SAP 安全 - 快速指南


SAP 安全 - 概述

在 SAP 分布式环境中,您始终需要保护您的关键信息和数据免遭未经授权的访问。人为错误、不正确的访问配置不应允许对任何系统进行未经授权的访问,并且需要维护和审查 SAP 环境中的配置文件策略和系统安全策略。

为了确保系统安全,您应该充分了解系统中使用的用户访问配置文件、密码策略、数据加密和授权方法。您应该定期检查SAP 系统环境并监控配置和访问配置文件中所做的所有更改。

标准超级用户应受到良好的保护,用户配置文件参数和值应仔细设置,以满足系统安全要求。

通过网络进行通信时,您应该了解网络拓扑,并且应在经过大量检查后审查和启用网络服务。网络上的数据应该使用私钥得到很好的保护。

为什么需要安全性?

在分布式环境中访问信息时,由于缺乏密码策略、标准超级用户维护不善或任何其他原因,关键信息和数据可能会被泄露给未经授权的访问,系统安全性也会受到破坏。

SAP 系统中访问权限遭到破坏的几个关键原因如下:

  • 不维护强密码策略。

  • 标准用户、超级用户、DB用户没有得到妥善维护,密码没有定期更改。

  • 配置文件参数未正确定义。

  • 不会监控不成功的登录尝试,也不会定义空闲用户会话结束策略。

  • 网络 通过互联网发送数据时不考虑通信安全,也不使用加密密钥。

  • 数据库用户维护不当,信息数据库建立时未考虑安全措施。

  • SAP 环境中未正确配置和维护单点登录。

为了克服上述所有原因,您需要在 SAP 环境中定义安全策略。应定期定义安全参数并审查密码策略。

数据库安全性是保护 SAP 环境的关键组件之一。因此,您需要管理数据库用户并确保密码得到良好的保护。

系统中应应用以下安全机制,以保护 SAP 环境免受任何未经授权的访问 -

  • 用户认证与管理
  • 网络通信安全
  • 保护标准用户和超级用户
  • 登录失败保护
  • 配置文件参数和密码策略
  • Unix 和 Windows 平台下的 SAP 系统安全
  • 单点登录概念
SAP 安全政策

因此,分布式环境中需要 SAP 系统的安全性,并且您需要确保您的数据和流程支持您的业务需求,而不允许未经授权访问关键信息。在 SAP 系统中,人为错误、疏忽或试图操纵系统可能会导致关键信息丢失。

用户认证与管理

如果未经授权的用户可以在已知的授权用户下访问 SAP 系统,并且可以进行配置更改并操纵系统配置和关键策略。如果授权用户可以访问系统的重要数据和信息,那么该用户也可以访问其他关键信息。这增强了安全身份验证的使用,以保护用户系统的可用性、完整性和隐私。

SAP系统中的身份验证机制

身份验证机制定义您访问 SAP 系统的方式。提供了多种身份验证方法 -

  • 用户 ID 和用户管理工具
  • 安全网络通信
  • SAP 登录票证
  • X.509 客户端证书

用户 ID 和用户管理工具

SAP 系统中最常见的身份验证方法是使用用户名和密码登录。登录的用户 ID 由 SAP 管理员创建。为了通过用户名和密码提供安全的身份验证机制,需要定义密码策略,不允许用户设置容易预测的密码。

SAP 提供了各种默认参数,您应该设置这些参数来定义密码策略 - 密码长度、密码复杂性、默认密码更改等

用户身份

SAP系统中的用户管理工具

SAP NetWeaver System提供了各种用户管理工具,可用于有效管理您环境中的用户。它们为两种类型的 NetWeaver 应用程序服务器(Java 和 ABAP)提供非常强大的身份验证方法。

一些最常见的用户管理工具是 -

ABAP应用程序服务器的用户管理(事务代码:SU01)

您可以使用用户管理事务代码 SU01 来维护基于 ABAP 的应用程序服务器中的用户。

用户管理工具

SAP NetWeaver 身份管理

您可以使用 SAP NetWeaver Identity Management 进行用户管理以及 SAP 环境中的角色和角色分配管理。

显示身份

PFCG 角色

您可以使用配置文件生成器 PFCG 在基于 ABAP 的系统中创建角色并向用户分配权限。

交易代码- PFCG

显示文档

中央用户管理

您可以使用 CUA 维护多个基于 ABAP 的系统的用户。您还可以将其与目录服务器同步。使用此工具,您可以从系统客户端集中管理所有用户主记录。

交易代码- SCUA 并创建分发模型。

中央用户管理

用户管理引擎UME

您可以使用UME角色来控制系统中的用户权限。管理员可以使用代表 UME 角色的最小实体的操作,用户可以使用该实体来构建访问权限。

您可以使用 SAP NetWeaver Administrator 选项打开 UME 管理控制台。

密码政策

密码策略被定义为用户必须遵循的一组指令,通过使用强密码并正确使用它们来提高系统安全性。在许多组织中,密码策略作为安全意识培训的一部分进行共享,并且用户必须维护组织中关键系统和信息的安全策略。

