i nuovi valori in questa tabella e selezionare anche la casella di controllo con distinzione tra maiuscole e minuscole.
Pattern password
È inoltre possibile impostare che i primi tre caratteri della password non possano apparire nello stesso ordine come parte del nome utente. Diversi modelli di password che possono essere limitati utilizzando la politica delle password includono:
- I primi tre personaggi non possono essere tutti uguali.
- I primi tre caratteri non possono includere caratteri di spazio.
- La password non può essere PASS o SAP.
Modifica della password
In questo criterio, un utente può essere autorizzato a modificare la propria password quasi una volta al giorno, ma un amministratore può reimpostare la password di un utente tutte le volte che è necessario.
A un utente non dovrebbe essere consentito di riutilizzare le ultime cinque password. Tuttavia, un amministratore può reimpostare la password utilizzata in precedenza da un utente.
Parametri del profilo
Esistono diversi parametri del profilo che è possibile definire in un sistema SAP per la gestione degli utenti e la politica delle password.
In un sistema SAP, è possibile visualizzare la documentazione per ogni parametro del profilo accedendo a Tools → CCMS → Configuration →Profile Maintenance(Transazione: RZ11). Immettere il nome del parametro e fare clic suDisplay.
Nella finestra successiva che appare, devi inserire il nome del parametro, puoi vedere 2 opzioni -
Display - Per visualizzare il valore dei parametri nel sistema SAP.
Display Docu - Per visualizzare la documentazione SAP per quel parametro.
Quando fai clic sul pulsante Visualizza, verrai spostato in Maintain Profile Parameterschermo. Puoi vedere i seguenti dettagli:
- Name
- Type
- Criteri di selezione
- Gruppo di parametri
- Descrizione dei parametri e molti altri
In basso, hai il valore corrente del parametro login/min_password_lng
Quando fai clic su Display Doc opzione, visualizzerà la documentazione SAP per il parametro.
Descrizione dei parametri
Questo parametro specifica la lunghezza minima della password di accesso. La password deve contenere almeno tre caratteri. Tuttavia, l'amministratore può specificare una lunghezza minima maggiore. Questa impostazione si applica quando vengono assegnate nuove password e quando le password esistenti vengono modificate o reimpostate.
Ogni parametro ha un valore predefinito, valore consentito come di seguito -
Esistono diversi parametri della password in un sistema SAP. È possibile immettere ogni parametro nel fileRZ11 transazione e può visualizzare la documentazione.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Per modificare il valore del parametro, eseguire Transaction RZ10 e seleziona il profilo come mostrato di seguito -
Multiple application servers - Usa profilo PREDEFINITO.
Single Application servers - Usa profilo istanza.
Selezionare Extended Maintenance e fare clic Display.
Selezionare il parametro che si desidera modificare e fare clic su Parameter in cima.
Quando si fa clic sulla scheda Parametro, è possibile modificare il valore del parametro in una nuova finestra. È inoltre possibile creare il nuovo parametro facendo clic suCreate (F5).
È inoltre possibile visualizzare lo stato del parametro in questa finestra. Digitare il valore del parametro e fare clic suCopy.
Ti verrà chiesto di salvare quando esci dalla schermata. Fare clic su Sì per salvare il valore del parametro.
Secure Network Communication (SNC)può essere utilizzato anche per accedere a un server delle applicazioni utilizzando un metodo di autenticazione sicuro. È possibile utilizzare SNC per l'autenticazione utente tramite SAP GUI per Windows o utilizzando una connessione RFC.
La SNC utilizza un prodotto di sicurezza esterno per eseguire l'autenticazione tra i partner di comunicazione. È possibile utilizzare misure di sicurezza come PKI dell'infrastruttura a chiave pubblica e procedure per generare e distribuire coppie di chiavi.
È necessario definire la topologia di rete in grado di eliminare le minacce e prevenire gli attacchi di rete. Quando gli utenti non possono accedere all'applicazione o al livello del database, gli aggressori non possono accedere al sistema SAP o al sistema del database per accedere a informazioni critiche.
Una topologia di rete ben definita non consente agli intrusi di connettersi alla LAN aziendale e quindi nessun accesso ai buchi del circuito di sicurezza sui servizi di rete o sul sistema SAP.
Topologia di rete in un sistema SAP
La tua architettura di rete fisica dipende completamente dalle dimensioni del tuo sistema SAP. Un sistema SAP è comunemente implementato con un'architettura client-server e ogni sistema è comunemente suddiviso nei seguenti tre livelli:
- Livello database
- Livello applicazione
- Livello di presentazione
Quando il tuo sistema SAP è piccolo, potrebbe non avere un'applicazione e un database server separati. Tuttavia, in un sistema di grandi dimensioni, molti server delle applicazioni comunicano con un server di database e diversi frontend. Questo definisce la topologia di rete di un sistema da semplice a complesso e dovresti considerare diversi scenari quando organizzi la tua topologia di rete.
In un'organizzazione su larga scala, si consiglia di installare l'applicazione e il server di database su macchine diverse e posizionarli in una LAN separata dal sistema frontend.
Nell'immagine seguente, puoi vedere la topologia di rete preferita di un sistema SAP:
Quando si posiziona il database e il server delle applicazioni in una VLAN separata dalla VLAN frontend, è possibile migliorare il sistema di controllo degli accessi e quindi aumentare la sicurezza del sistema SAP. I sistemi frontend sono in VLAN diverse, quindi non è facile entrare nella VLAN del server e quindi aggirare la sicurezza del tuo sistema SAP.
Servizi di rete SAP
Nel tuo sistema SAP, ci sono vari servizi abilitati, ma solo pochi sono necessari per eseguire il sistema SAP. In un sistema SAP, ilLandscape, Database e Application Serverssono l'obiettivo più comune degli attacchi di rete. Molti servizi di rete sono in esecuzione nel tuo paesaggio che consente l'accesso a questi server e questi servizi dovrebbero essere attentamente monitorati.
Nelle vostre macchine Windows / UNIX, questi servizi sono mantenuti in formato /etc/services. Puoi aprire questo file sulla macchina Windows andando nel seguente percorso:
system32/drivers/etc/services
Puoi aprire questo file in un Blocco note e rivedere tutti i servizi attivati nel tuo server -
Si consiglia di disabilitare tutti i servizi non richiesti sui server orizzontali. A volte questi servizi contengono alcuni errori che possono essere utilizzati dagli intrusi per ottenere un accesso non autorizzato. Quando disabiliti questi servizi, riduci le possibilità di un attacco alla tua rete.
Per un elevato livello di sicurezza, si consiglia inoltre di utilizzare file di password statici nell'ambiente SAP.
Chiavi private
SNC utilizza un prodotto di sicurezza esterno per eseguire l'autenticazione tra i partner di comunicazione. Puoi usare misure di sicurezza comePublic Key Infrastructure (PKI) e altre procedure per generare e distribuire coppie di chiavi e per garantire che le chiavi private per gli utenti siano adeguatamente protette.
Esistono diversi modi per proteggere le chiavi private per un'autorizzazione di rete:
- Soluzione hardware
- Soluzione software
Vediamoli ora in dettaglio.
Soluzione hardware
È possibile proteggere le chiavi private per gli utenti utilizzando una soluzione hardware in cui si rilascia la smart card a singoli utenti. Tutte le chiavi sono memorizzate in una smart card e l'utente deve autenticarsi sulle proprie smart card tramite biometria utilizzando impronte digitali o utilizzando una password PIN.
Queste smart card dovrebbero essere protette dal furto o dallo smarrimento da parte di ogni singolo utente e gli utenti possono utilizzare la carta per crittografare i documenti.
Agli utenti non è consentito condividere le smart card o fornirle ad altri utenti.
