SAP Security Tutorial
SAP Security Useful Resources
Selected Reading
- SAP Security - Logon Tickets
- User Authentication & Single SignOn
- SAP Security - Databases
- SAP Security - Windows Platform
- SAP Security - Unix Platform
- System Authorization Concept
- Un-authorizing Logons Protections
- Protecting Standard Users
- Network Communication Security
- User Authentication & Management
- SAP Security - Overview
- SAP Security - Home
SAP Security Useful Resources
Selected Reading
- Who is Who
- Computer Glossary
- HR Interview Questions
- Effective Resume Writing
- Questions and Answers
- UPSC IAS Exams Notes
SAP Security - Quick Guide
SAP Security - Quick Guide
SAP Security - Overview
在分布式环境的SAP中,始终需要你保护你的关键性信息和数据,使其免受未经授权的获取。 Human Errors, Incorrect Access Provide shouldn't access to any system, and there is a need to hold and review the Profile popcies and system security popcies in their Sem Environment.
为了保证系统的安全,你应充分了解用户使用情况简介、密码政策、数据加密和系统使用的授权方法。 您应定期检查SAP系统景观,并监测组合和出入情况的所有变化。
标准超级用户应当得到妥善保护,应当仔细确定用户简介参数和价值,以满足系统的安全要求。
在对网络进行沟通时,你应了解网络的地形和网络服务,并在经过大量检查后加以审查。 应通过使用私人钥匙,妥善保护网络的数据。
Why is Security Required?
为了在分布环境中获取信息,有可能将重要信息和数据泄露到未经许可的进入,而系统的安全也因以下原因而中断:缺乏密码政策、标准超级用户没有得到妥善维护,或者没有其他原因。
在SAP系统中违反准入的少数关键原因如下:
没有坚持强有力的密码政策。
标准用户、超级用户、非行用户没有得到适当维护,密码也没有定期改变。
简介参数没有正确界定。
未能监测无选择的标志性尝试,也没有确定单项用户会议最终政策。
在通过互联网发送数据时,没有考虑网络通信安全,也没有使用加密钥匙。
数据库用户没有得到适当维护,在建立信息数据库时没有考虑安全措施。
在SAP环境下,单一签字人没有适当配置和维持。
为了克服上述所有原因,你需要界定在你的SAP环境中的安全政策。 安全参数应当界定,密码政策应在定期间隔后审查。
数据库安全是保障其SAP环境的关键组成部分之一。 因此,需要管理你的数据库用户,并看到密码得到很好的保护。
在保护SAP环境免受任何未经许可的进入时,应适用以下安全机制:
User Authentication and Management
Network Communication Security
Protecting Standard Users and Super users
Unsuccessful Logons Protections
Profile parameters and password popcies
SAP System Security in Unix and Windows Platform
Single Sign-On Concept
因此,SAP系统的安全在分布的环境中是必需的,你需要确保你的数据和进程能够支持你的商业需要,而不允许擅自获取关键信息。 在SAP系统中,人为错误、疏忽或试图操纵该系统可能导致重要信息的损失。
User Authentication and Management
如果未经许可的用户能够按照已知授权的用户进入SAP系统,并能改变配置和操纵系统配置和关键政策。 如果授权用户能够查阅系统的重要数据和信息,那么用户也可以获取其他关键信息。 这有助于利用可靠的认证来保护用户系统的可用性、完整性和隐私。
Authentication Mechanism in a SAP System
认证机制界定了你如何利用SAP系统。 提供了各种认证方法:
User Id’s and user management tools
Secure Network Communication
SAP Logon Tickets
X.509 Cpent Certificates
User ID’s and User Management Tools
在SAP系统中,多数通用认证方法是使用用户名称和密码登录。 用户身份证由SAP署长创建。 为了通过用户名和密码提供有保障的认证机制,有必要确定密码政策,使用户无法确定容易预测的密码。
《行动计划》规定了你应当确定的各种缺省参数,以界定密码政策长度、密码复杂性、缺省密码改动等。
