《SAP安全快速指南.docx》由会员分享,可在线阅读,更多相关《SAP安全快速指南.docx(62页珍藏版)》请在三一办公上搜索。
1、SAP安全 - 快速指南SAP安全 - 概述在SAP分散式環境中,始終需要保護關鍵資訊和資料免受未經授權的訪問。 人為錯誤,不正確的訪問配置不應允許未經授權訪問任何系統,並且需要維護和檢查SAP環境中的設定檔策略和系統安全性原則。為了使系統安全,您應該對使用者訪問設定檔,密碼策略,資料加密和系統中使用的授權方法有良好的瞭解。 您應定期檢查SAP系統架構並監視在配置和訪問設定檔中所做的所有更改。標準超級用戶應該得到良好的保護,並且應仔細設置使用者設定檔參數和值,以滿足系統安全要求。在通過網路進行通信時,您應該瞭解網路拓撲和網路服務應進行審查和啟用後相當多的檢查。 網路上的資料應該通過使用私密金鑰
2、得到很好的保護。為什麼需要安全性?為了在分散式環境中訪問資訊,存在關鍵資訊和資料洩漏到未授權訪問的可能性,並且由於缺少密碼策略,標準超級使用者未被良好維護或任何其他原因而破壞系統安全性。在SAP系統中破壞訪問的幾個主要原因如下 - 不維護強式密碼策略。 標準使用者,超級使用者,資料庫使用者未正確維護,密碼不定期更改。 設定檔參數未正確定義。 不監視不成功的登錄嘗試,並且未定義空閒的用戶會話結束策略。 網路在通過互聯網發送資料且不使用加密金鑰時,不考慮通信安全。 資料庫使用者未正確維護,在設置資訊資料庫時不考慮安全措施。 單點登錄未在SAP環境中正確配置和維護。為了克服所有上述原因,需要在SAP
3、環境中定義安全性原則。 應定義安全參數,並應定期檢查密碼策略。資料庫安全性是保護SAP環境的關鍵元件之一。 因此,有必要管理資料庫使用者,並確保密碼得到良好的保護。應在系統中應用以下安全機制,以保護SAP環境免受任何未經授權的訪問 - 用戶驗證和管理 網路通信安全 保護標準用戶和超級用戶 不成功的登錄保護 設定檔參數和密碼策略 在Unix和Windows平臺中的SAP系統安全 單點登錄概念因此,在分散式環境中需要SAP系統的安全性,您需要確保您的資料和流程支援您的業務需求,而不允許未經授權訪問關鍵資訊。 在SAP系統中,人為錯誤,疏忽或對系統的嘗試操縱可能導致關鍵資訊的丟失。用戶驗證和管理如果
4、未授權的用戶可以在已知的授權使用者下訪問SAP系統,並且可以進行配置更改並作業系統配置和關鍵策略。 如果授權使用者訪問系統的重要資料和資訊,那麼該使用者也可以訪問其他關鍵資訊。 這增強了使用安全認證來保護使用者系統的可用性,完整性和隱私。SAP系統中的身份驗證機制認證機制定義訪問SAP系統的方式。 提供了各種身份驗證方法 - 用戶ID和用戶管理工具 安全網路通信 SAP登錄故障單 X.509用戶端證書用戶ID和用戶管理工具SAP系統中最常見的身份驗證方法是使用用戶名和密碼登錄。 要登錄的用戶ID由SAP管理員創建。 為了通過用戶名和密碼提供安全認證機制,需要定義不允許使用者設置容易預測的密碼的
5、密碼策略。SAP提供了您應該設置的各種預設參數來定義密碼策略 - 密碼長度,密碼複雜性,預設密碼更改等SAP系統中的使用者管理工具SAP NetWeaver System提供了各種用戶管理工具,可用於有效管理環境中的用戶。 它們為兩種類型的NetWeaver應用程式伺服器(Java和ABAP)提供非常強的身份驗證方法。一些最常見的用戶管理工具是 -ABAP應用程式伺服器的使用者管理(事務代碼:SU01)您可以使用使用者管理事務代碼SU01來維護基於ABAP的應用程式伺服器中的使用者。SAP NetWeaver身份管理您可以使用SAP NetWeaver身份管理進行用戶管理,以及在SAP環境中管
6、理角色和角色分配。PFCG角色您可以使用概要檔生成器PFCG創建角色並向基於ABAP的系統中的使用者分配許可權。事務代碼- PFCG中央用戶管理您可以使用CUA為多個基於ABAP的系統維護使用者。 您還可以將其與目錄伺服器同步。 使用此工具,您可以從系統的用戶端集中管理所有用戶主記錄。事務代碼- SCUA和創建分佈模型。使用者管理引擎UME您可以使用UME角色來控制系統中的使用者授權。 管理員可以使用代表用戶可用于構建存取權限的UME角色的最小實體的操作。您可以使用SAP NetWeaver Administrator選項打開UME管理主控台。密碼策略密碼策略被定義為使用者必須遵循的一組指令,