Soluzione software
È anche possibile utilizzare una soluzione software per archiviare chiavi private per singoli utenti. La soluzione software è una soluzione meno costosa rispetto alla soluzione hardware, ma è anche meno sicura.
Quando gli utenti memorizzano le chiavi private nei file e nei dettagli dell'utente, è necessario proteggere tali file per l'accesso non autorizzato.
Quando si installa il sistema SAP per la prima volta, sono presenti alcuni utenti predefiniti creati per eseguire attività amministrative. Per impostazione predefinita, crea tre client nell'ambiente SAP, che sono:
Client 000 - Client di riferimento SAP
Client 001 - Client modello da SAP
Client 066 - Client SAP Early Watch
SAP crea utenti standard nel client sopra menzionato nel sistema. Ogni utente standard ha la propria password predefinita con la prima installazione.
Gli utenti standard in un sistema SAP includono i seguenti utenti nel client predefinito:
Utente | Dettagli | Cliente | Password predefinita |
---|---|---|---|
LINFA | Super utente del sistema SAP | 000, 001, 066 | 6071992 |
Tutti i nuovi clienti | PASSAGGIO | ||
DDIC | Dizionario ABAP Super User | 000, 001 | 19920706 |
SAPCPIC | Utente CPI-C per SAP | 000, 001 | admin |
EARLYWATCH | Utente Early Watch | 66 | supporto |
Questi sono gli utenti standard nei client SAP Default per eseguire attività di amministrazione e configurazione nel sistema SAP. Per mantenere la sicurezza in un sistema SAP, è necessario proteggere questi utenti:
È necessario aggiungere questi utenti al gruppo SUPER, in modo che vengano modificati solo da un amministratore che ha il privilegio di aggiungere / modificare utenti al gruppo SUPER.
La password predefinita per gli utenti standard deve essere modificata.
Come visualizzare l'elenco dei clienti in un sistema SAP?
È possibile visualizzare l'elenco di tutti i client nel proprio ambiente SAP utilizzando Transaction SM30, mostra la tabella T000.
Quando entri nella tabella e fai clic su Display, ti mostrerà l'elenco di tutti i client nel tuo sistema SAP. Questa tabella include i dettagli di tutti i client predefiniti e dei nuovi client creati in un ambiente per la condivisione delle risorse.
Puoi usare report RSUSR003 per assicurarsi che l'utente SAP sia stato creato in tutti i client e che le password standard siano state modificate per SAP, DDIC e SAPCPIC.
Vai a ABAP Editor SE38 e inserisci il nome del rapporto e fai clic su ESEGUI.
Immettere il titolo del report e fare clic su Executepulsante. Visualizzerà tutti i client e gli utenti standard in Sistema SAP, Stato password, Blocco motivo utilizzo, Valido da e Valido fino, ecc.
Protezione del super utente del sistema SAP
Per proteggere un super utente del sistema SAP "SAP", è possibile eseguire i seguenti passaggi in un sistema:
Step 1- È necessario definire il nuovo Super User in un sistema SAP e disattivare l'utente SAP. Notare che non è necessario eliminare l'utente SAP nel sistema. Per disattivare l'utente hardcoded, è possibile utilizzare il parametro del profilo:login/no_automatic_user_sapstar.
Se il record anagrafico dell'utente SAP * viene cancellato, è possibile accedere con “SAP” e la password iniziale PASS.
L'utente "SAP" ha le seguenti proprietà:
L'utente dispone di autorizzazioni complete, poiché non vengono eseguiti controlli di autorizzazione.
La password predefinita PASS non può essere modificata.
È possibile utilizzare il parametro del profilo login/no_automatic_user_sapstar disattivare queste proprietà speciali di SAP e controllare il login automatico dell'utente SAP *.
Step 2 - Per verificare il valore di questo parametro, eseguire Transaction RZ11 e immettere il nome del parametro.
Values allowed - 0, 1, in cui -
0 - L'utente automatico SAP * è consentito.
1 - L'utente automatico SAP * è disattivato.
Step 3 - Nel sistema seguente, è possibile vedere che il valore di questo parametro è impostato a 1. Ciò mostra che il Super utente "SAP" è disattivato nel sistema.
Step 4 - Fare clic su Display e puoi vedere il valore corrente di questo parametro.
Per creare un nuovo Super utente nel sistema, definire un nuovo record anagrafico utente e assegnare il profilo SAP_ALL a questo super utente.
Protezione utente DDIC
Un utente DDIC è necessario per determinate attività relative alla logistica del software, al dizionario ABAP e alle attività relative all'installazione e all'aggiornamento. Per proteggere questo utente, si consiglia di bloccare questo utente in un sistema SAP. Non dovresti eliminare questo utente per eseguire poche funzionalità per un utilizzo futuro.
Per bloccare l'utente, utilizza il codice di transazione: SU01.
Se vuoi proteggere questo utente, puoi assegnare il file SAP_ALL autorizzazione a questo utente al momento dell'installazione e successivamente bloccarlo.
Protezione dell'utente SAPCPIC
Un utente SAPCPIC viene utilizzato per chiamare determinati programmi e moduli funzione in un sistema SAP ed è un utente non di dialogo.
È necessario bloccare questo utente e modificare la password per questo utente per proteggerlo. Nelle versioni precedenti, quando si blocca l'utente SAPCPIC o si modifica la password, influisce sui programmi aggiuntivi RSCOLL00, RSCOLL30 e LSYPGU01.
Protezione di Early Watch
Un client 066: si chiama SAP Early Watch e viene utilizzato per le scansioni diagnostiche e il servizio di monitoraggio nel sistema SAP e l'utente EARLYWATCH è l'utente interattivo per il servizio Early Watch nel client 066. Per proteggere questo utente, è possibile eseguire le seguenti azioni:
- Blocca l'utente EARLYWATCH finché non è necessario in un ambiente SAP.
- Modifica la password predefinita per questo utente.
Punti chiave
Per proteggere gli utenti SAP Standard e per proteggere i client nel panorama SAP, è necessario considerare i seguenti punti chiave:
È necessario mantenere correttamente i client in un sistema SAP e assicurarsi che non vi siano client sconosciuti esistenti.
È necessario assicurarsi che il super utente SAP "SAP" esista e sia stato disattivato in tutti i client.
È necessario assicurarsi che la password predefinita venga modificata per tutti gli utenti standard SAP SAP, DDIC e utente EARLYWATCH.
È necessario assicurarsi che tutti gli utenti Standard siano stati aggiunti al gruppo SUPER in un sistema SAP e che l'unica persona autorizzata ad apportare modifiche al gruppo SUPER possa modificare solo questi utenti.
È necessario assicurarsi che la password predefinita per SAPCPIC sia stata modificata e che questo utente sia bloccato e sbloccato quando necessario.
Tutti gli utenti standard SAP devono essere bloccati e possono essere sbloccati solo quando necessario. La password dovrebbe essere ben protetta per tutti questi utenti.
Come cambiare la password di un utente standard?
È necessario assicurarsi che la password per tutti gli utenti standard SAP venga modificata in tutti i client gestiti in Table T000 e l'utente "SAP" dovrebbe esistere per tutti i client.
Per modificare la password, accedi con Super user. Immettere l'ID utente nel campo Nome utente per il quale si desidera modificare la password. Fare clic sull'opzione Cambia password come mostrato nella seguente schermata -
Immettere la nuova password, ripetere la password e fare clic su Apply. Dovresti ripetere la stessa procedura per tutti gli utenti standard.
Per implementare la sicurezza in un sistema SAP, è necessario monitorare l'accesso non riuscito in un ambiente SAP. Quando qualcuno tenta di accedere a un sistema utilizzando una password errata, il sistema dovrebbe bloccare il nome utente per un po 'di tempo o quella sessione dovrebbe essere terminata dopo un numero definito di tentativi.