在 SAP 系统中使用密码策略,管理员可以设置系统用户部署不易破解的强密码。这也有助于定期更改密码以确保系统安全。

SAP 系统中常用以下密码策略 -

默认/初始密码更改

这使得用户在第一次使用时可以立即更改初始密码。

密码长度

在 SAP 系统中,SAP 系统中密码的最小长度默认为 3。可以使用配置文件参数更改该值,允许的最大长度为 8。

交易代码- RZ11

参数名称- 登录/min_password_lng

维护配置文件参数

您可以单击此策略的配置文件参数的文档,您可以看到来自 SAP 的详细文档,如下所示 -

表演助理

参数- 登录/min_password_lng

短文本- 最小密码长度

参数说明- 此参数指定登录密码的最小长度。密码必须至少包含三个字符。但是,管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时,将应用此设置。

应用领域- 登录

参数单位- 字符数(字母数字)

默认值- 6

谁被允许进行更改?顾客

操作系统限制- 无

数据库系统限制- 无

非法密码

您不能选择任何密码的第一个字符作为问号 (?) 或感叹号 (!)。您还可以在非法密码表中添加您想要限制的其他字符。

事务代码- SM30 表名称:USR40。

非法密码

输入表格 - USR40并单击顶部的“显示”后,它将显示所有不允许的密码的列表。

不允许的密码

单击“新条目”后,您可以在此表中输入新值,并选中区分大小写的复选框。

区分大小写复选框

密码图案

您还可以设置密码的前三个字符不能以与用户名的一部分相同的顺序出现。可以使用密码策略限制的不同密码模式包括 -

  • 前三个字符不能全部相同。
  • 前三个字符不能包含空格字符。
  • 密码不能是 PASS 或 SAP。

更改密码

在此策略中,可以允许用户几乎每天更改一次密码,但管理员可以根据需要经常重置用户的密码。

不应允许用户重复使用最近的五个密码。但是,管理员可以重置用户之前使用的密码。

剖面参数

您可以在 SAP 系统中定义不同的配置文件参数来进行用户管理和密码策略。

在 SAP 系统中,您可以通过转至工具 → CCMS → 配置 → 配置文件维护(事务:RZ11)来显示每个配置文件参数的文档。输入参数名称并单击“显示”

剖面参数

在出现的下一个窗口中,您必须输入参数名称,您可以看到 2 个选项 -

显示- 显示 SAP 系统中的参数值。

显示文档- 显示该参数的 SAP 文档。

显示文件

当您单击“显示”按钮时,您将转到“维护配置文件参数”屏幕。您可以看到以下详细信息 -

  • 姓名
  • 类型
  • 选择标准
  • 参数组
  • 参数说明等

在底部,您可以看到参数login/min_password_lng的当前值

参数当前值

当您单击“显示文档”选项时,它将显示该参数的 SAP 文档。

SAP 参数文档

参数说明

该参数指定登录密码的最小长度。密码必须至少包含三个字符。但是,管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时,将应用此设置。

每个参数都有一个默认值,允许的值如下 -

参数说明

SAP 系统中有不同的密码参数。您可以在RZ11交易中输入每个参数,并可以查看文档。

  • 登录/min_password_diff
  • 登录名/最小密码位数
  • 登录/最小密码字母
  • 登录/min_password_specials
  • 登录/min_password_lowercase
  • 登录/最小密码_大写
  • 登录/禁用_密码_登录
  • 登录名/密码字符集
  • 登录/密码_向下兼容性
  • 登录/password_compliance_to_current_policy

要更改参数值,请运行事务 RZ10并选择配置文件,如下所示 -

  • 多个应用程序服务器- 使用默认配置文件。

  • 单一应用程序服务器- 使用实例配置文件。

选择延长维护并单击显示

编辑个人资料

选择要更改的参数,然后单击顶部的“参数” 。

范围

当您单击“参数”选项卡时,您可以在新窗口中更改参数值。您还可以通过单击“创建”(F5)创建新参数。

您还可以在此窗口中查看参数的状态。输入参数值并单击“复制”

复制按钮

退出屏幕时会提示您保存。单击“是”保存参数值。

参数值

SAP 安全 - 网络通信

安全网络通信 (SNC)还可用于使用安全身份验证方法登录到应用程序服务器。您可以通过 Windows 版 SAP GUI 或使用 RFC 连接使用 SNC 进行用户身份验证。

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 PKI 等安全措施以及生成和分发密钥对的过程。

您应该定义可以消除威胁并防止网络攻击的网络拓扑。当用户无法登录应用程序或数据库层时,攻击者无法访问SAP系统或数据库系统来访问关键信息。

定义明确的网络拓扑不允许入侵者连接到公司的 LAN,因此无法访问网络服务或 SAP 系统上的安全漏洞。

SAP 系统中的网络拓扑

您的物理网络架构完全取决于 SAP 系统的大小。SAP 系统通常采用客户端-服务器架构来实现,每个系统通常分为以下三层 -

  • 数据库层
  • 应用层
  • 表示层

当您的 SAP 系统较小时,它可能没有单独的应用程序和数据库服务器。然而,在大型系统中,许多应用程序服务器与数据库服务器和多个前端进行通信。这定义了系统的网络拓扑从简单到复杂,您在组织网络拓扑时应考虑不同的场景。