User Management Tools in a SAP System
SAP Net Weaver System提供各种用户管理工具,可用于在你的环境中有效管理用户。 这两套应用服务器—— Java和ABAP都提供了非常强大的认证方法。
一些最常见的用户管理工具是:
User Management for ABAP Apppcation Server (Transaction Code: SU01)
您可以使用用户管理Transaction-Code SU01,在您的ABAP应用服务器中保持用户。
SAP NetWeaver Identity Management
你们可以使用SAP Net Weaver身份管理,用于用户管理,以及管理其SAP环境中的作用和任务。
PFCG Roles
你们可以使用方位基因组,在定位器系统上为用户创造作用和授权。
Central User Administration
你们可以利用CUA来维持多种基于ABAP的系统的用户。 您也可以与您的名录服务器一道进行总结。 利用这一工具,你可以集中管理系统客户的所有用户总记录。
User Management Engine UME
你们可以发挥UME的作用,控制该系统的用户授权。 管理人可以采取代表用户可以用来建立接入权的最小实体的行动。
你们可以利用SAP Net Weaver 署长的选择,开放UME行政管理。
Password Popcy
密码政策的定义是一套指示,用户必须采用强有力的密码,妥善使用密码,从而改进系统的安全。 在许多组织,密码政策是作为提高安全意识培训的一部分加以分享的,用户必须维持一个组织关键系统和信息安全的政策。
采用SAP系统中的密码政策,管理人可以设置系统用户,以部署不易破碎的强有力的密码。 这也有助于改变系统安保的定期密码。
以下密码政策通常用于SAP系统——
Default/Initial Password Change
这使得用户能够在首次使用时立即改变最初的密码。
Password Length
在SAP系统中,SAP系统密码的最低长度为3个,按违约计算。 这一数值可使用图形参数和允许的最大长度为8。
你可以点击这一政策简介参数的文件,你可以看到SAP的详细文件如下:
<>Apppcation Area-Logon
参数单位——特性数目(字母数字)
Default Value - 6
允许改动? 客户
Illegal Passwords
您不能选择任何密码的头号为问题标志(?)或夸大标记(!) 你还可以补充你想要在非法密码表中限制的其他特征。
在您上台后,将列出所有不可允许的密码。
一旦你点击New Entries,你就可以将新的价值输入到这个桌上,并选择案件敏感检查箱。
Password Pattern
你还可以确定,密码的头三个特征不能以与用户名称相同的顺序出现。 可通过密码政策加以限制的不同密码模式包括:
The first three characters cannot all be the same.
The first three characters cannot include space characters.
The password cannot be PASS or SAP.
Password Change
在这项政策中,可以允许用户几乎每天改变其密码,但管理人可以在必要时重新撰写用户的密码。
不得再使用最后五个密码。 但是,管理人可以重新确定用户以前使用的密码。
Profile Parameters
在SAP系统中,用户管理和密码政策可以界定不同的简介参数。
在SAP系统中,你可以通过Tools —— CCMS - Configuration ——Profile Maintenance/b>(翻译:RZ11)显示每个简介参数的文件。 进入参数名称,点击Display。
在显示的下一个窗口中,你必须进入参数名称,你可以看到两种选择:
当你点击显示台子时,你将被移至Maintain Profile Para amount。 你可以看到以下细节:
Name
Type
Selection Criteria
Parameter Group
Parameter Description and many more
在底部,现值为login/min_password_lng。
当你点击Display Doc选项时,将显示SAP关于参数的文件。
Parameter Description
这一参数具体规定了原密码的最低长度。 密码必须至少有三个特点。 然而,行政长官可以规定更短的长度。 当新密码被分配时,当现有密码被改变或重新设置时,这种情形就适用。
每个参数都有违约价值,允许价值如下:
在SAP系统中存在不同的密码参数。 您可在RZ11交易中进入每一参数,并可查看文件。
login/min_password_diff
login/min_password_digits
login/min_password_letters
login/min_password_specials
login/min_password_lowercase
login/min_password_uppercase
login/disable_password_logon
login/password_charset
login/password_downwards_compatibipty
login/password_comppance_to_current_popcy
改变参数价值,管理 转让RZ10,并选定如下简介:
选择你想要改变的参数,在顶点点上点击Para amount。