È possibile impostare diversi parametri di sicurezza per tentativi di accesso non autorizzati -
- Terminare una sessione
- Blocco utente
- Attivazione degli screen saver
- Monitoraggio dei tentativi di accesso non riusciti
- Registrazione dei tentativi di accesso
Discutiamo ora ciascuno di questi in dettaglio.
Terminare una sessione
Quando è presente un numero multiplo di tentativi di accesso non riusciti effettuati su un singolo ID utente, il sistema termina la sessione per quell'utente. Questo dovrebbe essere inviato utilizzando un parametro Profile -login/fails_to_session_end.
Per modificare il valore del parametro, eseguire Transaction RZ10e seleziona il profilo come mostrato nello screenshot seguente. Seleziona Manutenzione estesa e fai clic suDisplay.
Selezionare il parametro che si desidera modificare e fare clic su Parameter pulsante in alto come mostrato di seguito.
Quando si fa clic sulla scheda Parametro, è possibile modificare il valore del parametro in una nuova finestra. È inoltre possibile creare il nuovo parametro facendo clic suCreate (F5) pulsante.
Per visualizzare i dettagli di questo parametro, eseguire il codice transazione: RZ11 e inserisci il nome del profilo - login/fails_to_session_end e il clic su Display Document.
Parameter - login / fail_to_session_end
Short text - Numero di tentativi di accesso non validi fino al termine della sessione.
Parameter Description - Numero di tentativi di accesso non validi che possono essere effettuati con un record anagrafico utente fino al termine della procedura di accesso.
Application Area - Accesso
Default Value - 3
Who is permitted to make changes? - Cliente
Operating System Restrictions - Nessuno
Database System Restrictions - Nessuno
Are other parameters affected or dependent? - Nessuno
Values allowed - 1 - 99
Nella schermata sopra, puoi vedere il valore di questo parametro è impostato su 3, cioè anche il valore predefinito. Dopo 3 tentativi di accesso non riusciti, la sessione verrà terminata per un singolo utente.
Blocco utente
È anche possibile mettere un segno di spunta su un ID utente specifico, se un determinato numero di tentativi di accesso non riusciti consecutivi viene superato con un singolo ID utente. Impostare il numero di tentativi di accesso non validi consentiti nel parametro del profilo:login/fails_to_user_lock.
È possibile impostare un blocco su ID utente specifici.
I blocchi vengono applicati a un ID utente fino a mezzanotte. Tuttavia, può anche essere rimosso manualmente in qualsiasi momento da un amministratore di sistema.
In un sistema SAP, è anche possibile impostare un valore di parametro che consente di posizionare il blocco sull'ID utente fino a quando non vengono rimossi manualmente. Nome parametro:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Ogni volta che viene immessa una password di accesso errata, il contatore degli accessi non riusciti per il record anagrafico utente pertinente viene aumentato. I tentativi di accesso possono essere registrati nel registro di controllo della sicurezza. Se il limite specificato da questo parametro viene superato, l'utente in questione viene bloccato. Questo processo viene registrato anche in Syslog.
Il blocco non è più valido allo scadere del giorno corrente. (Altra condizione −login / failed_user_auto_unlock)
Il contatore degli accessi non riusciti viene reimpostato una volta che l'utente accede utilizzando la password corretta. Gli accessi che non sono basati su password non hanno alcun effetto sul contatore degli accessi non riusciti. Tuttavia, i blocchi di accesso attivi vengono controllati per ogni accesso.
Values allowed - 1 - 99
Per vedere il valore corrente di questo parametro, utilizzare T-Code: RZ11.
Parameter name - login / failed_user_auto_unlock
Short text - Disabilita lo sblocco automatico dell'utente bloccato a mezzanotte.
Parameter Description- Controlla lo sblocco degli utenti bloccati accedendo in modo errato. Se il parametro è impostato su 1, i blocchi impostati a causa di tentativi di accesso con password non riusciti si applicano solo lo stesso giorno (come il blocco). Se il parametro è impostato a 0, i blocchi rimangono attivi.
Application Area - Accesso.
Default Value - 0.
Attivazione degli screen saver
Gli amministratori di sistema possono anche abilitare gli screen saver per proteggere lo schermo del frontend da qualsiasi accesso non autorizzato. Questi screensaver possono essere protetti da password.
Monitoraggio dei tentativi di accesso non riusciti e registrazione dei tentativi di accesso
In un sistema SAP è possibile utilizzare report RSUSR006per verificare se sono presenti utenti che hanno tentato tentativi di accesso non riusciti nel sistema. Questo rapporto contiene dettagli sul numero di tentativi di accesso errati da parte di un utente e sui blocchi dell'utente e puoi pianificare questo rapporto secondo le tue esigenze.
Vai a ABAP Editor SE38 e inserisci il nome del rapporto, quindi fai clic su EXECUTE.
In questo rapporto, hai diversi dettagli come Nome utente, Tipo, Creato il, Creatore, Password, Blocco e Dettagli di accesso non corretti.
In un sistema SAP, è anche possibile utilizzare Security Audit Log (transazioni SM18, SM19 e SM20) per registrare tutti i tentativi di accesso riusciti e non riusciti. È possibile analizzare i log di controllo della sicurezza utilizzando la transazione SM20, ma il controllo della sicurezza dovrebbe essere attivato nel sistema per monitorare i log di controllo della sicurezza.
Disconnessione degli utenti inattivi
Quando un utente è già connesso a un sistema SAP e la sessione è inattiva per un periodo specifico, è anche possibile impostarlo per disconnettersi per evitare qualsiasi accesso non autorizzato.
Per abilitare questa impostazione, è necessario specificare questo valore nel parametro del profilo: rdisp/gui_auto_logout.
Parameter Description- È possibile definire che gli utenti inattivi della GUI SAP vengano automaticamente disconnessi da un sistema SAP dopo un periodo predefinito. Il parametro si configura questa volta. La disconnessione automatica nel sistema SAP è disattivata per impostazione predefinita (valore 0), ovvero gli utenti non vengono disconnessi anche se non eseguono alcuna azione per un periodo più lungo.
Values allowed- n [unità], dove n> = 0 e Unità = S | M | H | D
Per vedere il valore corrente del parametro, eseguire T-Code: RZ11.
La tabella seguente mostra l'elenco dei parametri chiave, il loro valore predefinito e consentito in un sistema SAP -
Parametro | Descrizione | Predefinito | Valore consentito |
---|---|---|---|
Accesso / fail_to_session_end | Numero di tentativi di accesso non validi fino alla fine della sessione | 3 | 1-99 |
Accesso / fail_to_user_lock | Numero di tentativi di accesso non validi fino al blocco dell'utente | 12 | 1-99 |
Login / failed_user_auto_unlock | Quando è impostato t 1: i blocchi si applicano il giorno in cui sono impostati e vengono rimossi il giorno successivo quando l'utente effettua l'accesso | 1 | 0 o 1 |
rdisp / gui_auto_output | Tempo di inattività massimo per un utente in numero di secondi | 0 (nessun limite) | senza restrizioni |
Il concetto di autorizzazione del sistema SAP si occupa di proteggere il sistema SAP dall'esecuzione di transazioni e programmi da accessi non autorizzati. Non consentire agli utenti di eseguire transazioni e programmi nel sistema SAP fino a quando non hanno definito l'autorizzazione per questa attività.
Per rendere il tuo sistema più sicuro e implementare un'autorizzazione forte, devi rivedere il tuo piano di autorizzazione per assicurarti che soddisfi i requisiti di sicurezza dell'azienda e non vi siano violazioni della sicurezza.