在大型组织中,建议您将应用程序和数据库服务器安装在不同的计算机上,并与前端系统放置在单独的 LAN 中。

在下图中,您可以看到 SAP 系统的首选网络拓扑 -

首选网络拓扑

当您将数据库和应用程序服务器放置在与前端 VLAN 不同的 VLAN 中时,您可以改进访问控制系统,从而提高 SAP 系统的安全性。前端系统位于不同的 VLAN 中,因此不容易进入服务器 VLAN 并绕过 SAP 系统的安全性。

SAP 网络服务

在您的 SAP 系统中,启用了各种服务,但运行 SAP 系统只需要很少的服务。在 SAP 系统中,景观数据库应用服务器是最常见的网络攻击目标。您的环境中正在运行许多网络服务,允许访问这些服务器,并且应该仔细监视这些服务。

在 Window/UNIX 计算机中,这些服务维护在/etc/services中。您可以通过以下路径在 Windows 计算机中打开此文件 -

system32/驱动程序/etc/服务

Windows机

您可以在记事本中打开此文件并查看服务器中所有激活的服务 -

服务记事本

建议您禁用横向服务器上所有不需要的服务。有时,这些服务包含一些错误,入侵者可以利用这些错误来获得未经授权的访问。禁用这些服务后,您的网络遭受攻击的机会就会减少。

为了获得高级别安全性,还建议在 SAP 环境中使用静态密码文件。

私钥

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 (PKI)等安全措施和其他程序来生成和分发密钥对,并确保用户的私钥得到正确保护。

有不同的方法来保护网络授权的私钥 -

  • 硬件方案
  • 软件解决方案

现在让我们详细讨论它们。

硬件方案

您可以使用向个人用户颁发智能卡的硬件解决方案来保护用户的私钥。所有密钥都存储在智能卡中,用户应使用指纹或 PIN 密码通过生物识别技术对其智能卡进行身份验证。

每个用户都应该保护这些智能卡免遭盗窃或丢失,并且用户可以使用该卡来加密文档。

用户不得共享智能卡或将其交给其他用户。

软件解决方案

还可以使用软件解决方案来存储个人用户的私钥。与硬件解决方案相比,软件解决方案是更便宜的解决方案,但它们的安全性也较低。

存储私钥的硬件解决方案

当用户将私钥存储在文件和用户详细信息中时,需要保护这些文件以防止未经授权的访问。

SAP 安全 - 保护标准用户

首次安装 SAP 系统时,会创建一些默认用户来执行管理任务。默认情况下,它在 SAP 环境中创建三个客户端,它们是 -

  • 客户端 000 - SAP 参考客户端

  • 客户端 001 - SAP 的模板客户端

  • 客户端 066 - SAP 早期观察客户端

SAP在系统的上述客户端中创建标准用户。每个标准用户在首次安装时都有自己的默认密码。

SAP 系统中的标准用户包括默认客户端下的以下用户 -

用户 细节 客户 默认密码
树液 SAP系统超级用户 000、001、066 6071992
所有新客户 经过
DDIC ABAP词典超级用户 000, 001 19920706
新加坡太平洋石油公司 SAP 的 CPI-C 用户 000, 001 行政
早期观察 早期观看用户 66 支持

这些是 SAP 默认客户端下的标准用户,用于在 SAP 系统中执行管理和配置任务。为了维护 SAP 系统的安全性,您应该保护这些用户 -

  • 您应该将这些用户添加到 SUPER 组,以便它们只能由有权向 SUPER 组添加/修改用户的管理员修改。

  • 应更改标准用户的默认密码。

如何查看SAP系统中的客户列表?

您可以使用事务SM30查看SAP环境中所有客户端的列表,显示表T000

表T000

当您进入表格并单击“显示”时,它将显示 SAP 系统中所有客户端的列表。此表包含您在资源共享环境中创建的所有默认客户端和新客户端的详细信息。

资源共享环境

您可以使用报告RSUSR003确保已在所有客户端中创建用户 SAP,并且已更改 SAP、DDIC 和 SAPCPIC 的标准密码。

转到ABAP Editor SE38并输入报告名称,然后单击EXECUTE。

ABAP编辑器

输入报告标题并单击“执行”按钮。它将显示SAP系统中的所有客户端和标准用户、密码状态、使用锁定的原因、有效期从和有效期到等。

测试

保护SAP系统超级用户

要保护 SAP 系统超级用户“SAP”,您可以在系统中执行以下步骤 -

步骤 1 - 您需要在 SAP 系统中定义新的超级用户并停用 SAP 用户。请注意,您不得删除系统中的用户 SAP。要停用硬编码用户,您可以使用配置文件参数:login/no_automatic_user_sapstar。