7、以通過使用強式密碼並正確使用它們來提高系統安全性。 在許多組織中,密碼策略作為安全意識培訓的一部分被共用,並且使用者必須保持組織中關鍵系統和資訊的安全性策略。在SAP系統中使用密碼策略,管理員可以設置系統使用者部署不易中斷的強式密碼。 這也有助於定期更改密碼以確保系統安全。以下密碼策略通常用於SAP系統 -預設/初始密碼更改這允許使用者在第一次使用時立即更改初始密碼。密碼長度在SAP系統中,SAP系統中密碼的最小長度預設為3。 該值可以使用profile參數更改,允許的最大長度為8。事務代碼- RZ11參數名稱- login / min_password_lng您可以按一下此策略的概要檔參數的
8、文檔,您可以從SAP查看詳細的文檔,如下所示 -參數- login / min_password_lng短文本- 最小密碼長度參數說明- 此參數指定登錄密碼的最小長度。 密碼必須至少有三個字元。 但是,管理員可以指定更大的最小長度。 當分配新密碼並更改或重置現有密碼時,此設置適用。應用區- 登錄參數單位- 字元數(字母數位)預設值- 6誰可以進行更改?顧客作業系統限制- 無資料庫系統限制- 無非法密碼您不能選擇任何密碼的第一個字元為問號(?)或感嘆號(!)。 您還可以在非法密碼表中添加要限制的其他字元。事務代碼- SM30表名稱:USR40。一旦您輸入表 -USR40並按一下頂部的顯示,它將顯
9、示所有不允許的密碼的清單。按一下“新建條目”後,可以在此表中輸入新值,並選中區分大小寫的核取方塊。密碼模式您還可以設置密碼的前三個字元不能以與用戶名的一部分相同的順序顯示。 可以使用密碼策略限制的不同密碼模式包括 - 前三個字元不能全部相同。 前三個字元不能包含空格字元。 密碼不能為PASS或SAP。密碼更改在此策略中,可以允許使用者幾乎每天更改其密碼一次,但管理員可以根據需要重置使用者的密碼。不應允許使用者重複使用最後五個密碼。 但是,管理員可以重置使用者以前使用的密碼。設定檔參數您可以在SAP系統中為使用者管理和密碼策略定義不同的設定檔參數。在SAP系統中,可以通過轉到工具CCMS配置設定
10、檔維護(事務:RZ11)來顯示每個設定檔參數的文檔。 輸入參數名稱,然後按一下顯示。在顯示的下一個視窗中,您必須輸入參數名稱,您可以看到2個選項 -顯示- 顯示SAP系統中參數的值。顯示Docu- 顯示該參數的SAP文檔。當您按一下顯示按鈕時,您將被移動到維護設定檔參數螢幕。 您可以看到以下詳細資訊 - 名稱 類型 選擇標準 參數組 參數描述等等在底部,您有參數login / min_password_lng的當前值當您按一下顯示文檔選項時,它將顯示參數的SAP文檔。參數說明此參數指定登錄密碼的最小長度。 密碼必須至少有三個字元。 但是,管理員可以指定更大的最小長度。 當分配新密碼並更改或重置
11、現有密碼時,此設置適用。每個參數都有一個預設值,允許的值如下 -SAP系統中有不同的密碼參數。 您可以在RZ11事務中輸入每個參數,並可以查看文檔。 login / min_password_diff login / min_password_digits login / min_password_letters login / min_password_specials login / min_password_lowercase login / min_password_uppercase login / disable_password_logon login / password_ch
