用户认证与管理
如果未经授权的用户可以在已知的授权用户下访问 SAP 系统,并且可以进行配置更改并操纵系统配置和关键策略。如果授权用户可以访问系统的重要数据和信息,那么该用户也可以访问其他关键信息。这增强了安全身份验证的使用,以保护用户系统的可用性、完整性和隐私。
SAP系统中的身份验证机制
身份验证机制定义您访问 SAP 系统的方式。提供了多种身份验证方法 -
- 用户 ID 和用户管理工具
- 安全网络通信
- SAP 登录票证
- X.509 客户端证书
用户 ID 和用户管理工具
SAP 系统中最常见的身份验证方法是使用用户名和密码登录。登录的用户 ID 由 SAP 管理员创建。为了通过用户名和密码提供安全的身份验证机制,需要定义密码策略,不允许用户设置容易预测的密码。
SAP 提供了各种默认参数,您应该设置这些参数来定义密码策略 - 密码长度、密码复杂性、默认密码更改等
SAP系统中的用户管理工具
SAP NetWeaver System提供了各种用户管理工具,可用于有效管理您环境中的用户。它们为两种类型的 NetWeaver 应用程序服务器(Java 和 ABAP)提供非常强大的身份验证方法。
一些最常见的用户管理工具是 -
ABAP应用程序服务器的用户管理(事务代码:SU01)
您可以使用用户管理事务代码 SU01 来维护基于 ABAP 的应用程序服务器中的用户。
SAP NetWeaver 身份管理
您可以使用 SAP NetWeaver Identity Management 进行用户管理以及 SAP 环境中的角色和角色分配管理。
PFCG 角色
您可以使用配置文件生成器 PFCG 在基于 ABAP 的系统中创建角色并向用户分配权限。
交易代码- PFCG
中央用户管理
您可以使用 CUA 维护多个基于 ABAP 的系统的用户。您还可以将其与目录服务器同步。使用此工具,您可以从系统客户端集中管理所有用户主记录。
交易代码- SCUA 并创建分发模型。
用户管理引擎UME
您可以使用UME角色来控制系统中的用户权限。管理员可以使用代表 UME 角色的最小实体的操作,用户可以使用该实体来构建访问权限。
您可以使用 SAP NetWeaver Administrator 选项打开 UME 管理控制台。
密码政策
密码策略被定义为用户必须遵循的一组指令,通过使用强密码并正确使用它们来提高系统安全性。在许多组织中,密码策略作为安全意识培训的一部分进行共享,并且用户必须维护组织中关键系统和信息的安全策略。
在 SAP 系统中使用密码策略,管理员可以设置系统用户部署不易破解的强密码。这也有助于定期更改密码以确保系统安全。
SAP 系统中常用以下密码策略 -
默认/初始密码更改
这使得用户在第一次使用时可以立即更改初始密码。
密码长度
在 SAP 系统中,SAP 系统中密码的最小长度默认为 3。可以使用配置文件参数更改该值,允许的最大长度为 8。
交易代码- RZ11
参数名称- 登录/min_password_lng
您可以单击此策略的配置文件参数的文档,您可以看到来自 SAP 的详细文档,如下所示 -
参数- 登录/min_password_lng
短文本- 最小密码长度
参数说明- 此参数指定登录密码的最小长度。密码必须至少包含三个字符。但是,管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时,将应用此设置。
应用领域- 登录
参数单位- 字符数(字母数字)
默认值- 6
谁被允许进行更改?顾客
操作系统限制- 无
数据库系统限制- 无
非法密码
您不能选择任何密码的第一个字符作为问号 (?) 或感叹号 (!)。您还可以在非法密码表中添加您想要限制的其他字符。
事务代码- SM30 表名称:USR40。
输入表格 - USR40并单击顶部的“显示”后,它将显示所有不允许的密码的列表。
单击“新条目”后,您可以在此表中输入新值,并选中区分大小写的复选框。
密码图案
您还可以设置密码的前三个字符不能以与用户名的一部分相同的顺序出现。可以使用密码策略限制的不同密码模式包括 -
- 前三个字符不能全部相同。
- 前三个字符不能包含空格字符。
- 密码不能是 PASS 或 SAP。
更改密码
在此策略中,可以允许用户几乎每天更改一次密码,但管理员可以根据需要经常重置用户的密码。
不应允许用户重复使用最近的五个密码。但是,管理员可以重置用户之前使用的密码。
剖面参数
您可以在 SAP 系统中定义不同的配置文件参数来进行用户管理和密码策略。
在 SAP 系统中,您可以通过转至工具 → CCMS → 配置 → 配置文件维护(事务:RZ11)来显示每个配置文件参数的文档。输入参数名称并单击“显示”。
在出现的下一个窗口中,您必须输入参数名称,您可以看到 2 个选项 -
显示- 显示 SAP 系统中的参数值。
显示文档- 显示该参数的 SAP 文档。
当您单击“显示”按钮时,您将转到“维护配置文件参数”屏幕。您可以看到以下详细信息 -
- 姓名
- 类型
- 选择标准
- 参数组
- 参数说明等
在底部,您可以看到参数login/min_password_lng的当前值
当您单击“显示文档”选项时,它将显示该参数的 SAP 文档。
参数说明
该参数指定登录密码的最小长度。密码必须至少包含三个字符。但是,管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时,将应用此设置。
每个参数都有一个默认值,允许的值如下 -
SAP 系统中有不同的密码参数。您可以在RZ11交易中输入每个参数,并可以查看文档。
- 登录/min_password_diff
- 登录名/最小密码位数
- 登录/最小密码字母
- 登录/min_password_specials
- 登录/min_password_lowercase
- 登录/最小密码_大写
- 登录/禁用_密码_登录
- 登录名/密码字符集
- 登录/密码_向下兼容性
- 登录/password_compliance_to_current_policy
要更改参数值,请运行事务 RZ10并选择配置文件,如下所示 -
多个应用程序服务器- 使用默认配置文件。
单一应用程序服务器- 使用实例配置文件。
选择延长维护并单击显示。
选择要更改的参数,然后单击顶部的“参数” 。
当您单击“参数”选项卡时,您可以在新窗口中更改参数值。您还可以通过单击“创建”(F5)创建新参数。
您还可以在此窗口中查看参数的状态。输入参数值并单击“复制”。
退出屏幕时会提示您保存。单击“是”保存参数值。