SAP 安全 - 系统授权概念

---

SAP 系统授权概念涉及保护 SAP 系统免遭运行事务和程序的未经授权的访问。在用户定义此活动的授权之前，不应允许用户在 SAP 系统中执行事务和程序。

为了让您的系统更加安全，实现强授权，您需要审核您的授权计划，确保其符合公司的安全要求，不存在安全违规Behave。

用户类型

在 SAP 系统的早期版本中，用户类型仅分为两类 - 对话用户和非对话用户，并且仅建议非对话用户在两个系统之间进行通信。在 SAP 4.6C 中，用户类型分为以下几类 -

• 对话用户- 该用户用于单独的交互式系统访问，大部分客户端工作是使用对话用户执行的。密码可由用户自行更改。在对话用户中，可以防止多次对话登录。

• 服务用户- 用于执行交互式系统访问以执行某些预定任务，例如产品目录显示。该用户允许多次登录，并且只有管理员可以更改该用户的密码。

• 系统用户- 此用户 ID 用于执行大多数系统相关任务 - 传输管理系统、定义工作流程和 ALE。它不是交互式系统相关用户，并且允许该用户多次登录。

• 参考用户- 参考用户不用于登录 SAP 系统。该用户用于向内部用户提供额外的授权。在 SAP 系统中，您可以转到“角色”选项卡并指定参考用户以获得对话用户的附加权限。

• 通信用户- 此用户类型用于维护不同系统之间的无对话登录，例如 RFC 连接、CPIC。通信用户无法使用 SAP GUI 进行对话登录。用户类型可以像普通对话框用户一样更改其密码。RFC功能模块可用于修改密码。

事务代码：SU01用于在 SAP 系统中创建用户。在以下屏幕中，您可以在 SU01 事务下看到 SAP 系统中的不同用户类型。

创建用户

要在 SAP 系统中创建一个或多个具有不同访问权限的用户，您应遵循以下步骤。

步骤 1 - 使用交易代码 - SU01。

步骤 2 - 输入您要创建的用户名，单击创建图标，如以下屏幕截图所示。

步骤 3 - 您将被定向到下一个选项卡 - 地址选项卡。在这里，您需要输入名字、姓氏、电话号码、电子邮件 ID 等详细信息。

步骤 4 - 您将进一步定向到下一个选项卡 -登录数据。在“登录数据”选项卡下输入用户类型。我们有五种不同的用户类型。

步骤 5 - 输入第一个登录密码 → 新密码 → 重复密码。

步骤 6 - 您将被引导到下一个选项卡 - 角色 - 将角色分配给用户。

步骤 7 - 您将进一步定向到下一个选项卡 - 配置文件 - 将配置文件分配给用户。

步骤 8 - 单击“保存”以接收确认。

中央用户管理 (CUA)

中央用户管理是关键概念之一，它允许您使用中央系统管理 SAP 系统环境中的所有用户。使用此工具，您可以在一个系统中集中管理所有用户主记录。中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