Tipi di utente
Nelle versioni precedenti del sistema SAP, i tipi di utente erano divisi solo in due categorie: utenti di dialogo e utenti non di dialogo e solo gli utenti non di dialogo erano consigliati per la comunicazione tra due sistemi. Con SAP 4.6C, i tipi di utenti sono stati suddivisi nelle seguenti categorie:
Dialog User- Questo utente viene utilizzato per l'accesso individuale al sistema interattivo e la maggior parte del lavoro del client viene eseguita utilizzando un utente di dialogo. La password può essere modificata dall'utente stesso. Nella finestra di dialogo utente, è possibile impedire più accessi alla finestra di dialogo.
Service User- Viene utilizzato per eseguire l'accesso interattivo al sistema per eseguire alcune attività predeterminate come la visualizzazione del catalogo prodotti. Sono consentiti più accessi per questo utente e solo un amministratore può modificare la password per questo utente.
System User- Questo ID utente viene utilizzato per eseguire la maggior parte delle attività relative al sistema: sistema di gestione dei trasporti, definizione dei flussi di lavoro e ALE. Non è un utente dipendente dal sistema interattivo e sono consentiti più accessi per questo utente.
Reference User- Un utente di riferimento non viene utilizzato per accedere a un sistema SAP. Questo utente viene utilizzato per fornire autorizzazioni aggiuntive agli utenti interni. In un sistema SAP, è possibile accedere alla scheda Ruoli e specificare un utente di riferimento per diritti aggiuntivi per gli utenti della finestra di dialogo.
Communication Users- Questo tipo di utente viene utilizzato per mantenere un accesso senza dialoghi tra diversi sistemi come la connessione RFC, CPIC. L'accesso alla finestra di dialogo utilizzando la GUI di SAP non è possibile per gli utenti di comunicazione. Un tipo di utente può modificare le proprie password come gli utenti delle finestre di dialogo comuni. Il modulo funzionale RFC può essere utilizzato per modificare la password.
Il codice della transazione: SU01viene utilizzato per la creazione dell'utente in un sistema SAP. Nella schermata seguente, puoi vedere diversi tipi di utente in un sistema SAP sotto la transazione SU01.
Creazione di un utente
Per creare uno o più utenti con diritti di accesso diversi in un sistema SAP, è necessario seguire i passaggi indicati di seguito.
Step 1 - Usa codice transazione - SU01.
Step 2 - Immettere il nome utente che si desidera creare, fare clic sull'icona di creazione come mostrato nella seguente schermata.
Step 3- Verrai indirizzato alla scheda successiva: la scheda Indirizzo. Qui, è necessario inserire i dettagli come nome, cognome, numero di telefono, ID e-mail, ecc.
Step 4 - Sarai ulteriormente indirizzato alla scheda successiva - Logon Data. Immettere il tipo di utente nella scheda Dati di accesso. Abbiamo cinque diversi tipi di utenti.
Step 5 - Digitare la prima password di accesso → Nuova password → Ripeti password.
Step 6 - Verrai indirizzato alla scheda successiva - Ruoli - Assegna i ruoli all'utente.
Step 7 - Sarai ulteriormente indirizzato alla scheda successiva - Profili - Assegna i profili agli utenti.
Step 8 - Fare clic su Salva per ricevere la conferma.
Amministrazione centrale degli utenti (CUA)
L'amministrazione centrale degli utenti è uno dei concetti chiave che consente di gestire tutti gli utenti in un panorama di sistemi SAP utilizzando un sistema centrale. Utilizzando questo strumento, è possibile gestire centralmente tutti i record anagrafici dell'utente in un sistema. Un amministratore utente centrale consente di risparmiare denaro e risorse nella gestione di utenti simili in un unico panorama di sistema.
I vantaggi dell'amministrazione utente centrale sono:
Quando si configura CUA nel panorama SAP, è possibile creare o eliminare utenti utilizzando solo il sistema centrale.
Tutti i ruoli e le autorizzazioni richieste esistono in un sistema figlio in forme attive.
Tutti gli utenti sono monitorati e gestiti centralmente, il che rende il compito di amministrazione facile e più chiara per tutte le attività di gestione degli utenti in un panorama di sistema complesso.
L'amministratore utente centrale consente di risparmiare denaro e risorse nella gestione di utenti simili in un unico panorama di sistema.
Gli scambi di dati effettuati utilizzando il ALE paesaggio chiamato come Application Link Enablingche permette di scambiare i dati in modo controllato. ALE viene utilizzato dall'amministratore utente centrale per lo scambio di dati con i sistemi figlio in un panorama di sistema SAP.
In un ambiente paesaggistico complesso, si definisce un sistema come Sistema centrale con ambiente ALE e questo è collegato a tutti i sistemi figli utilizzando lo scambio di dati bidirezionale. Il sistema figlio nel paesaggio non è connesso tra loro.
Per implementare l'Amministrazione centrale degli utenti, è necessario considerare i seguenti punti:
È necessario un ambiente SAP con più client in un unico ambiente / distribuito.
Amministratore per gestire gli utenti, necessita dell'autorizzazione per i seguenti codici di transazione -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
È necessario creare una relazione di fiducia tra i sistemi.
È necessario creare utenti di sistema nel sistema centrale e secondario.
Crea un sistema logico e assegna il sistema logico al client corrispondente.
Crea vista modello e BAPI alla vista modello.
Creare un amministratore utente centrale e impostare i parametri di distribuzione per i campi.
Sincronizza gli indirizzi dell'azienda
Trasferisci utenti
In un ambiente gestito centralmente, è necessario prima creare un amministratore. Accedere a tutti i sistemi logici del futuro CUA come utente SAP * con la password predefinita PASS.
Esegui la transazione SU01 e creare un utente con il ruolo di amministratore assegnato.
Per definire un sistema logico utilizzare Transaction BD54. Fare clic su Nuove voci per creare un nuovo sistema logico.
Creare un nuovo nome logico in lettere maiuscole per Central User Administration per i sistemi centrali e per tutti i sistemi figlio, inclusi quelli di altri sistemi SAP.
Per identificare facilmente il sistema, si dispone della seguente convenzione di denominazione che può essere utilizzata per identificare il sistema di amministrazione centrale degli utenti:
<System ID>CLNT<Client>
Immettere una descrizione utile di un sistema logico. Salvare la voce facendo clic suSavepulsante. Successivamente è creare il nome del sistema logico per il sistema centrale in tutti i sistemi figlio.
Per assegnare un sistema logico a un client, utilizzare Transaction SCC4 e passare alla modalità Cambia.
Aprire il client che si desidera assegnare al sistema logico facendo doppio clic o facendo clic su Detailspulsante. Un client può essere assegnato solo a un sistema logico.
In un campo del sistema logico nei dettagli del client, immettere un nome del sistema logico a cui si desidera assegnare questo client.
Eseguire i passaggi precedenti per tutti i client in un ambiente SAP che si desidera includere nell'amministratore utente centrale. Per salvare le impostazioni, fare clic suSave pulsante in alto.
Protezione di profili specifici in SAP
Per mantenere la sicurezza in un sistema SAP, è necessario mantenere profili specifici che contengono autorizzazioni critiche. Esistono vari profili di autorizzazione SAP che è necessario proteggere in un sistema SAP dotato di autorizzazione completa.
Alcuni profili che devono essere protetti in un sistema SAP sono:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Profilo di autorizzazione SAP_ALL
Un profilo di autorizzazione SAP_ALL consente all'utente di eseguire tutte le attività in un sistema SAP. Questo è il profilo composito che contiene tutte le autorizzazioni in un sistema SAP. Gli utenti con questa autorizzazione possono eseguire tutte le attività in un sistema SAP, quindi questo profilo non deve essere assegnato a nessun utente nel sistema.
Si consiglia di mantenere un singolo utente con un profilo. Mentre la password dovrebbe essere ben protetta per quell'utente e dovrebbe essere utilizzata solo quando è richiesta.
Invece di assegnare autorizzazioni SAP_ALL, è necessario assegnare autorizzazioni individuali agli utenti appropriati. Il tuo sistema Superuser / System Administration, invece di assegnare loro l'autorizzazione SAP_ALL, dovresti utilizzare le autorizzazioni individuali richieste.
