Sicurezza SAP - Concetto di autorizzazione del sistema
Il concetto di autorizzazione del sistema SAP si occupa di proteggere il sistema SAP dall'esecuzione di transazioni e programmi da accessi non autorizzati. Non consentire agli utenti di eseguire transazioni e programmi nel sistema SAP fino a quando non hanno definito l'autorizzazione per questa attività.
Per rendere il tuo sistema più sicuro e implementare un'autorizzazione forte, devi rivedere il tuo piano di autorizzazione per assicurarti che soddisfi i requisiti di sicurezza dell'azienda e non vi siano violazioni della sicurezza.
Tipi di utente
Nelle versioni precedenti del sistema SAP, i tipi di utente erano divisi solo in due categorie: utenti di dialogo e utenti non di dialogo e solo gli utenti non di dialogo erano consigliati per la comunicazione tra due sistemi. Con SAP 4.6C, i tipi di utenti sono stati suddivisi nelle seguenti categorie:
Dialog User- Questo utente viene utilizzato per l'accesso individuale al sistema interattivo e la maggior parte del lavoro del client viene eseguita utilizzando un utente di dialogo. La password può essere modificata dall'utente stesso. Nella finestra di dialogo utente, è possibile impedire più accessi alla finestra di dialogo.
Service User- Viene utilizzato per eseguire l'accesso interattivo al sistema per eseguire alcune attività predeterminate come la visualizzazione del catalogo prodotti. Sono consentiti più accessi per questo utente e solo un amministratore può modificare la password per questo utente.
System User- Questo ID utente viene utilizzato per eseguire la maggior parte delle attività relative al sistema: sistema di gestione dei trasporti, definizione dei flussi di lavoro e ALE. Non è un utente dipendente dal sistema interattivo e sono consentiti più accessi per questo utente.
Reference User- Un utente di riferimento non viene utilizzato per accedere a un sistema SAP. Questo utente viene utilizzato per fornire autorizzazioni aggiuntive agli utenti interni. In un sistema SAP, è possibile accedere alla scheda Ruoli e specificare un utente di riferimento per diritti aggiuntivi per gli utenti della finestra di dialogo.
Communication Users- Questo tipo di utente viene utilizzato per mantenere un accesso senza dialoghi tra diversi sistemi come la connessione RFC, CPIC. L'accesso alla finestra di dialogo utilizzando la GUI di SAP non è possibile per gli utenti di comunicazione. Un tipo di utente può modificare le proprie password come gli utenti delle finestre di dialogo comuni. Il modulo funzionale RFC può essere utilizzato per modificare la password.
Il codice della transazione: SU01viene utilizzato per la creazione dell'utente in un sistema SAP. Nella schermata seguente, puoi vedere diversi tipi di utente in un sistema SAP sotto la transazione SU01.
Creazione di un utente
Per creare uno o più utenti con diritti di accesso diversi in un sistema SAP, è necessario seguire i passaggi indicati di seguito.
Step 1 - Usa codice transazione - SU01.
Step 2 - Immettere il nome utente che si desidera creare, fare clic sull'icona di creazione come mostrato nello screenshot seguente.
Step 3- Verrai indirizzato alla scheda successiva: la scheda Indirizzo. Qui, è necessario inserire i dettagli come nome, cognome, numero di telefono, ID e-mail, ecc.
Step 4 - Verrai ulteriormente indirizzato alla scheda successiva - Logon Data. Immettere il tipo di utente nella scheda Dati di accesso. Abbiamo cinque diversi tipi di utenti.
Step 5 - Digitare la prima password di accesso → Nuova password → Ripeti password.
Step 6 - Verrai indirizzato alla scheda successiva - Ruoli - Assegna i ruoli all'utente.
Step 7 - Sarai ulteriormente indirizzato alla scheda successiva - Profili - Assegna i profili agli utenti.
Step 8 - Fare clic su Salva per ricevere la conferma.
Amministrazione centrale degli utenti (CUA)
L'amministrazione centrale degli utenti è uno dei concetti chiave che consente di gestire tutti gli utenti in un panorama di sistemi SAP utilizzando un sistema centrale. Utilizzando questo strumento, è possibile gestire centralmente tutti i record anagrafici dell'utente in un unico sistema. Un amministratore utente centrale consente di risparmiare denaro e risorse nella gestione di utenti simili in un unico panorama di sistema.