中央用户管理的优点是 -

• 在 SAP 环境中配置 CUA 时，您可以仅使用中央系统创建或删除用户。

• 所有必需的角色和授权都以活动形式存在于子系统中。

• 所有用户都受到集中监控和管理，这使得管理任务变得简单，并且可以更清晰地查看复杂系统环境中的所有用户管理活动。

• 中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

使用称为应用程序链接启用的ALE环境执行的数据交换允许以受控方式交换数据。中央用户管理员使用 ALE 与 SAP 系统环境中的子系统进行数据交换。

在复杂的景观环境中，您将一个系统定义为具有 ALE 环境的中央系统，并使用双向数据交换将其链接到所有子系统。景观中的子系统彼此不相连。

要实施中央用户管理，应考虑以下几点 -

• 您需要一个在单一/分布式环境中具有多个客户端的 SAP 环境。

• 管理员管理用户，需要以下交易代码的授权 -

  • 苏01

  • SCC4

  • 华南大学

  • 浮渣

  • SM59

  • BD54

  • BD64

• 您应该在系统之间创建信任关系。

• 您应该在中央和子系统中创建系统用户。

• 创建逻辑系统并将逻辑系统分配给相应的客户端。

• 创建模型视图和模型视图的 BAPI。

• 创建中央用户管理员并设置字段的分配参数。

• 同步公司地址

• 转移用户

在集中管理的环境中，您需要首先创建管理员。以用户SAP*、默认密码PASS登录未来CUA的所有逻辑系统。

运行事务SU01并创建一个分配有管理员角色的用户。

要定义逻辑系统，请使用事务BD54。单击“新条目”以创建新的逻辑系统。

为中央和所有子系统（包括来自其他 SAP 系统的系统）的中央用户管理创建一个大写字母的新逻辑名称。

为了轻松识别系统，您可以使用以下命名约定来识别中央用户管理系统 -

<系统 ID>CLNT<客户端>

输入逻辑系统的一些有用描述。单击“保存”按钮保存您的条目。接下来是在所有子系统中为中央系统创建逻辑系统名称。

要将逻辑系统分配给客户端，请使用事务SCC4并切换到更改模式。

通过双击或单击“详细信息”按钮，打开要分配给逻辑系统的客户端。一个客户端只能分配给一个逻辑系统。

在客户端详细信息的逻辑系统字段中，输入要将此客户端分配到的逻辑系统名称。

对 SAP 环境中要包含在中央用户管理器中的所有客户端执行上述步骤。要保存您的设置，请单击顶部的“保存”按钮。

保护 SAP 中的特定配置文件

为了维护 SAP 系统的安全性，您需要维护包含关键授权的特定配置文件。在具有完全授权的 SAP 系统中，您需要保护各种 SAP 授权配置文件。

SAP 系统中需要保护的一些配置文件是 -

• SAP_ALL
• SAP_NEW
• P_BAS_ALL

SAP_ALL 授权配置文件

SAP_ALL 授权配置文件允许用户执行 SAP 系统中的所有任务。这是包含 SAP 系统中所有授权的复合配置文件。具有此授权的用户可以执行 SAP 系统中的所有活动，因此不应将此配置文件分配给系统中的任何用户。

建议使用配置文件维护单个用户。虽然密码应该对该用户得到很好的保护，并且应该仅在需要时使用。

您不应分配 SAP_ALL 权限，而应将单独的权限分配给适当的用户。您的系统超级用户/系统管理，您应该使用所需的个人授权，而不是向他们分配 SAP_ALL 授权。

SAP_NEW 授权

SAP_NEW 授权包含新版本中所需的所有授权。系统升级完成后，将使用此配置文件，以便某些任务正常运行。

您应该记住有关此授权的以下几点 -

• 执行系统升级时，您需要删除之前版本的 SAP_NEW 配置文件。

• 您需要将 SAP_NEW 配置文件下的单独授权分配给环境中的不同用户。

• 此配置文件不应保持活动状态太久。

• 当您的环境中存在一长串 SAP_NEW 配置文件时，表明您需要检查系统中的授权策略。

要查看所有 SAP_NEW 配置文件的列表，您应该通过双击选择该配置文件，然后 → 转到选择。

P_BAS_ALL 授权

此授权允许用户从其他应用程序查看表的内容。该授权包含P_TABU_DIS授权。此授权允许 PA 用户查看不属于其组的表内容。

PFCG角色维护

PFCG 角色维护可用于管理 SAP 系统中的角色和授权。在PFCG中，角色代表一个人执行的与现实生活场景相关的工作。PFCG 允许您定义一组可分配给某人执行日常工作的事务。