Autorizzazione SAP_NEW
Un'autorizzazione SAP_NEW contiene tutte le autorizzazioni richieste in una nuova versione. Quando viene eseguito un aggiornamento del sistema, questo profilo viene utilizzato in modo che alcune attività vengano eseguite correttamente.
È necessario ricordare i seguenti punti su questa autorizzazione:
Quando viene eseguito un aggiornamento del sistema, è necessario eliminare i profili SAP_NEW per i rilasci precedenti.
È necessario assegnare autorizzazioni separate sotto il profilo SAP_NEW a diversi utenti nel proprio ambiente.
Questo profilo non dovrebbe essere mantenuto attivo per troppo tempo.
Quando si dispone di un lungo elenco di profili SAP_NEW nell'ambiente, viene mostrato che è necessario rivedere la politica di autorizzazione nel sistema.
Per visualizzare l'elenco di tutti i profili SAP_NEW, selezionare questo profilo facendo doppio clic e quindi → andare a Choose.
P_BAS_ALL Autorizzazione
Questa autorizzazione consente all'utente di visualizzare il contenuto delle tabelle da altre applicazioni. Questa autorizzazione contieneP_TABU_DISautorizzazione. Questa autorizzazione consente all'utente PA di vedere il contenuto della tabella che non appartiene al proprio gruppo.
Mantenimento del ruolo PFCG
PFCG Role Maintenance può essere utilizzato per gestire ruoli e autorizzazioni in un sistema SAP. In PFCG, il ruolo rappresenta un lavoro che una persona esegue in relazione a scenari di vita reale. PFCG consente di definire un insieme di transazioni che possono essere assegnate a una persona per svolgere il proprio lavoro quotidiano.
Quando i ruoli vengono creati in una transazione PFCG, è possibile utilizzare Transazione SU01per assegnare questi ruoli a singoli utenti. Un utente in un sistema SAP può essere assegnato a più ruoli e che sono correlati alla sua attività quotidiana nella vita reale.
Questi ruoli sono in connessione tra utente e autorizzazioni in un sistema SAP. Le autorizzazioni ei profili effettivi vengono memorizzati sotto forma di oggetti in un sistema SAP.
Utilizzando PFCG Role Maintenance, è possibile eseguire le seguenti funzioni:
- Modifica e assegnazione di ruoli
- Creazione di ruoli
- Creazione di ruoli compositi
- Trasporto e distribuzione dei ruoli
Discutiamo ora queste funzioni in dettaglio.
Modifica e assegnazione di ruoli
Esegui transazione: PFCG
Ti porterà alla finestra di manutenzione del ruolo. Per modificare il ruolo esistente, immettere il nome del ruolo fornito nel campo.
Copia il ruolo standard facendo clic sul pulsante Copia ruolo. Immettere il nome dallo spazio dei nomi. Fare clic sul pulsante di selezione del valore e selezionare il ruolo in cui si desidera copiarlo.
È inoltre possibile selezionare i ruoli forniti da SAP inizia con SAP_, ma poi i ruoli predefiniti verranno sovrascritti.
Per modificare il ruolo, fare clic su Change pulsante in Manutenzione ruolo.
Accedere alla scheda Menu per modificare il menu utente nella pagina della scheda Menu. Vai alla scheda Autorizzazione per modificare i dati di autorizzazione per quell'utente.
È inoltre possibile utilizzare la Modalità esperto per regolare le autorizzazioni per le modifiche del menu in Autorizzazione. Fare clic sul pulsante Genera per generare il profilo per questo ruolo.
Per assegnare gli utenti a questo ruolo, vai alla scheda Utente nell'opzione Cambia ruolo. Per assegnare un utente a questo ruolo, dovrebbe esistere nel sistema.
È inoltre possibile eseguire un confronto utenti, se necessario. Fare clic sull'opzione Confronto utenti. Puoi anche fare clic sul pulsante Informazioni per saperne di più sui ruoli singoli e compositi e sull'opzione Confronto utenti per confrontare i record principali.
Creazione di ruoli in PFCG
È possibile creare ruoli singoli e ruoli compositi in PFCG. Immettere il nome del ruolo e fare clic su Crea ruoli singoli o compositi come mostrato nello screenshot qui sotto.
Puoi selezionare dallo spazio dei nomi del cliente come Y_ o Z_. I ruoli forniti da SAP iniziano con SAP_ e non puoi prendere il nome dai ruoli forniti da SAP.
Dopo aver fatto clic sul pulsante Crea ruolo, è necessario aggiungere transazioni, rapporti e indirizzi web nella scheda MENU nella definizione del ruolo.
Vai alla scheda Autorizzazione per generare il profilo, fai clic sull'opzione Modifica dati di autorizzazione.
In base alla selezione dell'attività, viene richiesto di accedere ai livelli organizzativi. Quando si immette un valore particolare nella finestra di dialogo, i campi di autorizzazione del ruolo vengono mantenuti automaticamente.
Puoi adattare il riferimento per i ruoli. Una volta completata la definizione del ruolo, è necessario generare il ruolo. Fare clic su Genera (Maiusc + F5).
In questa struttura, quando vedi i semafori rossi, mostra i livelli organizzativi senza valori. Puoi inserire e modificare i livelli dell'organizzazione con i livelli dell'organizzazione accanto alla scheda Gestito.
Immettere il nome del profilo e fare clic sull'opzione di spunta per completare il passaggio Genera.
Clicca su Saveper salvare il profilo. Puoi assegnare direttamente questo ruolo agli utenti accedendo alle schede Utente. In modo simile, è possibile creare ruoli compositi utilizzando l'opzione PFCG Role Maintenance.
Trasporto e distribuzione dei ruoli
Eseguire la transazione - PFCG e immettere il nome del ruolo che si desidera trasportare e fare clic su Transport Role.
Raggiungerai l'opzione di trasporto del ruolo. Sono disponibili più opzioni nei ruoli di trasporto:
- Trasporta ruoli singoli per ruoli compositi.
- Profili generati dal trasporto per i ruoli.
- Dati di personalizzazione.
Nella finestra di dialogo successiva, dovresti menzionare l'assegnazione dell'utente e anche i dati di personalizzazione dovrebbero essere trasportati. Se vengono trasportate anche le assegnazioni utente, sostituiranno l'intera assegnazione utente dei ruoli nel sistema di destinazione.
Per bloccare un sistema in modo che non sia possibile importare le assegnazioni degli utenti dei ruoli, immetterlo nella tabella di personalizzazione PRGN_CUST utilizzando la transazione SM30 e seleziona il campo del valore USER_REL_IMPORT number.
Questo ruolo viene inserito nella richiesta di personalizzazione. Puoi visualizzarlo utilizzando TransactionSE10.
Nella richiesta di personalizzazione, i profili di autorizzazione vengono trasportati insieme ai ruoli.
Transazione del sistema informativo di autorizzazione - SUIM
In Gestione autorizzazioni, SUIM è uno strumento chiave che consente di trovare i profili utente in un sistema SAP e di assegnare tali profili a tale ID utente. SUIM fornisce una schermata iniziale che fornisce opzioni per la ricerca di utenti, ruoli, profili, autorizzazioni, transazioni e confronto.
Per aprire il sistema di informazioni utente, eseguire la transazione: SUIM.
In un sistema di informazioni utente, si hanno diversi nodi che possono essere utilizzati per eseguire diverse funzioni in un sistema SAP. Come in un nodo Utente, è possibile eseguire una ricerca sugli utenti in base a criteri di selezione. È possibile ottenere l'elenco bloccato di utenti, utenti che hanno accesso a un particolare insieme di transazioni, ecc.