I vantaggi dell'amministrazione utente centrale sono:
Quando si configura CUA nel panorama SAP, è possibile creare o eliminare utenti utilizzando solo il sistema centrale.
Tutti i ruoli e le autorizzazioni richieste esistono in un sistema figlio in forme attive.
Tutti gli utenti sono monitorati e gestiti centralmente, il che rende il compito di amministrazione facile e più chiara per tutte le attività di gestione degli utenti in un panorama di sistema complesso.
L'amministratore utente centrale consente di risparmiare denaro e risorse nella gestione di utenti simili in un unico panorama di sistema.
Gli scambi di dati effettuati utilizzando il ALE paesaggio chiamato come Application Link Enablingche permette di scambiare i dati in modo controllato. ALE viene utilizzato dall'amministratore utente centrale per lo scambio di dati con sistemi figlio in un panorama di sistema SAP.
In un ambiente paesaggistico complesso, si definisce un sistema come Sistema centrale con ambiente ALE e questo è collegato a tutti i sistemi figli utilizzando lo scambio di dati bidirezionale. Il sistema figlio nel paesaggio non è connesso tra loro.
Per implementare l'Amministrazione centrale degli utenti, è necessario considerare i seguenti punti:
È necessario un ambiente SAP con più client in un unico ambiente / distribuito.
Amministratore per gestire gli utenti, necessita dell'autorizzazione per i seguenti codici di transazione -
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
È necessario creare una relazione di fiducia tra i sistemi.
È necessario creare utenti di sistema nel sistema centrale e secondario.
Crea un sistema logico e assegna il sistema logico al client corrispondente.
Crea vista modello e BAPI alla vista modello.
Creare un amministratore utente centrale e impostare i parametri di distribuzione per i campi.
Sincronizza gli indirizzi dell'azienda
Trasferisci utenti
In un ambiente gestito centralmente, è necessario prima creare un amministratore. Accedere a tutti i sistemi logici del futuro CUA come utente SAP * con la password predefinita PASS.
Esegui la transazione SU01 e creare un utente con il ruolo di amministratore assegnato.
Per definire un sistema logico utilizzare Transaction BD54. Fare clic su Nuove voci per creare un nuovo sistema logico.
Creare un nuovo nome logico in lettere maiuscole per Central User Administration per i sistemi centrali e tutti i sistemi secondari, inclusi quelli di altri sistemi SAP.
Per identificare facilmente il sistema, si dispone della seguente convenzione di denominazione che può essere utilizzata per identificare il sistema di amministrazione centrale degli utenti:
<System ID>CLNT<Client>
Immettere una descrizione utile di un sistema logico. Salvare la voce facendo clic suSavepulsante. Successivamente è creare il nome del sistema logico per il sistema centrale in tutti i sistemi figlio.
Per assegnare un sistema logico a un client, utilizzare Transaction SCC4 e passare alla modalità Cambia.
Aprire il client che si desidera assegnare al sistema logico facendo doppio clic o facendo clic su Detailspulsante. Un client può essere assegnato solo a un sistema logico.
In un campo di sistema logico nei dettagli del client, immettere un nome di sistema logico a cui si desidera assegnare questo client.
Eseguire i passaggi precedenti per tutti i client in un ambiente SAP che si desidera includere nell'amministratore utente centrale. Per salvare le impostazioni, fare clic suSave pulsante in alto.
Protezione di profili specifici in SAP
Per mantenere la sicurezza in un sistema SAP, è necessario mantenere profili specifici che contengono autorizzazioni critiche. Esistono vari profili di autorizzazione SAP che è necessario proteggere in un sistema SAP che dispone dell'autorizzazione completa.
Alcuni profili che devono essere protetti in un sistema SAP sono:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Profilo di autorizzazione SAP_ALL
Un profilo di autorizzazione SAP_ALL consente all'utente di eseguire tutte le attività in un sistema SAP. Questo è il profilo composito che contiene tutte le autorizzazioni in un sistema SAP. Gli utenti con questa autorizzazione possono eseguire tutte le attività in un sistema SAP, quindi questo profilo non deve essere assegnato a nessun utente nel sistema.
Si consiglia di mantenere un singolo utente con un profilo. Mentre la password dovrebbe essere ben protetta per quell'utente e dovrebbe essere utilizzata solo quando è richiesta.
Invece di assegnare autorizzazioni SAP_ALL, è necessario assegnare autorizzazioni individuali agli utenti appropriati. Il Superuser / System Administration del sistema, invece di assegnare loro l'autorizzazione SAP_ALL, è necessario utilizzare le autorizzazioni individuali richieste.