在 PFCG 事务中创建角色后，您可以使用事务SU01将这些角色分配给各个用户。SAP 系统中的用户可以被分配多个角色，这些角色与其现实生活中的日常任务相关。

这些角色与 SAP 系统中的用户和权限相关。实际的授权和配置文件以对象的形式存储在 SAP 系统中。

使用 PFCG 角色维护，您可以执行以下功能 -

• 更改和分配角色
• 创建角色
• 创建复合角色
• 传输和分配角色

现在让我们详细讨论这些功能。

更改和分配角色

运行事务：PFCG

它将带您进入角色维护窗口。要更改现有角色，请在字段中输入交付的角色名称。

单击“复制角色”按钮复制标准角色。输入命名空间中的名称。单击值选择按钮并选择要将其复制到的角色。

您还可以选择 SAP 提供的以SAP_开头的角色，但默认角色将被覆盖。

要更改角色，请单击“角色维护”中的“更改”按钮。

导航到“菜单”选项卡以更改“菜单”选项卡页面上的用户菜单。转至“授权”选项卡以更改该用户的授权数据。

您还可以使用专家模式在授权下调整菜单更改的授权。单击“生成”按钮生成该角色的配置文件。

要将用户分配给此角色，请转到“更改角色”选项中的“用户”选项卡。要将用户分配给此角色，该用户应该存在于系统中。

如果需要，您还可以执行用户比较。单击“用户比较”选项。您还可以单击“信息”按钮了解有关单一和复合角色的更多信息，以及单击“用户比较”选项来比较主记录。

在 PFCG 中创建角色

您可以在 PFCG 中创建单一角色和复合角色。输入角色名称，然后单击“创建单一或复合角色”，如下面的屏幕截图所示。

您可以从客户命名空间中进行选择，例如 Y_ 或 Z_。SAP 交付的角色以 SAP_ 开头，您不能从 SAP 交付的角色中获取名称。

单击“创建角色”按钮后，您应该在角色定义的“菜单”选项卡下添加“交易”、“报告”和“网址”。

导航到“授权”选项卡以生成配置文件，单击“更改授权数据”选项。

根据您的活动选择，系统会提示您输入组织级别。当您在对话框中输入特定值时，会自动维护角色的授权字段。

您可以调整角色的参考。角色定义完成后，您需要生成角色。单击“生成”(Shift+F5)。

在此结构中，当您看到红色交通灯时，它显示没有值的组织级别。您可以使用“维护”选项卡旁边的“组织级别”输入和更改组织级别。

输入配置文件名称并单击勾选选项以完成生成步骤。

单击“保存”以保存配置文件。您可以通过转至“用户”选项卡直接将此角色分配给用户。以类似的方式，您可以使用 PFCG 角色维护选项创建复合角色。

传输和分配角色

运行事务 – PFCG 并输入您要传​​输的角色名称，然后单击传输角色。

您将到达角色运输选项。您在传输角色下有多个选项 -

• 将单一角色传输为复合角色。
• 传输为角色生成的配置文件。
• 个性化数据。

在下一个对话框中，您应该提到用户分配，并且还应该传输个性化数据。如果用户分配也被传输，它们将替换目标系统中角色的整个用户分配。

要锁定系统以便无法导入角色的用户分配，请使用事务SM30将其输入到定制表PRGN_CUST中，并选择值字段USER_REL_IMPORT number。

该角色是在定制请求中输入的。您可以使用事务SE10查看此信息。

在定制请求中，授权配置文件与角色一起传输。

授权信息系统交易 – SUIM

在授权管理中，SUIM 是一个关键工具，您可以使用它在 SAP 系统中查找用户配置文件，还可以将这些配置文件分配给该用户 ID。SUIM 提供了一个初始屏幕，其中提供了用于搜索用户、角色、配置文件、授权、事务和比较的选项。

要打开用户信息系统，请运行事务：SUIM。

在用户信息系统中，您有不同的节点，可用于在 SAP 系统中执行不同的功能。与在用户节点中一样，您可以根据选择条件对用户执行搜索。您可以获得锁定的用户列表、有权访问特定交易集的用户等。

当您展开每个选项卡时，您可以选择根据不同的选择标准生成不同的报告。就像展开用户选项卡时一样，您有以下选项 -

当您通过复杂的选择条件单击用户时，您可以同时应用多个选择条件。下面的屏幕截图显示了不同的选择标准。

角色节点

以类似的方式，您可以访问此用户信息系统下的不同节点，如角色、配置文件、授权和各种其他选项。

您还可以使用 SUIM 工具来搜索角色和配置文件。您可以通过在 SUIM 中按事务和分配执行搜索来将事务列表分配给一组特定的用户 ID，并将这些角色分配给该用户 ID。

使用用户信息系统，您可以在 SAP 系统中执行各种搜索。您可以输入不同的选择标准，并根据用户、配置文件、角色、交易和各种其他标准提取报告。

RSUSR002 - 按复杂选择标准的用户。