12、arset login / password_downwards_compatibility login / password_compliance_to_current_policy要更改參數值,請運行Transaction RZ10並選擇設定檔,如下所示 - 多個應用程式伺服器- 使用DEFAULT設定檔。 單個應用程式伺服器- 使用實例設定檔。選擇擴展維護,然後按一下顯示。選擇要更改的參數,然後按一下頂部的參數。當您按一下參數選項卡時,可以在新視窗中更改參數的值。 您也可以通過按一下創建(F5)創建新參數。您還可以在此視窗中查看參數的狀態。 鍵入參數值,然後按一下複製。退出螢幕時,系統將
13、提示您保存。 按一下是以保存參數值。SAP安全 - 網路通信安全網路通信(SNC)也可以用於使用安全認證方法登錄到應用程式伺服器。 您可以使用SNC通過用於Windows的SAP GUI或通過使用RFC連接進行用戶身份驗證。SNC使用外部安全產品來執行通信夥伴之間的認證。 您可以使用安全措施(如公開金鑰基礎結構PKI)和過程來生成和分發金鑰對。您應該定義可以消除威脅並防止網路攻擊的網路拓撲。 當使用者無法登錄到應用程式或資料庫層時,攻擊者無法訪問SAP系統或資料庫系統來訪問關鍵資訊。明確定義的網路拓撲不允許入侵者連接到公司的LAN,因此無法訪問網路服務或SAP系統上的安全回路洞。SAP系統中的
14、網路拓撲您的物理網路架構完全取決於SAP系統的大小。 SAP系統通常使用用戶端 - 伺服器架構來實現,每個系統通常分為以下三個層 - 資料庫層 應用層 展示層當SAP系統較小時,它可能沒有單獨的應用程式和資料庫伺服器。 但是,在大型系統中,許多應用程式伺服器與資料庫伺服器和幾個前端進行通信。 這定義了系統的網路拓撲從簡單到複雜,並且在組織網路拓撲時應考慮不同的方案。在大型組織中,建議您將應用程式和資料庫伺服器安裝在不同的電腦上,並放置在與前端系統分離的獨立LAN中。在下圖中,您可以看到SAP系統的首選網路拓撲 -將資料庫和應用程式伺服器放置在前端VLAN的單獨VLAN中時,可以改進存取控制系統
15、,從而提高SAP系統的安全性。 前端系統在不同的VLAN中,因此不容易進入伺服器VLAN,因此繞過SAP系統的安全性。SAP網路服務在SAP系統中,啟用了各種服務,但運行SAP系統只需要少量服務。 在SAP系統中,風景,資料庫和應用程式伺服器是網路攻擊的最常見目標。 許多網路服務正在您的環境中運行,允許訪問這些伺服器,並且應仔細監視這些服務。在您的Window / UNIX機器中,這些服務保存在/ etc / services中。 您可以在Windows機器中打開此檔,方法是轉到以下路徑 -system32 / drivers / etc / services您可以在記事本中打開此檔,並查看伺
16、服器中的所有已啟動的服務 -建議您禁用場景伺服器上的所有不需要的服務。 有時這些服務包含一些錯誤,可以被入侵者用來獲得未經授權的訪問。 禁用這些服務時,可以減少對網路進行攻擊的幾率。為了提高安全性,還建議在SAP環境中使用靜態密碼檔。私密金鑰SNC使用外部安全產品在通信夥伴之間執行認證。 您可以使用公開金鑰基礎結構(PKI)和其他過程等安全措施來生成和分發金鑰對,並確保用戶的私密金鑰已正確安全。有不同的方法來保護私密金鑰的網路授權 - 硬體解決方案 軟體解決方案讓我們現在詳細討論它們。硬體解決方案您可以使用硬體解決方案為使用者保護私密金鑰,您可以向個人用戶發放智慧卡。 所有金鑰都存儲在智慧卡中
17、,並且用戶應該通過使用指紋或使用PIN密碼通過生物測定來認證他們的智慧卡。這些智慧卡應該被保護以免被每個用戶的盜竊或丟失,並且用戶可以使用卡來加密文檔。用戶不能共用智慧卡或將其提供給其他用戶。軟體解決方案還可以使用軟體解決方案來為各個使用者存儲私密金鑰。 與硬體解決方案相比,軟體解決方案是更便宜的解決方案,但它們也不太安全。當使用者將私密金鑰存儲在檔和使用者詳細資訊中時,需要保護這些檔以進行未經授權的訪問。SAP安全 - 保護標準用戶第一次安裝SAP系統時,有幾個預設使用者被創建來執行管理任務。 預設情況下,它在SAP環境中創建三個用戶端, 用戶端000 - SAP參考用戶端 用戶端001 -