Quando si espande ciascuna scheda, è possibile generare rapporti diversi in base a criteri di selezione diversi. Come quando espandi la scheda utente, hai le seguenti opzioni:
Quando si fa clic sugli utenti in base a criteri di selezione complessi, è possibile applicare più condizioni di selezione contemporaneamente. La seguente schermata mostra diversi criteri di selezione.
Nodo ruolo
In modo simile, è possibile accedere a diversi nodi come ruoli, profili, autorizzazioni e varie altre opzioni in questo sistema di informazioni utente.
Puoi anche utilizzare lo strumento SUIM per cercare ruoli e profili. È possibile assegnare un elenco di transazioni a un particolare insieme di ID utente, eseguendo una ricerca per transazione e assegnazione in SUIM e assegnare quei ruoli a quell'ID utente.
Utilizzando il sistema di informazioni utente, è possibile eseguire varie ricerche in un sistema SAP. È possibile inserire diversi criteri di selezione ed estrarre i report in base a utenti, profili, ruoli, transazioni e vari altri criteri.
RSUSR002 - Utenti in base a criteri di selezione complessi.
È necessario adottare varie misure di sicurezza durante l'utilizzo di determinate proprietà, file o servizi Unix, protezione dei file delle password e disattivazione dei servizi remoti BSD per rlogin e remsh.
Protezione della password
In una piattaforma Unix, un utente malintenzionato può utilizzare il programma di attacco del dizionario per scoprire le informazioni sulla password memorizzate nel sistema operativo Unix. È possibile memorizzare le password in un file di password shadow e solo un utente root può avere accesso a questo file per migliorare la sicurezza in un sistema.
Disattivazione dei servizi remoti
I servizi BSD Remote consentono l'accesso remoto ai sistemi Unix. Quando viene avviata una connessione remota/etc/host.equiv e $HOME/.rhosts vengono utilizzati e nel caso in cui questi file contengano informazioni sul nome host e l'indirizzo IP della sorgente di connessione o qualsiasi carattere jolly, non è necessario inserire la password durante l'accesso.
I servizi remoti rlogin e remsh sono una minaccia alla sicurezza in questo scenario ed è necessario disattivare questi servizi. Puoi disattivare questi servizi andando suinetd.conf file nel sistema Unix.
In un sistema Unix, rlogin è un client shell remoto (come SSH), progettato per essere veloce e piccolo. Non è crittografato, il che può presentare alcuni piccoli inconvenienti in ambienti ad alta sicurezza, ma può funzionare a velocità molto elevate. Sia il server che il client non utilizzano molta memoria.
Protezione del file system di rete in UNIX
In una piattaforma UNIX, viene utilizzato un file system di rete per accedere alle directory di trasporto e di lavoro sulla rete da un sistema SAP. Per accedere alle directory di lavoro, il processo di autenticazione coinvolge gli indirizzi di rete. È possibile che gli aggressori possano ottenere l'accesso non autorizzato tramite il Network File System utilizzando lo spoofing IP.
Per rendere il sistema sicuro, non si dovrebbe distribuire la directory home sul Network File System e l'autorizzazione di scrittura a queste directory dovrebbe essere assegnata con attenzione.
Accesso alla directory del sistema SAP per il sistema SAP in UNIX
È necessario impostare i seguenti diritti di accesso per le directory di sistema SAP in UNIX:
Directory SAP | Privilegio di accesso al modulo ottale | Proprietario | Gruppo |
---|---|---|---|
/ sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
/ sapmnt / <SID> / exe / saposcol | 4755 | radice | sapsys |
/ sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
/ sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> | 751 | <sid> adm | sapsys |
/ usr / sap / <SID> / <ID istanza> | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / <ID istanza> / * | 750 | <sid> adm | sapsys |
/ usr / sap / <SID> / <ID istanza> / sec | 700 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
/ usr / sap / trans | 775 | <sid> adm | sapsys |
/ usr / sap / trans / * | 770 | <sid> adm | sapsys |
/usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
<home directory di <sid> adm> | 700 | <sid> adm | sapsys |
<home directory di <sid> adm> / * | 700 | <sid> adm | sapsys |
È necessario creare diversi utenti e gruppi nella piattaforma Windows per eseguire il sistema SAP in modo sicuro. Per facilitare l'attività di gestione degli utenti, si consiglia di aggiungere tutti gli utenti WIN NT al gruppo utenti con diritti di accesso corretti a livello di sistema operativo. Nel sistema operativo Windows, ci sono diversi livelli di gruppo:
- Gruppi globali
- Gruppi locali
Gruppi globali
I gruppi globali in WIN sono disponibili a livello di dominio e possono essere utilizzati per assegnare utenti da più server. I gruppi globali sono disponibili per tutti i server in un dominio.
È possibile selezionare il nome dei gruppi globali in base alle proprie esigenze. Tuttavia, si consiglia di utilizzare le convenzioni di denominazione come perSAP R/3 System Installation, che è il gruppo globale standard per gli amministratori di sistema SAP ed è definito come SAP_<SID>_GlobalAdmin.
Nella piattaforma Windows, ci sono vari gruppi globali comunemente creati che possono essere utilizzati per eseguire un sistema SAP:
SAPadmin - Questo gruppo contiene un elenco di tutti gli amministratori di sistema SAP.
SAPusers - Questo gruppo contiene un elenco di tutti gli utenti dell'applicazione SAP.
SAPservices - Questo gruppo contiene un elenco di tutti i programmi di sistema SAP.
Domain Admin - Questo gruppo contiene un elenco di tutti gli amministratori di tutti i domini.
Gruppi locali
I gruppi locali nella piattaforma Windows sono limitati a un server in un dominio. Durante l'installazione, i diritti vengono assegnati ai singoli utenti e non ai gruppi. Tuttavia, si consiglia di assegnare i diritti di accesso ai gruppi locali anziché ai singoli utenti.
I gruppi locali vengono utilizzati per aumentare la sicurezza dell'ambiente Windows nei domini condivisi. È inoltre possibile assegnare utenti globali e gruppi globali a un gruppo locale. È possibile creare un gruppo locale con qualsiasi nome, ma si consiglia di utilizzare il nome del gruppo locale come:SAP_<SID>_LocalAdmin.
È possibile definire varie relazioni tra utenti, gruppi locali e gruppi globali -
- Un singolo utente può far parte di un gruppo globale e anche di un gruppo locale.
- Puoi anche includere un gruppo globale in un gruppo locale.
Utenti standard in una piattaforma Windows
Quando esegui il sistema SAP su una piattaforma Windows, ci sono utenti standard che dovrebbero essere gestiti con attenzione. Di seguito sono riportati alcuni degli utenti standard in Windows:
Window NT User -
Administrator - Account amministratore con accesso a tutte le risorse.
Guest - Solo accesso guest a tutte le risorse nel sistema.
SAP System User -
<SID>ADM SAP - Amministratore di sistema con accesso completo a tutte le risorse SAP.
SAPService<SID> - Utente speciale responsabile dell'esecuzione dei servizi SAP.
Database Users -
<DBService> - Per eseguire servizi specifici del database nella piattaforma Windows.
<DBuser> - Utente del database per eseguire operazioni generali sul database.
Inoltre, si noti che gli utenti amministratore e ospite vengono creati durante il processo di installazione e vengono utilizzati per eseguire attività specifiche di Windows. Tutti questi utenti dovrebbero essere protetti in una piattaforma Windows.
È fondamentale ed essenziale proteggere gli utenti del database in un sistema SAP. Un database può essere un database Oracle, SQL Server o un database MYSQL. È necessario proteggere gli utenti standard da questi database. La password dovrebbe essere protetta per gli utenti standard e dovrebbe essere cambiata regolarmente.
Utenti Oracle Standard
La tabella seguente mostra l'elenco degli utenti standard nell'ambiente Windows. La password deve essere mantenuta per tutti questi utenti.
