Autenticazione e gestione degli utenti
Se un utente non autorizzato può accedere al sistema SAP con un utente autorizzato noto e può apportare modifiche alla configurazione e manipolare la configurazione del sistema e le politiche chiave. Se un utente autorizzato ha accesso a dati e informazioni importanti di un sistema, quell'utente può accedere anche ad altre informazioni critiche. Ciò migliora l'uso dell'autenticazione sicura per proteggere la disponibilità, l'integrità e la privacy di un sistema utente.
Meccanismo di autenticazione in un sistema SAP
Il meccanismo di autenticazione definisce il modo in cui accedi al tuo sistema SAP. Sono disponibili vari metodi di autenticazione:
- ID utente e strumenti di gestione degli utenti
- Comunicazione di rete sicura
- Biglietti di accesso SAP
- Certificati client X.509
ID utente e strumenti di gestione degli utenti
Il metodo di autenticazione più comune in un sistema SAP consiste nell'utilizzare il nome utente e la password per accedere. Gli ID utente per il login vengono creati dall'amministratore SAP. Per fornire un meccanismo di autenticazione sicuro tramite nome utente e password, è necessario definire criteri per le password che non consentano agli utenti di impostare una password semplice prevista.
SAP fornisce vari parametri predefiniti che è necessario impostare per definire i criteri della password: lunghezza della password, complessità della password, modifica della password predefinita, ecc
Strumenti di gestione degli utenti in un sistema SAP
SAP NetWeaver Systemfornisce vari strumenti di gestione degli utenti che possono essere utilizzati per gestire efficacemente gli utenti nel proprio ambiente. Forniscono un metodo di autenticazione molto potente per entrambi i tipi di server NetWeaver Application: Java e ABAP.
Alcuni degli strumenti di gestione degli utenti più comuni sono:
Gestione utenti per ABAP Application Server (codice transazione: SU01)
È possibile utilizzare il codice transazione SU01 per la gestione degli utenti per mantenere gli utenti nei server delle applicazioni basati su ABAP.
SAP NetWeaver Identity Management
È possibile utilizzare SAP NetWeaver Identity Management per la gestione degli utenti, nonché per la gestione dei ruoli e delle assegnazioni di ruoli nel proprio ambiente SAP.
Ruoli PFCG
È possibile utilizzare il generatore di profili PFCG per creare ruoli e assegnare autorizzazioni agli utenti nei sistemi basati su ABAP.
Transaction Code - PFCG
Amministrazione centrale degli utenti
È possibile utilizzare CUA per mantenere gli utenti per più sistemi basati su ABAP. Puoi anche sincronizzarlo con i tuoi server di directory. Utilizzando questo strumento, è possibile gestire tutto il record anagrafico dell'utente centralmente dal client del sistema.
Transaction Code - SCUA e creare un modello di distribuzione.
UME del motore di gestione degli utenti
È possibile utilizzare i ruoli UME per controllare l'autorizzazione dell'utente nel sistema. Un amministratore può utilizzare azioni che rappresentano la più piccola entità del ruolo UME che un utente può utilizzare per creare diritti di accesso.
È possibile aprire la console di amministrazione UME utilizzando l'opzione SAP NetWeaver Administrator.
Criterio password
Un criterio per le password è definito come un insieme di istruzioni che un utente deve seguire per migliorare la sicurezza del sistema utilizzando password complesse e utilizzandole correttamente. In molte organizzazioni, la policy delle password è condivisa come parte della formazione sulla consapevolezza della sicurezza ed è obbligatorio per gli utenti mantenere la policy per la sicurezza dei sistemi e delle informazioni critiche in un'organizzazione.
Utilizzando la politica delle password in un sistema SAP, un amministratore può configurare gli utenti del sistema per distribuire password complesse che non sono facili da violare. Questo aiuta anche a cambiare la password a intervalli di tempo regolari per la sicurezza del sistema.
I seguenti criteri per le password sono comunemente utilizzati in un sistema SAP:
Modifica password predefinita / iniziale
Ciò consente agli utenti di modificare la password iniziale immediatamente quando viene utilizzata per la prima volta.
Lunghezza della password
In un sistema SAP, la lunghezza minima per le password nei sistemi SAP è 3 per impostazione predefinita. Questo valore può essere modificato utilizzando il parametro del profilo e la lunghezza massima consentita è 8.