18、 來自SAP的範本用戶端 用戶端066 - SAP早看用戶端SAP在系統中的上述用戶端中創建標準用戶。 每個標準用戶在第一次安裝時都有自己的預設密碼。SAP系統中的標準使用者在預設用戶端下包括以下用戶 -用戶細節客戶預設密碼SAP*SAP系統超級使用者000,001,06606071992所有新用戶端通過DDICABAP詞典超級用戶000,00119920706SAPCPICSAP的CPI-C用戶000,001管理員EARLYWATCH早看用戶66支持這些是SAP預設用戶端下在SAP系統中執行管理和配置任務的標準使用者。 為了保持SAP系統的安全性,您應該保護這些用戶 - 您應該將這些用戶添加
19、到組SUPER,以便它們只由具有向組SUPER添加/修改用戶許可權的管理員修改。 應更改標準使用者的預設密碼。如何查看SAP系統中的客戶清單?您可以使用事務SM30查看SAP環境中的所有用戶端的清單,並顯示表T000。當您輸入表並按一下顯示時,它將顯示SAP系統中所有用戶端的清單。 此表包括您在資源分享環境中創建的所有默認用戶端和新用戶端的詳細資訊。您可以使用報告RSUSR003確保已在所有用戶端中創建用戶SAP,並且已更改SAP,DDIC和SAPCPIC的標準密碼。轉到ABAP編輯器SE38並輸入報告名稱,然後按一下EXECUTE。輸入報告標題,然後按一下執行按鈕。 它將在SAP系統,密碼狀
20、態,使用鎖定原因,有效期至和有效期等中顯示所有用戶端和標準使用者。保護SAP系統超級使用者要保護SAP系統超級使用者“SAP”,您可以在系統中執行以下步驟 -步驟1- 您需要在SAP系統中定義新的超級使用者,並停用SAP用戶。 請注意,您不能在系統中刪除使用者SAP。 要停用硬編碼使用者,可以使用profile參數:login / no_automatic_user_sapstar。如果使用者SAP *的用戶主記錄被刪除,則可以用“SAP”和初始密碼PASS登錄。“SAP”使用者具有以下屬性 -用戶具有完全授權,因為不執行授權檢查。 不能更改預設密碼PASS。 您可以使用概要檔參數login
21、/ no_automatic_user_sapstar停用SAP的這些特殊屬性,並控制使用者SAP *的自動登錄。步驟2- 要檢查此參數的值,請運行TransactionRZ11並輸入參數名稱。允許的值:0,1,其中 - 0- 允許自動用戶SAP *。 1- 自動用戶SAP *被禁用。步驟3- 在以下系統中,您可以看到此參數的值設置為1.這表示超級使用者“SAP”在系統中已禁用。步驟4- 按一下顯示,您可以看到此參數的當前值。要在系統中創建新的超級使用者,請定義新的用戶主記錄並將設定檔SAP_ALL分配給此超級用戶。DDIC用戶保護與軟體物流,ABAP字典以及與安裝和升級相關的任務相關的某些任
22、務需要DDIC使用者。 要保護此用戶,建議將此使用者鎖定在SAP系統中。 您不應刪除此用戶以執行一些功能以供將來使用。要鎖定使用者,請使用事務代碼:SU01。如果要保護此用戶,可以在安裝時將SAP_ALL授權分配給此用戶,稍後再將其鎖定。保護SAPCPIC用戶SAPCPIC使用者用於調用SAP系統中的某些程式和功能模組,並且是非對話使用者。您應該鎖定此使用者並更改此使用者的密碼以保護它。 在以前的版本中,鎖定SAPCPIC使用者或更改密碼時,會影響其他程式RSCOLL00,RSCOLL30和LSYPGU01。保護早期觀察A 066用戶端 - 這稱為SAP早期監視,用於SAP系統和使用者中的診斷
23、掃描和監視服務EARLYWATCH是用戶端066中的早期監視服務的互動式使用者。要保護此用戶,您可以執行以下操作 - 鎖定EARLYWATCH使用者,直到在SAP環境中不需要該使用者。 更改此使用者的預設密碼。關鍵點要保護SAP標準用戶並在SAP環境中保護用戶端,應考慮以下要點 - 您應該在SAP系統中正確維護用戶端,並確保沒有存在的未知用戶端。 您需要確保SAP超級使用者“SAP”存在,並已在所有用戶端中停用。 您需要確保更改所有SAP標準用戶SAP,DDIC和EARLYWATCH使用者的預設密碼。 您需要確保所有標準使用者都已添加到SAP系統中的SUPER組,並且唯一有權對SUPER組進行