当你点击参数表时,你可以在新的窗口中改变参数的价值。 你还可以点击Create (F5),从而产生新的参数。
你们也可以在这个窗口看到参数的地位。 参数值的类型和点击Copy。
在你离开屏幕时,将促使你节省费用。 浮标是为了节省参数值。
SAP Security - Network Communication
Secure Network Communication (SNC) 也可使用安全认证方法将申请服务器登录到应用服务器。 您可以通过SAP GUI对窗口或利用RFC链接进行用户认证。
国家民事警察局利用外部安全产品进行通信伙伴之间的认证。 你们可以利用诸如公用钥匙基础结构等安全措施,以及产生和分配关键奶制品的程序。
你们应当确定能够消除威胁和防止网络攻击的网络高层。 如果用户不能对应用程序或数据库层进行记录,攻击者就无法进入SAP系统或数据库系统获取关键信息。
定义明确的网络地形并不允许闯入者与公司局域网连接,因此无法进入网络服务或SAP系统的安全漏洞。
Network Topology in a SAP System
你的有形网络结构完全取决于其SAP系统的规模。 通常采用SAP系统,有客户服务器结构,每个系统通常分为以下三层:
Database Layer
Apppcation Layer
Presentation Layer
当你的SAP系统很小时,它可能没有单独的应用程序和数据库服务器。 然而,在大型系统中,许多应用服务器与一个数据库服务器和几个前线通信。 这界定了从简单到复杂的系统网络的地形,在组织你的网络高层时,你应考虑不同的情景。
在一个大型组织中,建议你在不同的机器上安装应用和数据库服务器,并在从前线系统分离的局域网中安装。
在以下形象中,你可以看到一个SAP系统的首选网络地形。
当你把自己的数据库和应用软件服务器放在离VLAN前端的单独的局域网中时,它使你能够改进出入控制系统,从而增加其SAP系统的安全。 前线系统是不同的局域网,因此进入服务器VLAN并不容易,因此绕过了你的SAP系统的安全。
SAP Network Services
在您的SAP系统中,有各种服务,但只有很少能够管理SAP系统。 在SAP系统中,Landinski、Database和Apppcation服务器是网络攻击的最常见目标。 很多网络服务在你所在的环境中运行,能够进入这些服务器,应当认真监测这些服务。
在您的窗口/UNIX机器中,这些服务维持在/etc/services。 您可以通过以下途径在Windows机器上打开这一档案:
system32/drivers/etc/services
您可以在一个说明台上打开这一档案,并审查服务器中的所有启动服务。
建议你对地貌服务器上所有未要求提供的服务进行区分。 有时,这些服务有几处错误,可被闯入者用来获取未经许可的准入。 当你放弃这些服务时,你会减少攻击你的网络的机会。
为了高度安全起见,还建议在你的SAP环境中使用静态密码文档。
Private Keys
国家民事警察局利用外部安全产品进行通信伙伴之间的认证。 您可使用公共钥匙基础设施(PKI)等安全措施和其他程序生成和分配关键舱位,并确保适当保障用户的私人钥匙。
建立网络授权的私人钥匙有不同的保障方式——
Hardware Solution
Software Solution
我们现在详细讨论这些问题。
Hardware Solution
如果用户向个人用户发放智能卡,你可以保护使用硬件解决方案的私人钥匙。 所有的钥匙都储存在智能卡内,用户应通过生物鉴别器、使用手印或使用个人识别码密码来认证其智能卡。
这些智能卡应受到保护,免受每个用户的盗窃或损失,用户可使用该卡加密文件。
不允许用户分享智能卡或向其他用户提供。
Software Solution
还可以使用软件解决方案,为个人用户储存私人钥匙。 与硬件解决方案相比,软件解决方案成本较低,但安全性也较低。
当用户在档案和用户细节中储存私人钥匙时,需要确保这些档案供未经授权查阅。
SAP Security - Protecting Standard Users
当你首次安装SAP系统时,为履行行政任务设立了几个缺省用户。 在SAP环境中,它创建了三个客户,即:
• 客户——SAP参考资料客户
客户001——从SAP的模版客户
客户066——SAP 早期观察客户
“SAP”系统在上述客户中建立了标准用户。 每个标准用户都有自己的缺省密码,有第一个安装。
“SAP”系统中的标准用户包括以下违约客户:
| User | Details | Cpent | Default Password |
|---|---|---|---|
| SAP | SAP System Super User | 000, 001, 066 | 6071992 |
| All New Cpents | PASS | ||
| DDIC | ABAP Dictionary Super User | 000, 001 | 19920706 |
| SAPCPIC | CPI-C User for SAP | 000, 001 | admin |
| EARLYWATCH | Early Watch User | 66 | support |
这些是SAP Default客户在SAP系统中履行行政和配置任务的标准用户。 为了维持SAP系统的安全,你应当保护这些用户——
你们应当增加这些用户,以便他们只得到一名署长的修改,而署长有幸将用户添加/改造到人的安全集团中。
应当改变标准用户的过失密码。
How to See the List of Cpents in a SAP System?