Autorizzazione SAP_NEW
Un'autorizzazione SAP_NEW contiene tutte le autorizzazioni richieste in una nuova versione. Quando viene eseguito un aggiornamento del sistema, questo profilo viene utilizzato in modo che alcune attività vengano eseguite correttamente.
È necessario ricordare i seguenti punti su questa autorizzazione:
Quando viene eseguito un aggiornamento del sistema, è necessario eliminare i profili SAP_NEW per i rilasci precedenti.
È necessario assegnare autorizzazioni separate sotto il profilo SAP_NEW a diversi utenti nel proprio ambiente.
Questo profilo non dovrebbe essere mantenuto attivo troppo a lungo.
Quando si dispone di un lungo elenco di profili SAP_NEW nell'ambiente, viene mostrato che è necessario rivedere la politica di autorizzazione nel sistema.
Per visualizzare l'elenco di tutti i profili SAP_NEW, selezionare questo profilo facendo doppio clic e quindi → andare a Choose.
P_BAS_ALL Autorizzazione
Questa autorizzazione consente all'utente di visualizzare il contenuto delle tabelle da altre applicazioni. Questa autorizzazione contieneP_TABU_DISautorizzazione. Questa autorizzazione consente all'utente PA di vedere il contenuto della tabella che non appartiene al proprio gruppo.
Mantenimento del ruolo PFCG
PFCG Role Maintenance può essere utilizzato per gestire ruoli e autorizzazioni in un sistema SAP. In PFCG, il ruolo rappresenta un lavoro che una persona esegue in relazione a scenari di vita reale. PFCG consente di definire un insieme di transazioni che possono essere assegnate a una persona per svolgere il proprio lavoro quotidiano.
Quando i ruoli vengono creati in una transazione PFCG, è possibile utilizzare Transazione SU01per assegnare questi ruoli a singoli utenti. A un utente in un sistema SAP possono essere assegnati più ruoli e che sono correlati alla sua attività quotidiana nella vita reale.
Questi ruoli sono in connessione tra utente e autorizzazioni in un sistema SAP. Le autorizzazioni ei profili effettivi vengono memorizzati sotto forma di oggetti in un sistema SAP.
Utilizzando PFCG Role Maintenance, è possibile eseguire le seguenti funzioni:
- Modifica e assegnazione di ruoli
- Creazione di ruoli
- Creazione di ruoli compositi
- Trasporto e distribuzione dei ruoli
Parliamo ora in dettaglio di queste funzioni.
Modifica e assegnazione di ruoli
Esegui transazione: PFCG
Ti porterà alla finestra di manutenzione del ruolo. Per modificare il ruolo esistente, immettere il nome del ruolo fornito nel campo.
Copia il ruolo standard facendo clic sul pulsante Copia ruolo. Immettere il nome dallo spazio dei nomi. Fare clic sul pulsante di selezione del valore e selezionare il ruolo in cui si desidera copiarlo.
È inoltre possibile selezionare i ruoli forniti da SAP inizia con SAP_, ma poi i ruoli predefiniti verranno sovrascritti.
Per modificare il ruolo, fare clic su Change pulsante in Manutenzione ruolo.
Accedere alla scheda Menu per modificare il menu utente nella pagina della scheda Menu. Vai alla scheda Autorizzazione per modificare i dati di autorizzazione per quell'utente.
È inoltre possibile utilizzare la Modalità esperto per regolare le autorizzazioni per le modifiche del menu in Autorizzazione. Fare clic sul pulsante Genera per generare il profilo per questo ruolo.
Per assegnare gli utenti a questo ruolo, vai alla scheda Utente nell'opzione Cambia ruolo. Per assegnare un utente a questo ruolo, dovrebbe esistere nel sistema.
È inoltre possibile eseguire un confronto utenti, se necessario. Fare clic sull'opzione Confronto utenti. Puoi anche fare clic sul pulsante Informazioni per saperne di più sui ruoli singoli e compositi e sull'opzione Confronto utenti per confrontare i record principali.
Creazione di ruoli in PFCG
È possibile creare ruoli singoli e ruoli compositi in PFCG. Immettere il nome del ruolo e fare clic su Crea ruoli singoli o compositi come mostrato nello screenshot qui sotto.
Puoi selezionare dallo spazio dei nomi del cliente come Y_ o Z_. I ruoli forniti da SAP iniziano con SAP_ e non puoi prendere il nome dai ruoli forniti da SAP.