如果删除用户 SAP* 的用户主记录,则可以使用“SAP”和初始密码 PASS 登录。

“SAP”用户具有以下属性 -

由于不执行任何授权检查,因此用户拥有完全授权。

  • 默认密码 PASS 无法更改。

  • 您可以使用配置文件参数login/no_automatic_user_sapstar来停用 SAP 的这些特殊属性并控制用户 SAP* 的自动登录。

步骤 2 - 要检查此参数的值,请运行事务RZ11并输入参数名称。

运行交易

展示

允许的值- 0、1,其中 -

  • 0 - 允许自动用户 SAP*。

  • 1 - 自动用户 SAP* 已停用。

步骤 3 - 在以下系统中,您可以看到此参数的值设置为 1。这表明超级用户“SAP”在系统中已停用。

步骤 4 - 单击“显示”,您可以看到该参数的当前值。

显示按钮

要在系统中创建新的超级用户,请定义新的用户主记录并将配置文件SAP_ALL分配给该超级用户。

DDIC 用户保护

与软件物流、ABAP 词典以及与安装和升级相关的任务相关的某些任务需要 DDIC 用户。为了保护该用户,建议在 SAP 系统中锁定该用户。您不应删除此用户来执行一些功能以供将来使用。

要锁定用户,请使用事务代码:SU01

DDIC 用户保护

如果要保护该用户,可以在安装时为该用户分配SAP_ALL权限,然后将其锁定。

保护 SAPCPIC 用户

SAPCPIC用户用于调用SAP系统中的某些程序和功能模块,是非对话用户。

您应该锁定该用户并更改该用户的密码以保护它。在以前的版本中,当您锁定 SAPCPIC 用户或更改密码时,它会影响其他程序 RSCOLL00、RSCOLL30 和 LSYPGU01。

保护早期观察

066 客户端 - 这称为 SAP Early Watch,用于 SAP 系统中的诊断扫描和监控服务,用户 EARLYWATCH 是客户端 066 中 Early Watch 服务的交互式用户。为了保护此用户,您可以执行以下操作 -

  • 锁定 EARLYWATCH 用户,直到 SAP 环境中不需要为止。
  • 更改该用户的默认密码。

关键点

为了保护 SAP 标准用户并保护 SAP 环境中的客户端,您应该考虑以下要点 -

  • 妥善维护SAP系统中的客户端,确保不存在未知客户端。

  • 您需要确保 SAP 超级用户“SAP”存在并且已在所有客户端中停用。

  • 您需要确保更改所有 SAP 标准用户 SAP、DDIC 和 EARLYWATCH 用户的默认密码。

  • 您需要确保所有标准用户都已添加到 SAP 系统中的 SUPER 组,并且唯一有权更改 SUPER 组的人员只能编辑这些用户。

  • 您需要确保 SAPCPIC 的默认密码已更改,并且该用户已锁定,并在需要时解锁。

  • 所有 SAP 标准用户都应被锁定,并且只能在需要时解锁。应该为所有这些用户很好地保护密码。

如何修改标准用户密码?

您应确保在表 T000中维护的所有客户端中更改所有 SAP 标准用户的密码,并且所有客户端都应存在用户“SAP”。

更改密码

要更改密码,请使用超级用户登录。在用户名字段中输入要更改密码的用户 ID。单击更改密码选项,如以下屏幕截图所示 -

更改密码选项

输入新密码,重复密码,然后单击“应用”。您应该对所有标准用户重复相同的过程。

更改密码窗口

取消授权登录保护

为了在SAP系统中实现安全性,需要监控SAP环境中的不成功登录。当有人尝试使用不正确的密码登录系统时,系统应该锁定用户名一段时间,或者在指定的尝试次数后终止该会话。

可以为未经授权的登录尝试设置各种安全参数 -

  • 终止会话
  • 锁定用户
  • 激活屏幕保护程序
  • 监控不成功的登录尝试
  • 记录登录尝试

现在让我们详细讨论其中的每一个。

终止会话

当对单个用户 ID 进行多次登录尝试失败时,系统会结束该用户的会话。这应该使用配置文件参数发送 - login/fails_to_session_end。

要更改参数值,请运行事务RZ10并选择配置文件,如以下屏幕截图所示。选择延长维护并单击显示

延长维护

选择要更改的参数,然后单击顶部的“参数”按钮,如下所示。

参数按钮

单击“参数”选项卡时,可以在新窗口中更改参数的值。您还可以通过单击“创建”(F5)按钮来创建新参数。

要查看此参数的详细信息,请运行事务代码:RZ11并输入配置文件名称 - login/fails_to_session_end并单击Display Document

  • 参数- 登录/失败到会话结束

  • 短文本- 会话结束之前的无效登录尝试次数。

  • 参数说明- 在登录过程终止之前可以使用用户主记录进行的无效登录尝试次数。

  • 应用领域- 登录

  • 默认值- 3

  • 谁被允许进行更改?− 客户

  • 操作系统限制- 无

  • 数据库系统限制- 无

  • 其他参数是否受到影响或相关?- 无

  • 允许的值- 1 - 99

登录/会话失败

在上面的屏幕截图中,您可以看到该参数的值设置为3,即默认值。3 次登录尝试失败后,单个用户的会话将终止。

锁定用户

如果单个用户 ID 连续尝试登录失败的次数超过设定次数,您还可以对特定用户 ID 进行检查。在配置文件参数中设置允许的无效登录尝试次数:login/fails_to_user_lock

  • 可以对特定用户 ID 设置锁定。

  • 锁定用户 ID 直至午夜。但是,系统管理员也可以随时手动将其删除。

  • 在 SAP 系统中,您还可以设置一个参数值,允许对用户 ID 进行锁定,直到手动将其删除。参数名称:login/failed_user_auto_unlock