Nome utente | genere | Metodo di modifica della password |
---|---|---|
<SID> ADM | Utente del sistema operativo | Meccanismo OPS $ |
SAPServic <SID> | Utente del sistema operativo | Meccanismo OPS $ |
SYS (interno) | Utente del sistema operativo | SAPDBA |
SISTEMA | Utente del sistema operativo | SAPDBA |
SAPR3 | Utente del sistema operativo | SAPDBA |
Come creare un utente OPS $ per <SID> ADM?
Per creare un utente OPS $, è necessario accedere con <SID> ADM. È necessario prima arrestare il sistema SAP se è in esecuzione e quindi eseguire il comando indicato di seguito.
Create user OPS$<adm_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
Qui <adm_user> è -
<SID> ADM per versioni precedenti di Oracle
<domain_name> \ <SID> ultime versioni di ADM
Quindi dovresti seguire i passaggi indicati di seguito:
Concedi connessione, risorsa a OPS $ <adm_user & gtl;
Collegare /
Crea tabella SAPUSER (USERID Varchar (20), PASSWD VARCHAR2 (20));
Inserisci nei valori SAPUSER ('SAPR3', '<password>);
Connetti interno
Alterare l'utente SAPR3 identificato da <password>;
In modo simile, puoi creare OPS$ per SAPService<SID>. Nel seguente comando, dovresti usare SAP_service_user invece di adm_user.
Create user OPS$<SAP_service_user> default tablespace psapuserid temporary tablespace psaptemp identified externally;
Qui <SAP_service_user> è -
SAPService <SID> per versioni precedenti di Oracle
<domain_name> \ SAPservice <SID> per le ultime versioni
Gestione delle password per gli utenti DB
È necessario gestire le password per gli utenti standard nel database. Ci sono varie utilità che puoi usare per cambiare la password.
Come modificare la password per un utente DBA utilizzando SAPDBA?
La password può essere modificata per un utente DBA utilizzando la riga di comando o la GUI. Per modificare la password utilizzando la riga di comando, è necessario utilizzare il seguente comando:
Sapdba [-u <user1>/<user1_password>] –user2 <user2_password>
Nel comando sopra, user1 è l'utente del database che SAPDBA utilizza per accedere al database.
<user1_password> è la password per la password dell'utente1.
<user2> mostra l'utente del database per il quale la password deve essere modificata.
<user2_password> è la nuova password per lo stesso utente.
Nel caso in cui si desideri accedere utilizzando il nome utente "SYSTEM" con la password predefinita, è possibile omettere –u dal comando.
Sapdba –u system/<system_password>] –sapr3 <sapr3_password>
Come modificare la password per SAPR3 utilizzando SVRMGRL?
SVRMGRL è una vecchia utility fornita con le versioni precedenti di Oracle ed è stata utilizzata per eseguire le funzioni del database menzionate di seguito. Nelle ultime versioni, i comandi di Server Manager sono ora disponibili inSQL*Plus.
- Creazione del database
- Avvia e arresta il database
- Ripristino del database
- Gestione delle password
Per modificare la password, è necessario seguire i passaggi indicati di seguito:
- Avvia SVRMGRL.
- Connettiti al database utilizzando il comando connect interno.
- SVRMGR> connetti interno.
- Connected.
Il passaggio successivo è aggiornare la tabella SAPUSER inserendo il comando fornito di seguito:
Update OPS$ <SID>ADM.SAPUSER set PASSWD = ’<new_password>’ where USERID = ’SAPR3’;
È necessario aggiornare la password per SAPR3 nel database utilizzando la riga di comando.
L'utente alterato sapr3 è identificato da <new_password>
Single Sign-On (SSO)è uno dei concetti chiave che ti consente di accedere a un sistema e puoi accedere a più sistemi nel backend. SSO consente all'utente di accedere alle risorse software attraverso i sistemi SAP nel back-end.
Il SSO with NetWeaverLa piattaforma fornisce l'autenticazione dell'utente e aiuta gli amministratori di sistema a gestire i carichi degli utenti in un complesso panorama del sistema SAP. La configurazione SSO semplifica il processo di accesso di un utente ai sistemi e alle applicazioni SAP in landscape, migliorando le misure di sicurezza e riducendo le attività di gestione delle password per più sistemi.
SSO aiuta un'organizzazione a ridurre i costi operativi diminuendo il numero di chiamate al Service Desk relative a problemi di password e quindi aumentare la produttività degli utenti aziendali. Il meccanismo di integrazione di SAP NetWeaver consente di integrare facilmente il sistema SAP NetWeaver nel concetto SSO e fornisce un facile accesso ai sistemi di backend nell'ambiente SAP System Landscape.
Concetto di Single Sign-On SAP
Il Single Sign-On può essere configurato con mySAP Workplace che consente a un utente di accedere quotidianamente a mySAP Workplace e può accedere alle applicazioni senza immettere ripetutamente nome utente e password.
Puoi configurare SSO con mySAP Workplace utilizzando i seguenti metodi di autenticazione:
- Nome utente e password
- Biglietti di accesso SAP
- Certificati client X.509
Integrazione in Single Sign-On
La piattaforma SSO con NetWeaver fornisce l'autenticazione degli utenti e aiuta gli amministratori di sistema a gestire i carichi degli utenti in un panorama di sistema SAP complesso. La configurazione SSO semplifica il processo di accesso degli utenti ai sistemi e alle applicazioni SAP in landscape migliorando le misure di sicurezza e riducendo le attività di gestione delle password per più sistemi.
L'utilizzo di SAP NetWeaver consente di configurare diversi meccanismi utilizzati dagli utenti autorizzati per accedere al sistema NetWeaver utilizzando il metodo SSO. Il meccanismo di accesso nel sistema dipende dalla tecnologia del sistema SAP NetWeaver e dai diversi canali di comunicazione utilizzati per accedere a tali sistemi.
Configurazione del Single Sign-On in una GUI SAP
Per configurare un Single Sign-On, è necessario avere accesso ai seguenti codici T:
- RZ10
- STRUST
Una volta che hai questi codici T, dovresti seguire i passaggi indicati di seguito:
Step 1 - Accedi a qualsiasi sistema SAP ECC utilizzando la GUI SAP, vai a T-code RZ10.
Step 2 - Selezionare il profilo predefinito e successivamente la manutenzione estesa.
Step 3 - Fare clic su Modifica e verrà visualizzato l'elenco dei parametri per il profilo.
Step 4 - Modificare i seguenti parametri del profilo -
- login / create_sso2_ticket = 1
- login / accept_sso2_ticket = 1
Step 5- Salva e attiva il profilo. Genererà un nuovo profilo.
Step 6 - Esporta il file R3SSO certificato dal Trust Manager, vai alla transazione STRUST.
Step 7- Fare doppio clic sulla casella di testo a destra di Proprio certificato. Vengono visualizzate le informazioni sul certificato. Annotare i valori di questo certificato in quanto è necessario immettere i valori.
Step 8 - Fare clic su Icona Esporta certificato.
Step 9 - Salva il file come <R3_Name> - <Client> .crt.
Example - EBS-300.crt
Step 10 - Fare clic sulla casella di spunta per creare il file nella directory principale.
Step 11 - Importa R3 SSO certificato al motore Java utilizzando lo strumento di amministrazione.
Note - Assicurati che il motore Java sia avviato.
Step 12 - Apri lo strumento di amministrazione Java.
Step 13 - Immettere la password dell'amministratore del motore Java e fare clic su Connetti.
Step 14 - Scegli Server → Chiave servizi → Archiviazione.
Step 15 - Fare clic su Ticket Key Store nel pannello Visualizza.
Step 16- Fare clic su Carica nella casella di gruppo Voce. Seleziona il file .crt che hai esportato nel passaggio precedente.
Step 17 - Configurare il servizio Security Provider nel motore Java SAP utilizzando lo strumento di amministrazione.