Dopo aver fatto clic sul pulsante Crea ruolo, è necessario aggiungere transazioni, rapporti e indirizzi web nella scheda MENU nella definizione del ruolo.
Passare alla scheda Autorizzazione per generare il profilo, fare clic sull'opzione Modifica dati di autorizzazione.
In base alla selezione dell'attività, viene richiesto di inserire i livelli organizzativi. Quando si immette un valore particolare nella finestra di dialogo, i campi di autorizzazione del ruolo vengono mantenuti automaticamente.
Puoi adattare il riferimento per i ruoli. Una volta completata la definizione del ruolo, è necessario generare il ruolo. Fare clic su Genera (Maiusc + F5).
In questa struttura, quando vedi i semafori rossi, mostra i livelli organizzativi senza valori. Puoi inserire e modificare i livelli dell'organizzazione con i livelli dell'organizzazione accanto alla scheda Gestito.
Immettere il nome del profilo e fare clic sull'opzione di spunta per completare il passaggio Genera.
Clicca su Saveper salvare il profilo. Puoi assegnare direttamente questo ruolo agli utenti accedendo alle schede Utente. In modo simile, è possibile creare ruoli compositi utilizzando l'opzione PFCG Role Maintenance.
Trasporto e distribuzione dei ruoli
Eseguire la transazione - PFCG e immettere il nome del ruolo che si desidera trasportare e fare clic su Transport Role.
Raggiungerai l'opzione di trasporto del ruolo. Sono disponibili più opzioni nei ruoli di trasporto:
- Trasporta ruoli singoli per ruoli compositi.
- Profili generati dal trasporto per i ruoli.
- Dati di personalizzazione.
Nella finestra di dialogo successiva, dovresti menzionare l'assegnazione dell'utente e anche i dati di personalizzazione dovrebbero essere trasportati. Se vengono trasportate anche le assegnazioni utente, sostituiranno l'intera assegnazione utente dei ruoli nel sistema di destinazione.
Per bloccare un sistema in modo che non sia possibile importare le assegnazioni degli utenti dei ruoli, immetterlo nella tabella di personalizzazione PRGN_CUST utilizzando la transazione SM30 e seleziona il campo del valore USER_REL_IMPORT number.
Questo ruolo viene inserito nella richiesta di personalizzazione. Puoi visualizzarlo utilizzando TransactionSE10.
Nella richiesta di personalizzazione, i profili di autorizzazione vengono trasportati insieme ai ruoli.
Transazione del sistema informativo di autorizzazione - SUIM
In Gestione autorizzazioni, SUIM è uno strumento chiave che consente di trovare i profili utente in un sistema SAP e di assegnare tali profili a tale ID utente. SUIM fornisce una schermata iniziale che fornisce opzioni per la ricerca di utenti, ruoli, profili, autorizzazioni, transazioni e confronto.
Per aprire il sistema di informazioni utente, eseguire la transazione: SUIM.
In un sistema di informazioni utente, si hanno diversi nodi che possono essere utilizzati per eseguire diverse funzioni in un sistema SAP. Come in un nodo Utente, è possibile eseguire una ricerca sugli utenti in base a criteri di selezione. È possibile ottenere l'elenco bloccato di utenti, utenti che hanno accesso a un particolare insieme di transazioni, ecc.
Quando si espande ciascuna scheda, è possibile generare rapporti diversi in base a criteri di selezione diversi. Come quando espandi la scheda utente, hai le seguenti opzioni:
Quando si fa clic sugli utenti in base a criteri di selezione complessi, è possibile applicare più condizioni di selezione contemporaneamente. La seguente schermata mostra diversi criteri di selezione.
Nodo ruolo
In modo simile, è possibile accedere a diversi nodi come ruoli, profili, autorizzazioni e varie altre opzioni in questo sistema di informazioni utente.
Puoi anche utilizzare lo strumento SUIM per cercare ruoli e profili. È possibile assegnare un elenco di transazioni a un particolare insieme di ID utente, eseguendo una ricerca per transazione e assegnazione in SUIM e assegnare quei ruoli a quell'ID utente.
Utilizzando il sistema di informazioni utente, è possibile eseguire varie ricerche in un sistema SAP. È possibile inserire diversi criteri di selezione ed estrarre i report in base a utenti, profili, ruoli, transazioni e vari altri criteri.
RSUSR002 - Utenti in base a criteri di selezione complessi.