配置文件参数:login/fails_to_user_lock

每次输入错误的登录密码时,相关用户主记录的失败登录计数器都会增加。登录尝试可以记录在安全审核日志中。如果超过该参数指定的限制,相关用户将被锁定。此过程也会记录在 Syslog 中。

当日结束后,锁定不再有效。(其他条件-登录/failed_user_auto_unlock)

一旦用户使用正确的密码登录,失败登录计数器就会重置。不基于密码的登录对失败登录计数器没有任何影响。但是,每次登录都会检查活动登录锁。

  • 允许的值− 1 – 99

要查看此参数的当前值,请使用T 代码:RZ11

登录失败用户锁定

参数元数据
  • 参数名称- 登录/failed_user_auto_unlock

  • 短文本- 禁止在午夜自动解锁锁定的用户。

  • 参数说明- 控制因错误登录而锁定的用户的解锁。如果该参数设置为 1,则因密码登录尝试失败而设置的锁定仅在同一天应用(作为锁定)。如果该参数设置为 0,则锁定仍然有效。

  • 应用程序区域- 登录。

  • 默认值- 0。

激活屏幕保护程序

系统管理员还可以启用屏幕保护程序来保护前端屏幕免受任何未经授权的访问。这些屏幕保护程序可以受密码保护。

监控不成功的登录尝试并记录登录尝试

在 SAP 系统中,您可以使用报告RSUSR006检查系统中是否有用户尝试登录失败。此报告包含有关用户错误登录尝试次数和用户锁定的详细信息,您可以根据您的要求安排此报告。

转到ABAP Editor SE38并输入报告名称,然后单击EXECUTE

执行

在此报告中,您有不同的详细信息,例如用户名、类型、创建时间、创建者、密码、锁定和不正确的登录详细信息。

用户列表

在 SAP 系统中,您还可以使用安全审核日志(事务 SM18、SM19 和 SM20)来记录所有成功和不成功的登录尝试。您可以使用SM20事务来分析安全审计日志,但需要在系统中激活安全审计来监控安全审计日志。

安全审核日志

注销空闲用户

当用户已登录 SAP 系统并且会话在特定时间内处于非活动状态时,您还可以将其设置为注销以避免任何未经授权的访问。

要启用此设置,您需要在配置文件参数中指定此值:rdisp/gui_auto_logout

  • 参数说明- 您可以定义非活动 SAP GUI 用户在预定义的时间段后自动从 SAP 系统注销。本次参数配置。SAP系统中的自动注销默认是关闭的(值为0),即用户即使长时间不执行任何操作也不会注销。

  • 允许的值- n [单位],其中 n >= 0 且单位 = S | 中号 | 哈 | D

要查看参数的当前值,请运行 T-Code: RZ11

T代码RZ11

当前值

下表显示了 SAP 系统中关键参数的列表、它们的默认值和允许值 -

范围 描述 默认 允许值
登录/会话结束失败 会话结束之前的无效登录尝试次数 3 1-99
登录/用户锁定失败 用户锁定之前的无效登录尝试次数 12 1-99
登录/用户失败自动解锁 设置 t 1 时:锁定在设置当天应用。在用户登录的第二天,锁定将被删除 1 0 或 1
rdsp/gui_auto_output 用户的最大空闲时间(以秒为单位) 0(无限制) 无限制的

SAP 安全 - 系统授权概念

SAP 系统授权概念涉及保护 SAP 系统免遭运行事务和程序的未经授权的访问。在用户定义此活动的授权之前,不应允许用户在 SAP 系统中执行事务和程序。

为了让您的系统更加安全,实现强授权,您需要审核您的授权计划,确保其符合公司的安全要求,不存在安全违规Behave。

用户类型

在 SAP 系统的早期版本中,用户类型仅分为两类 - 对话用户和非对话用户,并且仅建议非对话用户在两个系统之间进行通信。在 SAP 4.6C 中,用户类型分为以下几类 -

  • 对话用户- 该用户用于单独的交互式系统访问,大部分客户端工作是使用对话用户执行的。密码可由用户自行更改。在对话用户中,可以防止多次对话登录。

  • 服务用户- 用于执行交互式系统访问以执行某些预定任务,例如产品目录显示。该用户允许多次登录,并且只有管理员可以更改该用户的密码。

  • 系统用户- 此用户 ID 用于执行大多数系统相关任务 - 传输管理系统、定义工作流程和 ALE。它不是交互式系统相关用户,并且允许该用户多次登录。

  • 参考用户- 参考用户不用于登录 SAP 系统。该用户用于向内部用户提供额外的授权。在 SAP 系统中,您可以转到“角色”选项卡并指定参考用户以获得对话用户的附加权限。

  • 通信用户- 此用户类型用于维护不同系统之间的无对话登录,例如 RFC 连接、CPIC。通信用户无法使用 SAP GUI 进行对话登录。用户类型可以像普通对话框用户一样更改其密码。RFC功能模块可用于修改密码。