24、更改的人員才能編輯這些用戶。 您需要確保SAPCPIC的預設密碼已更改,並且該用戶被鎖定,並在需要時將其解鎖。 所有SAP標準用戶都應該被鎖定,並且只能在需要時解鎖。 密碼應該為所有這些使用者提供良好的保護。如何更改標準使用者的密碼?您應確保在表T000中維護的所有用戶端中更改所有SAP標準使用者的密碼,並且所有用戶端都應存在用戶“SAP”。要更改密碼,請使用超級使用者登錄。 在您要更改密碼的用戶名欄位中輸入用戶ID。 按一下更改密碼選項,如下麵的螢幕截圖所示 -輸入新密碼,重複密碼,然後按一下應用。 您應該對所有標準用戶重複相同的過程。取消授權登錄保護要在SAP系統中實現安全性,需要監控SA
25、P環境中的失敗登錄。 當有人嘗試使用不正確的密碼登錄系統時,系統應該鎖定用戶名一段時間,或者該會話應在定義的嘗試次數後終止。可以為未經授權的登錄嘗試設置各種安全參數 - 終止會話 鎖定用戶 啟動螢幕保護裝置程式 監視未成功的登錄嘗試 記錄登錄嘗試讓我們現在詳細討論這些。終止會話當對單個使用者標識進行多次不成功的登錄嘗試時,系統結束該使用者的會話。 這應該使用Profile參數 -login / fails_to_session_end發送。要更改參數值,請運行TransactionRZ10並選擇設定檔,如以下螢幕截圖所示。 選擇擴展維護並按一下顯示。選擇要更改的參數,然後按一下頂部的參數按鈕,
26、如下所示。按一下“參數”選項卡時,可以在新視窗中更改參數的值。 您也可以通過按一下創建(F5)按鈕創建新參數。要查看此參數的詳細資訊,請運行事務代碼:RZ11,然後輸入設定檔名稱 -login / fails_to_session_end並按一下顯示文檔。 參數- login / failed_to_session_end 短文本- 直到會話結束為止的無效登錄嘗試次數。 參數描述- 在登錄過程終止之前,可以使用用戶主記錄進行的無效登錄嘗試次數。 應用區- 登錄 預設值- 3 誰可以進行更改?- 客戶 作業系統限制- 無 資料庫系統限制- 無 其他參數是否受影響或依賴?- 無 允許的值- 1 -
27、 99在上面的截圖中,你可以看到這個參數的值設置為3,即預設值太。 在3次登錄嘗試失敗後,單個用戶的會話將被終止。鎖定用戶如果在單個用戶ID下超過設定數量的連續失敗嘗試登錄,您也可以檢查特定用戶ID。 設置設定檔參數中允許的無效登錄嘗試次數:login / fails_to_user_lock。 可以對特定的用戶ID設置鎖定。 鎖定應用於用戶ID,直到午夜。 但是,也可以隨時由系統管理員手動刪除。 在SAP系統中,您還可以設置一個參數值,允許將鎖定放在使用者標識上,直到它們被手動刪除。 參數名稱:login / failed_user_auto_unlock。設定檔參數:login / fai
28、ls_to_user_lock每次輸入不正確的登錄密碼時,相關用戶主記錄的失敗登錄計數器將增加。 登錄嘗試可以記錄在安全審核日誌中。 如果超過此參數指定的限制,相關用戶將被鎖定。 此過程也記錄在Syslog中。在當天結束後,該鎖不再有效。 (其他條件-login / failed_user_auto_unlock)使用者使用正確的密碼登錄後,將重置失敗的登錄計數器。 不是基於密碼的登錄對失敗的登錄計數器沒有任何影響。 但是,每次登錄時都會檢查活動登錄鎖。 允許的值- 1 - 99要查看此參數的當前值,請使用T代碼:RZ11。 參數名- login / failed_user_auto_unlo
29、ck 短文字- 禁用在午夜自動解鎖鎖定的用戶。 參數描述- 控制通過登錄錯誤鎖定的使用者的解鎖。 如果參數設置為1,由於密碼登錄嘗試失敗而設置的鎖定僅適用於同一天(與鎖定相同)。 如果參數設置為0,則鎖保持有效。 應用區- 登錄。 預設值- 0。啟動螢幕保護裝置程式系統管理員還可以啟用螢幕保護裝置程式,以保護前端螢幕免受任何未經授權的訪問。 這些屏保可以受密碼保護。監控不成功的登錄嘗試和記錄登錄嘗試在SAP系統中,可以使用報告RSUSR006來檢查是否有使用者嘗試了系統中的任何不成功的登錄嘗試。 此報告包含有關用戶鎖定不正確的登錄嘗試次數的詳細資訊,您可以根據需要安排此報告。轉到ABAP編輯器