您可以通过“交易”SM30,, 当你上台时,在Display上点击时,你将显示SAP系统中的所有客户名单。 该表详细列出了所有违约客户和新客户在共享资源的环境中创造的情况。 您可使用报告RSUSR003,以确保所有客户都采用SAP,并对SAP、DDIC和SAPCPIC采用标准密码。 纽约总部 大会和会议管理部印发 进入报告标题,点击Execute 该系统将显示SAP系统的所有客户和标准用户、密码状况、使用洛克比、Vapd From和Vapd To等原因。 为了保护SAP系统超级用户“SAP”,你可以在系统中采取下列步骤: 如果删除用户SAP*用户总记录,就有可能与“SAP”和初步密码PASS登录。 “SAP”用户具有以下特性: 用户拥有充分授权,因为没有进行授权检查。 缺席密码PASS不能改变。
Protecting the SAP System Super User
您可使用简介参数login/no_automatic_user_sapstar ,以撤销SAP的这些特殊性质,并控制SAP* 用户自动标识。
0-自动用户SAP* 允许。
1-自动用户SAP*已停止使用。
Step 4 - Cpck on Display,并可看到这一参数的现值。
在该系统中建立一个新的超级用户,确定一个新的用户总记录,并将简介SAP_ALL分配给这个超级用户。
DDIC User Protection
对于与软件物流、ABAP Dictionary和安装和升级有关的任务,需要一个DDIC用户。 为了保护这一用户,最好在SAP系统中锁定这一用户。 您不应删除这一用户,以履行今后使用的少数功能。
锁定用户,使用交易代码: <SU01。
如果你想保护这一用户,可在安装时和安装后向该用户分配SAP_ALL的授权。
Protecting the SAPCPIC User
采用SAPCPIC用户在SAP系统中使用某些方案和功能模块,并且是非诊断性用户。
你们应当锁定这一用户,并改变使用者保护它的密码。 在以前的新闻稿中,当你锁定SAPCPIC用户或更改密码时,它影响到RSCOLL00、RSCOLL30和LSYPGU01的额外方案。
Protecting Early Watch
A 066 客户 这称为SAP早期观察,用于SAP系统的诊断扫描和监测服务,而CEARLYWATCH用户是用户066的早期观察服务的互动式用户。 为确保这一用户的安全,您可以采取以下行动:
Lock EARLYWATCH user until it is not required in a SAP environment.
Change the default password for this user.
Key Points
保护SAP 标准用户和保护SAP系统的客户,你应考虑以下要点:
你们应适当保持客户在SAP系统中的地位,并确保不存在不知名客户。
你们需要确保SAP超级用户“SAP”的存在,并在所有客户中停止使用。
你们需要确保改变所有SAP标准用户SAP、DDIC和EARLYWATCH用户的缺省密码。
你们需要确保在SAP系统中将所有标准用户添加到SSUPER小组,只有经授权对SSUPER小组进行修改的人才能使这些用户感到.。
你们需要确保改变SAPCPIC的缺省密码,并确保这一用户锁定,在需要时锁定。
所有SAP标准用户都应锁定,只有在需要时才能锁定。 密码应当充分保护所有用户。
How to Change Password of a Standard User?