事务代码:SU01用于在 SAP 系统中创建用户。在以下屏幕中,您可以在 SU01 事务下看到 SAP 系统中的不同用户类型。

交易代码SU01

创建用户

要在 SAP 系统中创建一个或多个具有不同访问权限的用户,您应遵循以下步骤。

步骤 1 - 使用交易代码 - SU01

步骤 2 - 输入您要创建的用户名,单击创建图标,如以下屏幕截图所示。

创建用户

步骤 3 - 您将被定向到下一个选项卡 - 地址选项卡。在这里,您需要输入名字、姓氏、电话号码、电子邮件 ID 等详细信息。

地址

步骤 4 - 您将进一步定向到下一个选项卡 -登录数据。在“登录数据”选项卡下输入用户类型。我们有五种不同的用户类型。

对话

步骤 5 - 输入第一个登录密码→新密码→重复密码。

新密码

步骤 6 - 您将被引导到下一个选项卡 - 角色 - 将角色分配给用户。

下一个选项卡

步骤 7 - 您将进一步定向到下一个选项卡 - 配置文件 - 将配置文件分配给用户。

为用户分配配置文件

步骤 8 - 单击“保存”以接收确认。

中央用户管理 (CUA)

中央用户管理是关键概念之一,它允许您使用中央系统管理 SAP 系统环境中的所有用户。使用此工具,您可以在一个系统中集中管理所有用户主记录。中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

中央用户管理的优点是 -

  • 在 SAP 环境中配置 CUA 时,您可以仅使用中央系统创建或删除用户。

  • 所有必需的角色和授权都以活动形式存在于子系统中。

  • 所有用户都受到集中监控和管理,这使得管理任务变得简单,并且可以更清晰地查看复杂系统环境中的所有用户管理活动。

  • 中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

使用称为应用程序链接启用的ALE环境执行的数据交换允许以受控方式交换数据。中央用户管理员使用 ALE 与 SAP 系统环境中的子系统进行数据交换。

在复杂的景观环境中,您将一个系统定义为具有 ALE 环境的中央系统,并使用双向数据交换将其链接到所有子系统。景观中的子系统彼此不相连。

要实施中央用户管理,应考虑以下几点 -

  • 您需要一个在单一/分布式环境中具有多个客户端的 SAP 环境。

  • 管理员管理用户,需要以下交易代码的授权 -

    • 苏01

    • SCC4

    • 华南大学

    • 浮渣

    • SM59

    • BD54

    • BD64

  • 您应该在系统之间创建信任关系。

  • 您应该在中央和子系统中创建系统用户。

  • 创建逻辑系统并将逻辑系统分配给相应的客户端。

  • 创建模型视图和模型视图的 BAPI。

  • 创建中央用户管理员并设置字段的分配参数。

  • 同步公司地址

  • 转移用户

在集中管理的环境中,您需要首先创建管理员。以用户SAP*、默认密码PASS登录未来CUA的所有逻辑系统。

运行事务SU01并创建一个分配有管理员角色的用户。

苏01

要定义逻辑系统,请使用事务BD54。单击“新条目”以创建新的逻辑系统。

更改视图逻辑系统

为中央和所有子系统(包括来自其他 SAP 系统的系统)的中央用户管理创建一个大写字母的新逻辑名称。

新逻辑名称

为了轻松识别系统,您可以使用以下命名约定来识别中央用户管理系统 -

<系统 ID>CLNT<客户端>

输入逻辑系统的一些有用描述。单击“保存”按钮保存您的条目。接下来是在所有子系统中为中央系统创建逻辑系统名称。

要将逻辑系统分配给客户端,请使用事务SCC4并切换到更改模式。

显示视图

通过双击或单击“详细信息”按钮,打开要分配给逻辑系统的客户端。一个客户端只能分配给一个逻辑系统。

在客户端详细信息的逻辑系统字段中,输入要将此客户端分配到的逻辑系统名称。

逻辑系统

对 SAP 环境中要包含在中央用户管理器中的所有客户端执行上述步骤。要保存您的设置,请单击顶部的“保存”按钮。

节省

保护 SAP 中的特定配置文件

为了维护 SAP 系统的安全性,您需要维护包含关键授权的特定配置文件。在具有完全授权的 SAP 系统中,您需要保护各种 SAP 授权配置文件。

SAP 系统中需要保护的一些配置文件是 -

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

SAP_ALL 授权配置文件

SAP_ALL 授权配置文件允许用户执行 SAP 系统中的所有任务。这是包含 SAP 系统中所有授权的复合配置文件。具有此授权的用户可以执行 SAP 系统中的所有活动,因此不应将此配置文件分配给系统中的任何用户。

建议使用配置文件维护单个用户。虽然密码应该对该用户得到很好的保护,并且应该仅在需要时使用。

您不应分配 SAP_ALL 权限,而应将单独的权限分配给适当的用户。您的系统超级用户/系统管理,您应该使用所需的个人授权,而不是向他们分配 SAP_ALL 授权。