30、SE38並輸入報告名稱,然後按一下EXECUTE。在此報告中,您有不同的詳細資訊,如用戶名,類型,創建,創建者,密碼,鎖定和不正確的登錄詳細資訊。在SAP系統中,還可以使用安全審計日誌(事務SM18,SM19和SM20)記錄所有成功和不成功的登錄嘗試。 您可以使用SM20事務分析安全審計日誌,但應在系統中啟動安全審計以監視安全審計日誌。註銷Idle用戶當使用者已登錄到SAP系統並且會話在特定時間內處於非活動狀態時,您還可以將其設置為註銷,以避免任何未經授權的訪問。要啟用此設置,需要在概要檔參數中指定此值:rdisp / gui_auto_logout。 參數描述- 您可以定義在預定義的時間段後
31、,SAP系統自動從SAP系統中自動登出非活動的SAP GUI用戶。 參數配置此時間。 預設情況下,SAP系統中的自動登出(值為0)被停用,即即使用戶沒有執行任何操作較長時間,用戶也不會註銷。 允許的值- n 單位,其中n = 0和單位= S | M | H | D要查看參數的當前值,請運行T代碼:RZ11。下表顯示了SAP系統中的關鍵參數清單,其預設值和允許值 -參數描述默認允許值登錄/ failed_to_session_end直到會話結束的無效登錄嘗試次數31-99登錄/ failed_to_user_lock直到用戶鎖定的無效登錄嘗試次數121-99登錄/ failed_user_aut
32、o_unlock當設置t 1:鎖定在設置的日期應用。當用戶登錄的第二天,它們被移除10或1rdisp / gui_auto_output用戶的最大閒置時間(秒)0(無限制)不受限制SAP安全 - 系統授權概念SAP系統授權概念涉及保護SAP系統免受未授權訪問的運行事務和程式。 您不應該允許使用者在SAP系統中執行事務和程式,直到他們為此活動定義授權。為了使您的系統更加安全並實施強大的授權,您需要檢查您的授權計畫,以確保其滿足公司的安全要求,並且沒有安全違規。用戶類型在SAP系統的早期版本中,用戶類型僅分為兩類 - 對話使用者和非對話使用者,僅推薦非對話使用者在兩個系統之間進行通信。 使用SAP
33、 4.6C,用戶類型分為以下類別 - 對話使用者- 此使用者用於單個互動式系統訪問,並且大多數用戶端工作都使用對話使用者執行。 密碼可以由使用者自己更改。 在對話方塊用戶中,可以防止多個對話方塊登錄。 服務使用者- 用於執行互動式系統訪問以執行某些預定任務,如產品目錄顯示。 此用戶允許多次登錄,只有管理員可以更改此使用者的密碼。 系統使用者- 此使用者標識用於執行大多數系統相關任務 - 傳輸管理系統,定義工作流和ALE。 它不是互動式系統相關使用者,並且允許此用戶有多個登錄。 參考使用者- 參考使用者不用於登錄到SAP系統。 此用戶用於向內部用戶提供額外的授權。 在SAP系統中,您可以轉到角色
34、選項卡,並為對話方塊用戶的其他許可權指定引用用戶。 通信使用者- 此使用者類型用於維護不同系統之間的對話自由登錄,如RFC連接,CPIC。 通信使用者不能使用SAP GUI進行對話登錄。 用戶類型可以像常見的對話方塊使用者一樣更改其密碼。 RFC功能模組可用於更改密碼。事務代碼:SU01用於在SAP系統中創建使用者。 在以下螢幕中,您可以在SAP系統中的SU01事務下查看不同的使用者類型。創建用戶要在SAP系統中創建具有不同存取權限的用戶或多個使用者,應遵循以下步驟。步驟1- 使用事務代碼 -SU01。步驟2- 輸入您要創建的用戶名,按一下創建圖示,如以下螢幕截圖所示。步驟3- 您將被引導到下