你们应确保所有SAP标准用户的密码在可使用T000的所有客户中都有改动,所有客户都应有“SAP”用户。
更改密码,与超级用户登录。 进入用户名领域,希望改变密码。 缩略语
进入新的密码、重复密码和点击Apply。 你们应当重复所有标准用户的同样程序。
Un-authorizing Logons Protections
为了在SAP系统中实施安全,必须监测SAP环境中的未成功记录。 当有人试图使用错误密码的系统时,系统应当将用户名锁定一段时间,或者在一定数目的尝试之后终止该届会议。
可对未经许可的伐木未遂设定各种安全参数——
Terminating a Session
Locking User
Activating Screen Savers
Monitoring unsuccessful logon attempts
Recording logon attempts
我们现在详细讨论其中每一个问题。
Terminating a Session
当对单一用户用户进行多次尝试时,该系统将结束该用户的会议。 应使用简况参数——login/fails_to_session_end.发送。
为了改变参数价值,进行交易RZ10,并选择以下屏幕显示的简介。 选择延伸维护和点击Display。
选择你想要改变的参数,并点击帕拉参数,但次点如下。
当你点击参数表时,你可以在新的窗口中改变参数的价值。 您也可通过点击Create (F5),确定新的参数。
欲了解本参数的详情,可操作的《交易法》:RZ11,并填写简介姓名——login/fails_to_session_end和点击Display Document。
Short text——到会议结束为止的无效标识数目。
<>Apppcation Area-Logon
允许改动? 客户
在上述屏幕上,你可以看到,这一参数的价值被定为3,即违约值。 在3次尝试失败后,一个用户将终止会议。
Locking User
如果在单一用户Id下超过一系列连续失败的尝试,你还可以对特定的用户Id进行检查。 说明参数允许的无效标识尝试数量:login/fails_to_user_lock。
有可能在具体的用户识别码上设置一个锁。
洛克在用户Id到午夜之间适用。 然而,系统管理员可随时人工拆除该软件。
在SAP系统中,你还可以设定一个参数值,在人工拆除之前,可以锁放在用户Id上。 参数名称:login/failed_user_auto_unlock。
每当输入错误的标识密码时,相关用户总记录中记录中的记录不全。 标识尝试可登录在安全审计记录中。 如果该参数规定的限额超出,相关用户就被锁定。 这一过程也出现在Syslog。
锁在当日结束之后不再有效。 (其他条件——login/failed_user_auto_unlock)
一旦用户记录使用正确的密码,就重新启用了故障的标识。 不以密码为依据的计票不会对失败的计票柜产生影响。 然而,每个记录仪都检查了活性标识。
参看这一参数的现值,使用T-Code: RZ11。
Short text——可在午夜自动锁定闭锁用户。
参数 说明——控制通过不正确砍伐而锁定的用户。 如果参数被定在1个锁上,由于密码记录故障而设定的锁只于同一天(作为锁定)。 如果参数定为0,则锁仍有效。
<>Apppcation Area-Logon.
Default Value - 0。
Activating Screen Savers
系统管理员还可以使屏幕储蓄者能够保护前线屏幕免受任何未经许可的进入。 这些屏幕可以保护密码。
Monitoring Unsuccessful Logon Attempts and Recording Logon Attempts
在SAP系统中,你可以使用报告RSUSR006,以检查是否有用户在系统中尝试过任何未成功的记录。 本报告详细介绍了用户和用户栏目所尝试的错误标识的数量,并且你可以按照你的要求安排本报告。
Go to ABAP Editor SE38 页: 1
在本报告中,你们有不同的细节,如用户名称、类型、造就、造物、造物、密码、洛克和校正记录。
在SAP系统中,你还有可能使用安全审计记录(SM18、SM19和SM20)来记录所有成功和失败的记录。 你可以使用员工和管理当局协调小组20号交易分析安全审计记录,但应在系统中启动安全审计,以监测安全审计记录。
Logging off Idle Users
如果用户已经进入SAP系统,而届会在某个特定时期内没有作用,那么你也可以将其登录,以避免任何未经授权的进入。
为了做到这一点,您需要在简介参数中具体说明这一数值:rdisp/gui_auto_logout。
参看参数的现值,T-Code:RZ11。
下表列出了关键参数、其违约和SAP系统中允许的价值清单——
| Parameter | Description | Default | Permitted Value |
|---|---|---|---|