Step 18 - Scegli Server Services Security Provider.
Step 19 - Scegli il ticket nel pannello Component e vai alla scheda Autenticazione.
Step 20 - Modifica le opzioni di Evaluate Ticket Login Module e aggiungi le seguenti proprietà a ciascun sistema di backend su cui desideri configurare SSO.
Single Sign-On per l'accesso basato sul Web
È possibile configurare diverse opzioni con SSO per accedere al sistema SAP NetWeaver. È inoltre possibile accedere a SAP NetWeaver System tramite un browser Web o da un altro client Web. Utilizzando SSO, gli utenti possono accedere ai sistemi di backend e ad altre informazioni protette situate nella rete aziendale.
SSO consente di utilizzare diversi metodi di autenticazione della sicurezza per l'integrazione dell'accesso utente basato sul Web sui server NetWeaver Application. È inoltre possibile implementare vari metodi di sicurezza della comunicazione di rete come la crittografia per inviare le informazioni sulla rete.
I seguenti metodi di autenticazione possono essere configurati con SSO per accedere ai dati sui server delle applicazioni:
- Utilizzo di ID utente e autenticazione con password
- Utilizzo dei ticket di accesso
- Utilizzo dei certificati client X.509
- Utilizzo degli artefatti del browser SAML
- Utilizzo di SAML 2.0
- Utilizzo dell'autenticazione Kerberos
Durante l'accesso ai dati su Internet, è anche possibile utilizzare il meccanismo di sicurezza nel livello di rete e trasporto.
È possibile configurare i ticket di accesso SAP con firma digitale da configurare con un Single Sign-On per accedere alle applicazioni integrate in un ambiente SAP. È possibile configurare un portale per emettere ticket di accesso SAP agli utenti e gli utenti devono autenticare questo sistema per l'accesso iniziale. Quando i ticket di accesso SAP vengono emessi agli utenti, vengono salvati nei browser Web e consentono all'utente di accedere a diversi sistemi con l'uso di SSO.
In un server delle applicazioni ABAP, ci sono due diversi tipi di ticket di accesso che possono essere configurati:
Logon Tickets - Questi ticket consentono l'accesso basato sul Web utilizzando il metodo SSO.
Authentication Assertion Tickets - Questi ticket vengono utilizzati per la comunicazione da sistema a sistema.
Per configurare i ticket di accesso SAP, è necessario impostare i seguenti parametri nel profilo utente.
login / accept_sso2_ticket
È possibile utilizzare i ticket Single Sign-On (SSO) per consentire un SSO tra i sistemi SAP e anche oltre i sistemi non SAP. Un ticket SSO può essere un ticket di accesso o un ticket di asserzione. Il ticket di accesso viene trasferito come cookie con il nomeMYSAPSSO2. Il ticket di asserzione viene trasferito come una variabile di intestazione HTTP con il nome MYSAPSSO2.
Note- Ciò richiede ulteriori passaggi di configurazione per l'emissione e l'accettazione dei sistemi. I sistemi dei componenti SSO dovrebbero consentire l'accesso tramite un ticket SSO (login / accept_sso2_ticket = 1).
Se viene utilizzata solo la procedura (certificato client X.509) per un Single Sign-On, o se non si desidera utilizzare Single Sign-On per questo sistema, è possibile disattivare questo accesso tramite ticket SSO (login / accept_sso2_ticket = 0).
Per impostare il parametro, utilizzare Transaction RZ11
Values allowed - 0/1
login / create_sso2_ticket
È possibile utilizzare i ticket Single Sign-On (SSO) per consentire un SSO tra sistemi SAP e anche oltre a sistemi non SAP. Un ticket SSO può essere un ticket di accesso o un ticket di asserzione. Il ticket di accesso viene trasferito come cookie con il nome MYSAPSSO2. Il ticket di asserzione viene trasferito come una variabile di intestazione HTTP con il nome MYSAPSSO2.
Note - Ciò richiede ulteriori passaggi di configurazione per l'emissione e l'accettazione dei sistemi.
Il sistema di emissione dovrebbe consentire la generazione di un biglietto SSO -
login / create_sso2_ticket = 1: ticket SSO incluso certificato
login / create_sso2_ticket = 2: ticket SSO senza certificato
login / create_sso2_ticket = 3: genera solo ticket di asserzione
Values allowed- 0/1/2/3
login / ticket_expiration_time
Per rendere possibile avere un Single Sign-On (SSO) quando si utilizza mySAP.com Workplace, è possibile utilizzare i ticket SSO. Quando crei un ticket SSO, puoi impostare il periodo di validità. Una volta scaduto, il ticket SSO non può più essere utilizzato per accedere ai sistemi dei componenti del posto di lavoro. L'utente deve quindi accedere nuovamente al server di lavoro per ottenere un nuovo ticket SSO.
Values allowed - <Ore> [: <Minuti>]
Se vengono immessi valori errati, viene utilizzato il valore predefinito (8 ore).
I valori corretti saranno come mostrato di seguito -
- 24 → 24 ore
- 1:30 → 1 ora e 30 minuti
- 0:05 → 5 minuti
I valori errati saranno i seguenti:
- 40 (0:40 sarebbe corretto)
- 0:60 (1 sarebbe corretto)
- 10: 000 (10 sarebbe corretto)
- 24: (24 sarebbe corretto)
- 1:A3
Certificati client X.509
Utilizzando un metodo SSO, è possibile utilizzare i certificati client X.509 per autenticare NetWeaver Application Server. I certificati client utilizzano metodi di crittografia molto avanzati per proteggere l'accesso degli utenti al server di applicazioni NetWeaver, quindi NetWeaver Application Server deve essere abilitato con tecniche di crittografia avanzate.
È necessario configurare SSL sui server delle applicazioni SAP NetWeaver poiché l'autenticazione avviene utilizzando il protocollo SSL senza immettere alcun nome utente e password. Per utilizzare il protocollo SSL, è necessaria una connessione HTTPS per comunicare tra il browser Web e NetWeaver ABAP Application Server.
Security Assertion Markup Language (SAML2.0)
SAML2.0 può essere utilizzato come autenticazione con Single Sign-On SSO e abilita SSO su diversi domini. SAML 2.0 è sviluppato da un'organizzazione denominata OASIS. Fornisce inoltre un'opzione di disconnessione singola, il che significa che quando un utente si disconnette da tutti i sistemi, il fornitore di servizi nel sistema SAP avvisa i fornitori di identità che a loro volta disconnettono tutte le sessioni.
Di seguito sono riportati i vantaggi dell'utilizzo dell'autenticazione SAML2.0:
È possibile ridurre l'overhead di mantenere l'autenticazione per il sistema che ospita l'applicazione su un altro sistema.
È inoltre possibile mantenere l'autenticazione per i fornitori di servizi esterni senza mantenere le identità degli utenti nei sistemi.
Opzione di logout singolo in tutti i sistemi.
Per mappare automaticamente gli account utente.
Autenticazione Kerberos
È inoltre possibile utilizzare l'autenticazione Kerberos per il server di applicazioni SAP NetWeaver utilizzando l'accesso tramite client Web e browser Web. Utilizza un meccanismo di negoziazione API GSS semplice e protettoSPNegoche richiede anche un Single Sign-On SSO 2.0 o una versione successiva con licenze aggiuntive per utilizzare questa autenticazione. IlSPNego non supporta la sicurezza del livello di trasporto, quindi si consiglia di utilizzare il protocollo SSL per aggiungere la sicurezza del livello di trasporto per comunicare con NetWeaver Application Server.
Nella schermata sopra, puoi vedere diversi metodi di autenticazione che possono essere configurati in un profilo utente per scopi di autenticazione.
Ogni metodo di autenticazione in SAP ha i suoi vantaggi e può essere utilizzato in diversi scenari.