Transaction Code - RZ11
Parameter Name - login / min_password_lng
È possibile fare clic sulla documentazione del parametro del profilo per questa politica e visualizzare la documentazione dettagliata da SAP come segue:
Parameter - login / min_password_lng
Short text - Lunghezza minima della password
Parameter Description- Questo parametro specifica la lunghezza minima della password di accesso. La password deve contenere almeno tre caratteri. Tuttavia, l'amministratore può specificare una lunghezza minima maggiore. Questa impostazione si applica quando vengono assegnate nuove password e quando le password esistenti vengono modificate o reimpostate.
Application Area - Accesso
Parameter Unit - Numero di caratteri (alfanumerici)
Default Value - 6
Who is permitted to make changes? Cliente
Operating System Restrictions - Nessuno
Database System Restrictions - Nessuno
Password illegali
Non è possibile selezionare il primo carattere di una password come punto interrogativo (?) O punto esclamativo (!). Puoi anche aggiungere gli altri caratteri che desideri limitare nella tabella delle password illegali.
Transaction Code - Nome tabella SM30: USR40.
Una volta entrati nella tabella - USR40 e fare clic su Display in alto, ti mostrerà l'elenco di tutte le password non consentite.
Dopo aver fatto clic su New Entries, è possibile immettere i nuovi valori in questa tabella e selezionare anche la casella di controllo con distinzione tra maiuscole e minuscole.
Pattern password
È inoltre possibile impostare che i primi tre caratteri della password non possano apparire nello stesso ordine come parte del nome utente. Diversi modelli di password che possono essere limitati utilizzando la politica delle password includono:
- I primi tre personaggi non possono essere tutti uguali.
- I primi tre caratteri non possono includere caratteri di spazio.
- La password non può essere PASS o SAP.
Modifica della password
In questo criterio, un utente può essere autorizzato a modificare la propria password quasi una volta al giorno, ma un amministratore può reimpostare la password di un utente tutte le volte che è necessario.
A un utente non dovrebbe essere consentito di riutilizzare le ultime cinque password. Tuttavia, un amministratore può reimpostare la password utilizzata in precedenza da un utente.
Parametri del profilo
Esistono diversi parametri del profilo che è possibile definire in un sistema SAP per la gestione degli utenti e la politica delle password.
In un sistema SAP, è possibile visualizzare la documentazione per ogni parametro del profilo accedendo a Tools → CCMS → Configuration →Profile Maintenance(Transazione: RZ11). Immettere il nome del parametro e fare clic suDisplay.
Nella finestra successiva che appare, devi inserire il nome del parametro, puoi vedere 2 opzioni -
Display - Per visualizzare il valore dei parametri nel sistema SAP.
Display Docu - Per visualizzare la documentazione SAP per quel parametro.
Quando fai clic sul pulsante Visualizza, verrai spostato in Maintain Profile Parameterschermo. Puoi vedere i seguenti dettagli:
- Name
- Type
- Criteri di selezione
- Gruppo di parametri
- Descrizione dei parametri e molti altri
In basso, hai il valore corrente del parametro login/min_password_lng
Quando fai clic su Display Doc opzione, visualizzerà la documentazione SAP per il parametro.
Descrizione dei parametri
Questo parametro specifica la lunghezza minima della password di accesso. La password deve contenere almeno tre caratteri. Tuttavia, l'amministratore può specificare una lunghezza minima maggiore. Questa impostazione si applica quando vengono assegnate nuove password e quando le password esistenti vengono modificate o reimpostate.
Ogni parametro ha un valore predefinito, valore consentito come di seguito -
Esistono diversi parametri della password in un sistema SAP. È possibile immettere ogni parametro nel fileRZ11 transazione e può visualizzare la documentazione.
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
Per modificare il valore del parametro, eseguire Transaction RZ10 e seleziona il profilo come mostrato di seguito -
Multiple application servers - Usa profilo PREDEFINITO.
Single Application servers - Usa profilo istanza.
Selezionare Extended Maintenance e fare clic Display.
Selezionare il parametro che si desidera modificare e fare clic su Parameter in cima.
Quando si fa clic sulla scheda Parametro, è possibile modificare il valore del parametro in una nuova finestra. È inoltre possibile creare il nuovo parametro facendo clic suCreate (F5).
È inoltre possibile visualizzare lo stato del parametro in questa finestra. Digitare il valore del parametro e fare clic suCopy.
Ti verrà chiesto di salvare quando esci dalla schermata. Fare clic su Sì per salvare il valore del parametro.