35、一個選項卡 - 位址選項卡。 在這裡,您需要輸入詳細資訊,如名字,姓氏,電話號碼,電子郵件Id等。步驟4- 您將進一步被引導到下一個選項卡 -登錄資料。 在“登錄資料”選項卡下輸入使用者類型。 我們有五種不同的用戶類型。步驟5- 鍵入第一個登錄密碼新密碼重複密碼。步驟6- 您將被引導到下一個選項卡 - 角色 - 將角色分配給用戶。步驟7- 您將進一步轉到下一個選項卡 - 設定檔 - 將設定檔分配給用戶。步驟8- 點擊保存以接收確認。中央用戶管理(CUA)中央用戶管理是一個關鍵概念,它允許您使用中央系統管理SAP系統環境中的所有使用者。 使用此工具,您可以在一個系統中集中管理所有用戶主記錄。 中
36、央使用者管理器允許您在一個系統環境中節省管理類似用戶的資金和資源。中央用戶管理的優點是 - 在SAP環境中配置CUA時,可以僅使用中央系統創建或刪除使用者。 所有必需的角色和授權以活動形式存在於子系統中。 所有用戶都集中監控和管理,使管理任務更容易,更清晰地查看複雜系統環境中的所有使用者管理活動。 中央使用者管理器允許您在一個系統環境中節省管理類似用戶的資金和資源。使用ALE風景執行的資料交換稱為應用鏈路啟用,允許以受控方式交換資料。 ALE由中央使用者管理員用於與SAP系統環境中的子系統進行資料交換。在複雜的景觀環境中,您可以使用ALE環境將一個系統定義為中央系統,並將其連結到使用雙向資料交
37、換的所有子系統。 風景中的子系統不相互連接。要實施中央用戶管理,應考慮以下幾點 - 您需要在單個/分散式環境中具有多個用戶端的SAP環境。 管理員管理使用者,需要授權關於以下事務代碼 -o SU01o SCC4o SCUAo 浮渣o SM59o BD54o BD64 您應該在系統之間創建信任關係。 您應該在中央和子系統中創建系統使用者。 創建邏輯系統並將邏輯系統分配給相應的用戶端。 創建模型視圖和BAPI以建模視圖。 創建中央用戶管理器並為欄位設置分發參數。 同步公司地址 轉移用戶在集中管理的環境中,您需要先創建管理員。 以未來CUA的所有邏輯系統作為使用者SAP *以預設密碼PASS登錄。運
38、行事務SU01並創建分配有管理員角色的用戶。要定義邏輯系統,請使用事務BD54。按一下新建條目以創建新的邏輯系統。使用中央用戶管理為中央和所有子系統(包括來自其他SAP系統的系統)創建一個大寫字母的新邏輯名。要輕鬆識別系統,您具有以下命名約定,可用於標識中央使用者管理系統 - CLNT 輸入邏輯系統的一些有用的描述。 通過按一下保存按鈕保存輸入。 接下來是在所有子系統中為中央系統創建邏輯系統名稱。要將邏輯系統分配給用戶端,請使用事務SCC4並切換到更改模式。通過按兩下或按一下詳細資訊按鈕打開要分配給邏輯系統的用戶端。 用戶端只能分配給一個邏輯系統。在客戶端詳細資訊的邏輯系統欄位中,輸入要為其分
39、配此用戶端的邏輯系統名稱。對要包括在中央用戶管理器中的SAP環境中的所有用戶端執行上述步驟。 要保存設置,請點擊頂部的保存按鈕。在SAP中保護特定設定檔為了維護SAP系統的安全性,您需要維護包含關鍵授權的特定設定檔。 在具有完全授權的SAP系統中,需要保護各種SAP授權設定檔。在SAP系統中需要保護的幾個設定檔是 - SAP_ALL SAP_NEW P_BAS_ALLSAP_ALL授權設定檔SAP_ALL授權設定檔允許使用者執行SAP系統中的所有任務。 這是包含SAP系統中所有授權的複合設定檔。 具有此授權的使用者可以執行SAP系統中的所有活動,因此不應將此設定檔分配給系統中的任何使用者。建議
40、使用設定檔維護單個用戶。 雖然密碼應該很好地保護該用戶,並且只應在需要時使用。不應分配SAP_ALL授權,您應該將單個授權分配給適當的用戶。 您的系統超級使用者/系統管理,而不是為它們分配SAP_ALL授權,您應該使用所需的單個授權。SAP_NEW授權SAP_NEW授權包含新發行版本中所需的所有授權。 完成系統升級後,將使用此設定檔,以便某些任務正常運行。您應該記住有關此授權的以下幾點: 執行系統升級時,需要刪除之前的版本的SAP_NEW設定檔。 您需要將SAP_NEW設定檔下的單獨授權分配給環境中的不同用戶。 此設定檔不應長時間保持活動狀態。 當環境中有大量SAP_NEW設定檔時,它會顯示您