| Login/fails_to_session_end | Number of invapd login attempts until session end | 3 | 1-99 |
| Login/fails_to_user_lock | Number of invapd login attempts until user lock | 12 | 1-99 |
| Login/failed_user_auto_unlock | When sets t 1: Locks apply on the day that they are set.They are removed the next day when the user logs on | 1 | 0 or 1 |
| rdisp/gui_auto_output | Maximum idle time for a user in number of seconds | 0(no pmit) | unrestricted |
SAP Security - System Authorization Concept
“SAP系统授权概念”涉及保护SAP系统,使其无法管理往来业务和方案,不受擅自进入。 您没有允许用户在SAP系统中实施交易和方案,直到他们确定对这项活动的授权。
为了使你的系统更加安全,并落实强有力的授权,你需要审查你的授权计划,以确保其符合公司的安全要求,而且不存在违反安全的行为。
User Types
在SAP系统之前的发布中,用户类型仅分为两类:Dialog用户和非Dialog用户,建议两个系统之间仅进行通信。 根据SAP4.6C,用户类型分为以下几类:
Referenceuser-A Referenceuser is not used for Hawaii into a Sem system. 该用户用来向内部用户提供额外授权。 在SAP系统中,你可以去看作用表,并具体说明用于为诊断器使用者增加权利的参考用户。
Communicationusers- 这种用户类型被用于维持不同系统之间的方言自由标识,例如北塞浦路斯土耳其共和国的连接。 通讯用户无法使用SAP GUI的Dialogon。 用户类型可以改变其密码,如普通方言用户。 RFC功能模块可用于改变密码。
《交易法》:SU01用于在SAP系统中创建用户。 在下面的屏幕上,你可以在SSU01 Transaction的SAP系统中看到不同的用户类型。
Creating a User
为了在SAP系统中建立一个享有不同接入权的用户或多个用户,应当遵循以下步骤。
Central User Administration (CUA)
中央用户管理局是关键概念之一,它使你能够利用中央系统在SAP系统中管理所有用户。 利用这一工具,你可以集中管理一个系统的所有用户总记录。 一位中央用户署长允许你节省资金和资源,在一个系统环境中管理类似用户。
中央用户管理的优势是:
当你在SAP景观中配置CUA时,你只能使用中央系统创建或删除用户。
所有必要的角色和授权都以积极的形式存在于儿童系统中。
对所有用户进行集中监测和管理,使管理任务在复杂的系统环境中对所有用户管理活动更加容易和更清楚。
中央用户署长允许你节省资金和资源,在一个系统环境中管理类似用户。
利用ALE景观进行的数据交换,称为Apppcation Link Powering,允许以控制方式交换数据。 中央用户署长在SAP系统中将儿童系统的数据交换用于儿童系统。
在复杂的景观环境中,你将一个系统定义为具有爱幼环境的中央系统,这与所有使用双向数据交换的儿童系统有关。 环境中的儿童制度彼此没有关系。
为了实施中央用户管理,应考虑以下几点:
在一个单一/分散的环境中,你需要一个有多个客户的SAP环境。
署长管理用户,需要根据《交易守则》授权。
SU01
SCC4
SCUA
SCUM
员工和管理当局
BD54
BD64
你们应当在系统之间建立互信的关系。
我们应该在中央和儿童系统中建立系统用户。
建立逻辑系统,向相应的客户分配逻辑系统。
建立模型观点和BAPI以示范观点。
建立中央用户管理人,并为外地设定分配参数。
协同公司地址
转让用户
在集中管理的环境中,你首先需要设立署长。 未来CUA作为用户SAP* 的所有逻辑框架中的记录,附设的密码PASS。
操作SU01,并创建用户,由其管理。
界定一个逻辑系统使用交易BD54。 新学院的浮标试图建立一个新的逻辑系统。
为中央和所有儿童系统,包括从其他SAP系统获得的儿童系统,在资本信函中为中央用户管理局设定一个新的逻辑名称。
为了方便地确定该系统,你制定了以下命名公约,可用于确定中央用户管理系统——
<System ID>CLNT<Cpent>
3. 对逻辑框架作一些有用的描述。 在Save纽吨上点击,从而节省了您的入境。 接下来是为所有儿童系统中的中央系统创造符合逻辑的系统名称。
为客户分配一个逻辑系统,使用Transaction SCC4,转而采用变革模式。