SAP 授权

SAP_NEW 授权

SAP_NEW 授权包含新版本中所需的所有授权。系统升级完成后,将使用此配置文件,以便某些任务正常运行。

您应该记住有关此授权的以下几点 -

  • 执行系统升级时,您需要删除之前版本的 SAP_NEW 配置文件。

  • 您需要将 SAP_NEW 配置文件下的单独授权分配给环境中的不同用户。

  • 此配置文件不应保持活动状态太久。

  • 当您的环境中存在一长串 SAP_NEW 配置文件时,表明您需要检查系统中的授权策略。

型材

要查看所有 SAP_NEW 配置文件的列表,您应该通过双击选择该配置文件,然后 → 转到选择

选择

P_BAS_ALL 授权

此授权允许用户从其他应用程序查看表的内容。该授权包含P_TABU_DIS授权。此授权允许 PA 用户查看不属于其组的表内容。

PFCG角色维护

PFCG 角色维护可用于管理 SAP 系统中的角色和授权。在PFCG中,角色代表一个人执行的与现实生活场景相关的工作。PFCG 允许您定义一组可分配给某人执行日常工作的事务。

在 PFCG 事务中创建角色后,您可以使用事务SU01将这些角色分配给各个用户。SAP 系统中的用户可以被分配多个角色,这些角色与其现实生活中的日常任务相关。

这些角色与 SAP 系统中的用户和权限相关。实际的授权和配置文件以对象的形式存储在 SAP 系统中。

使用 PFCG 角色维护,您可以执行以下功能 -

  • 更改和分配角色
  • 创建角色
  • 创建复合角色
  • 传输和分配角色

现在让我们详细讨论这些功能。

更改和分配角色

运行事务:PFCG

PFCG

它将带您进入角色维护窗口。要更改现有角色,请在字段中输入交付的角色名称。

角色维护

单击“复制角色”按钮复制标准角色。输入命名空间中的名称。单击值选择按钮并选择要将其复制到的角色。

您还可以选择 SAP 提供的以SAP_开头的角色,但默认角色将被覆盖。

被覆盖

要更改角色,请单击“角色维护”中的“更改”按钮。

更改按钮

导航到“菜单”选项卡以更改“菜单”选项卡页面上的用户菜单。转至“授权”选项卡以更改该用户的授权数据。

授权

您还可以使用专家模式在授权下调整菜单更改的授权。单击“生成”按钮生成该角色的配置文件。

变更授权

要将用户分配给此角色,请转到“更改角色”选项中的“用户”选项卡。要将用户分配给此角色,该用户应该存在于系统中。

用户

如果需要,您还可以执行用户比较。单击“用户比较”选项。您还可以单击“信息”按钮了解有关单一和复合角色的更多信息,以及单击“用户比较”选项来比较主记录。

用户比较

在 PFCG 中创建角色

您可以在 PFCG 中创建单一角色和复合角色。输入角色名称,然后单击“创建单一或复合角色”,如下面的屏幕截图所示。

创建单一角色

您可以从客户命名空间中进行选择,例如 Y_ 或 Z_。SAP 交付的角色以 SAP_ 开头,您不能从 SAP 交付的角色中获取名称。

单击“创建角色”按钮后,您应该在角色定义的“菜单”选项卡下添加“交易”、“报告”和“网址”。

菜单选项卡

导航到“授权”选项卡以生成配置文件,单击“更改授权数据”选项。

授权数据选项

根据您的活动选择,系统会提示您输入组织级别。当您在对话框中输入特定值时,会自动维护角色的授权字段。

您可以调整角色的参考。角色定义完成后,您需要生成角色。单击“生成”(Shift+F5)。

移 F5

在此结构中,当您看到红色交通灯时,它显示没有值的组织级别。您可以使用“维护”选项卡旁边的“组织级别”输入和更改组织级别。

输入配置文件名称并单击勾选选项以完成生成步骤。

勾选选项

单击“保存”以保存配置文件。您可以通过转至“用户”选项卡直接将此角色分配给用户。以类似的方式,您可以使用 PFCG 角色维护选项创建复合角色。

传输和分配角色

运行事务 – PFCG 并输入您要传​​输的角色名称,然后单击传输角色。

公用事业

您将到达角色运输选项。您在传输角色下有多个选项 -

  • 将单一角色传输为复合角色。
  • 传输为角色生成的配置文件。
  • 个性化数据。
运输的作用

在下一个对话框中,您应该提到用户分配,并且还应该传输个性化数据。如果用户分配也被传输,它们将替换目标系统中角色的整个用户分配。

要锁定系统以便无法导入角色的用户分配,请使用事务SM30将其输入到定制表PRGN_CUST中,并选择值字段USER_REL_IMPORT number

迅速的

该角色是在定制请求中输入的。您可以使用事务SE10查看此信息。

交易SE10

在定制请求中,授权配置文件与角色一起传输。

授权信息系统交易 – SUIM

在授权管理中,SUIM 是一个关键工具,您可以使用它在 SAP 系统中查找用户配置文件,还可以将这些配置文件分配给该用户 ID。SUIM 提供了一个初始屏幕,其中提供了用于搜索用户、角色、配置文件、授权、事务和比较的选项。

要打开用户信息系统,请运行事务:SUIM

用户信息系统

在用户信息系统中,您有不同的节点,可用于在 SAP 系统中执行不同的功能。与在用户节点中一样,您可以根据选择条件对用户执行搜索。您可以获得锁定的用户列表、有权访问特定交易集的用户等。