41、需要在系統中查看您的授權策略。要查看所有SAP_NEW設定檔的列表,應通過按兩下選擇此設定檔,然後轉到選擇。P_BAS_ALL授權此授權允許使用者從其他應用程式查看表的內容。 此授權包含P_TABU_DIS授權。 此授權允許PA用戶查看不屬於其組的表內容。PFCG角色維護PFCG角色維護可用於在SAP系統中管理角色和授權。 在PFCG中,角色代表一個人執行的與現實生活場景相關的工作。 PFCG允許您定義可以分配給人員執行其日常工作的事務集。當在PFCG事務中創建角色時,可以使用事務SU01將這些角色分配給各個用戶。 SAP系統中的使用者可以被分配多個角色並且與他/她在現實生活中的日常任務相關。
42、這些角色在SAP系統中的使用者和授權之間有聯繫。 實際授權和設定檔以物件的形式存儲在SAP系統中。使用PFCG角色維護,您可以執行以下功能 - 更改和分配角色 創建角色 創建複合角色 傳輸和分發角色讓我們來詳細討論這些功能。更改和分配角色運行事務:PFCG它會帶你到角色維護窗口。 要更改現有角色,請在欄位中輸入已提交的角色名稱。通過按一下複製角色按鈕複製標準角色。 從命名空間輸入名稱。 按一下值選擇按鈕,然後選擇要將其複製到的角色。您也可以選擇SAP提供的角色,然後SAP_將啟動默認角色。要更改角色,請按一下角色維護中的更改按鈕。導航到“功能表”選項卡以更改“功能表”選項卡頁上的使用者功能表。
43、 轉到授權選項卡更改該使用者的授權資料。您還可以使用專家模式來調整授權下功能表更改的許可權。 按一下生成按鈕以生成此角色的設定檔。要將用戶分配給此角色,請轉到更改角色選項中的使用者選項卡。 要將用戶分配給此角色,它應該存在於系統中。如果需要,您還可以執行用戶比較。 按一下使用者比較選項。 您還可以按一下資訊按鈕以瞭解有關單一和複合角色和使用者比較選項的更多資訊,以比較主記錄。在PFCG中創建角色您可以在PFCG中創建單個角色和組合角色。 輸入角色名稱,然後按一下創建單一角色或複合角色,如下面的螢幕截圖所示。您可以從Customer名稱空間(如Y_或Z_)中進行選擇。 SAP交付的角色從SAP_
44、開始,您不能從SAP交付的角色中獲取名稱。按一下“創建角色”按鈕後,應在角色定義中的“功能表”選項卡下添加事務,報表和網址。導航到授權選項卡以生成設定檔,按一下更改授權資料選項。根據您的活動選擇,系統將提示您輸入組織級別。 當在對話方塊中輸入特定值時,將自動維護角色的授權欄位。您可以調整角色的引用。 一旦完成角色定義,您需要生成角色。 按一下生成(Shift + F5)。在此結構中,當您看到紅色交通燈時,它顯示沒有值的組織級別。 您可以在“維護”選項卡旁邊的“組織級別”中輸入和更改組織級別。輸入設定檔名稱,然後按一下刻度選項以完成生成步驟。按一下保存以保存設定檔。 您可以通過轉到使用者選項卡直
45、接為使用者分配此角色。 以類似的方式,您可以使用PFCG角色維護選項創建組合角色。傳輸和分發角色運行事務 - PFCG並輸入要傳輸的角色名稱,然後按一下傳輸角色。您將達到角色傳輸選項。 您在傳輸角色下有多個選項 - 傳遞組合角色的單個角色。 傳輸生成的角色設定檔。 個性化數據。在下一個對話方塊中,您應該提及用戶分配,並且還應傳輸個性化資料。 如果用戶分配也被傳輸,它們將替換目標系統中角色的整個使用者分配。要鎖定系統以便無法導入角色的使用者分配,請使用事務SM30將其輸入到定製表PRGN_CUST中,並選擇值欄位USER_REL_IMPORT號。此角色在自訂請求中輸入。 您可以使用事務SE10查看此。在定制請求中,授權設定檔與角色一起傳輸。授權資訊系統事務 - SUIM在授權管理中,SUIM是一個關鍵工具,可以在SAP系統中查找使用者設定檔,也可以將這些設定檔分配給該用戶ID。 SUIM提供了一個初始螢幕,其中提供用於搜索用戶,角色,設定檔,授權,事務和比較的選項。要打開使用者資訊系統,請運行事務:SUIM。在使用者資訊系統中,您具有不同的節點,可用於在SAP系統中執行不同的功能。 與在使用者節點中一樣,您可以根據選擇條件對使用者執行搜索。 您可以獲取鎖定