当您展开每个选项卡时,您可以选择根据不同的选择标准生成不同的报告。就像展开用户选项卡时一样,您有以下选项 -

结构

当您通过复杂的选择条件单击用户时,您可以同时应用多个选择条件。下面的屏幕截图显示了不同的选择标准。

选择标准

角色节点

以类似的方式,您可以访问此用户信息系统下的不同节点,如角色、配置文件、授权和各种其他选项。

您还可以使用 SUIM 工具来搜索角色和配置文件。您可以通过在 SUIM 中按事务和分配执行搜索来将事务列表分配给一组特定的用户 ID,并将这些角色分配给该用户 ID。

用户信息

使用用户信息系统,您可以在 SAP 系统中执行各种搜索。您可以输入不同的选择标准,并根据用户、配置文件、角色、交易和各种其他标准提取报告。

RSUSR002 - 按复杂选择标准的用户。

复杂的选择标准

SAP 安全 - Unix 平台

在使用某些 Unix 属性、文件或服务、保护密码文件以及停用rloginremsh的 BSD 远程服务时,您需要采取各种安全措施。

密码保护

在Unix平台中,攻击者可以使用字典攻击程序来发现Unix操作系统中存储的密码信息。您可以将密码存储在影子密码文件中,并且只有 root 用户可以访问该文件,以提高系统的安全性。

停用远程服务

BSD 远程服务允许远程访问 Unix 系统。启动远程连接时,使用/etc/host.equiv$HOME/.rhosts,如果这些文件包含有关连接源的主机名和 IP 地址或任何通配符的信息,则无需输入密码登录时。

在这种情况下,远程服务 rlogin 和 remsh 是安全威胁,您需要停用这些服务。您可以通过转到Unix 系统中的inetd.conf文件来停用这些服务。

Unix系统

在 Unix 系统中,rlogin 是一个远程 shell 客户端(如 SSH),其设计速度快且体积小。它没有加密,这在高安全性环境中可能有一些小缺点,但它可以以非常高的速度运行。服务器和客户端都不会使用大量内存。

SSH

保护 UNIX 中的网络文件系统

在 UNIX 平台中,网络文件系统用于通过网络从 SAP 系统访问传输和工作目录。要访问工作目录,身份验证过程涉及网络地址。攻击者有可能使用 IP 欺骗通过网络文件系统获得未经授权的访问。

为了确保系统安全,您不应将主目录分布在网络文件系统上,并且应仔细分配对这些目录的写入权限。

UNIX 中 SAP 系统的 SAP 系统目录访问

您应该为 UNIX 中的 SAP 系统目录设置以下访问权限 -

SAP目录 八进制形式访问权限 所有者 团体
/sapmnt/<SID>/exe 第775章 <sid>管理员 萨普西斯
/sapmnt/<SID>/exe/saposcol 4755 萨普西斯
/sapmnt/<SID>/global 700 <sid>管理员 萨普西斯
/sapmnt/<SID>/profile 第755章 <sid>管理员 萨普西斯
/usr/sap/<SID> 第751章 <sid>管理员 萨普西斯
/usr/sap/<SID>/<实例 ID> 第755章 <sid>管理员 萨普西斯
/usr/sap/<SID>/<实例 ID>/* 750 <sid>管理员 萨普西斯
/usr/sap/<SID>/<实例 ID>/sec 700 <sid>管理员 萨普西斯
/usr/sap/<SID>/SYS 第755章 <sid>管理员 萨普西斯
/usr/sap/<SID>/SYS/* 第755章 <sid>管理员 萨普西斯
/usr/sap/trans 第775章 <sid>管理员 萨普西斯
/usr/sap/trans/* 第770章 <sid>管理员 萨普西斯
/usr/sap/trans/.sapconf 第775章 <sid>管理员 萨普西斯
<<sid>adm> 的主目录 700 <sid>管理员 萨普西斯
<<sid>adm>的主目录/* 700 <sid>管理员 萨普西斯

SAP 安全 - Windows 平台

您需要在Windows平台中创建不同的用户和组才能安全地运行您的SAP系统。为了简化用户管理任务,建议将所有 WIN NT 用户添加到操作系统级别具有正确访问权限的用户组中。在窗口操作系统中,有不同的组级别 -

  • 全球集团
  • 当地团体
新环球集团

全球集团

WIN 中的全局组可在域级别使用,可用于从多个服务器分配用户。全局组可供一个域中的所有服务器使用。

您可以根据您的方便选择全局组的名称。但是,建议使用SAP R/3 系统安装中的命名约定,这是 SAP 系统管理员的标准全局组,定义为SAP_<SID>_GlobalAdmin

在 Window 平台中,有各种常见创建的全局组可用于运行 SAP 系统 -

  • SAPadmin - 该组包含所有 SAP 系统管理员的列表。

  • SAPusers - 该组包含所有 SAP 应用程序用户的列表。

  • SAPservices - 该组包含所有 SAP 系统程序的列表。

  • 域管理员- 该组包含来自所有域的所有管理员的列表。

当地团体

Windows 平台中的本地组仅限于域中的一台服务器。在安装过程中,权限被分配给单个用户而不是组。但是,建议您将访问权限分配给本地组而不是单个用户。

本地组用于提高共享域中 Windows 环境的安全性。您可以进一步将全局用户和全局组分配给本地组。您可以使用任何名称创建本地组,但建议您使用本地组名称:SAP_<SID>_LocalAdmin

您可以定义各种重新