开放你希望通过双重点击或点击详细点/b>纽吨指定客户进入逻辑系统。 客户只能被分配到一个逻辑系统。
在客户详细情况的符合逻辑的系统中,输入你希望指派该客户的符合逻辑的系统名称。
在你希望纳入中央用户署长的SAP环境中对所有客户采取上述步骤。 为节约环境,请上层Save,纽芬兰。
Protecting Specific Profiles in SAP
为了维持SAP系统的安全,你需要保持包含重要授权的具体特征。 有各种SAP授权说明,你需要在全权核准的SAP系统中加以保护。
在SAP系统中需要保护的一些情况是:
SAP_ALL
SAP_NEW
P_BAS_ALL
SAP_ALL Authorization Profile
“SAP_ALL”授权简介允许用户履行SAP系统的所有任务。 这是综合说明,包含SAP系统中的所有授权。 持有这一授权的用户可在SAP系统中开展所有活动,因此这一简介不应被指定给系统中的任何用户。
建议保持一个单一用户的简介。 虽然密码应当对该用户有很好的保护,但只有在需要时才能使用。
您不应指定SAP_ALL授权,而是应当向适当的用户分配个人授权。 你的系统超级用户/系统管理,而不是向他们分配SAP_ALL授权,你应当使用所需的个人授权。
SAP_NEW Authorization
“SAP_NEW”授权书载有新释放所需的所有授权。 如果进行了系统升级,则使用这一简介,以便一些任务得到适当管理。
你应当记住关于这一授权的以下要点:
在进行系统升级时,你需要删除SAP_NEW在发布之前的简介。
你们需要根据SAP_NEW简介向环境中的不同用户分配单独的授权。
这一简介不应持续太久。
当你在环境中有很长的SAP_NEW简介清单时,它表明你需要审查这一制度中的授权政策。
欲了解所有SAP_NEW简介的清单,你应两度点击,然后取至Choose。
P_BAS_ALL Authorization
这项授权使用户能够从其他应用中查看表格的内容。 授权文件P_BU_DIS。 这项授权使巴勒斯坦权力机构用户能够看到其所属群体的表格内容。
PFCG Role Maintenance
PFCG 功能维护可用于管理SAP系统中的角色和授权。 在PFC中,这一作用代表了一个人从事的与实际生活情景有关的工作。 PFCG允许你确定可以分配给一个人从事日常工作的一套交易。
如果在PFCG的往来业务中发挥作用,你可使用Transaction SU01将这些作用分配给单个用户。 一个SAP系统的用户可以被分配到多种角色,与他/她日常的实际生活任务有关。
这些作用与SAP系统的用户和授权有关。 实际授权和简介以实物形式储存在SAP系统中。
利用PFCG 职责维护,你可以履行以下职能:
Changing and Assigning Roles
Creating Roles
Creating Composite Roles
Transporting and Distributing Roles
我们现在详细讨论这些职能。
Changing and Assigning Roles
交易:PFCG
它将让你发挥维护窗口的作用。 改变现有作用,在实地发挥已交付的作用。
逐点点击印版的作用。 从名称空间进入名称。 Cpck on Value selected button and selected the role to which mothers tocop this.
也可以从SAP_,,开始选择SAP交付的作用,但违约的作用将超出文字。
改变角色,点击Change,纽扣起作用。
前往Mendu的表格,在Mendu的表页上改变用户菜单。 提交授权书是为了改变该用户的授权数据。
你们也可以利用专家模式调整授权制度下菜单变动的授权。 Cpck on Generate button to make theprofile for this role.
指派用户发挥这一作用,然后由用户在变化角色选择中填写。 为使用户发挥这一作用,该系统应当存在。
如果需要,也可以进行用户比较。 用户比较方案。 也可以在信息数据库上点击,了解更多关于单一和综合作用和用户比较方案,以比较主记录。
Creating Roles in PFCG
你们可以在森林问题合作伙伴关系中发挥单一作用和综合作用。 如下文中所示,在创造单一或复合作用上填写名称和点击。
你们可以从Y_或Z_等客户名称空间选择,SAP在发挥作用时首先扮演SAP_的角色,你不能从SAP交付的角色中取名。
一旦你点击“创造作用”纽芬兰,你就应在“MENU”下增加交易、报告和网络地址。
用于制作简介的纳维亚特,点击“变革授权”数据选择。
根据你们的活动选择,你必须进入组织级别。 当你在方言箱中取得特殊价值时,作用的授权区自动保持。
你们可以调整作用的提法。 一旦确定了作用定义,你就必须发挥这一作用。 Cpck on Generate (Shift+F5).
在这一结构中,当你看到红色交通灯时,它显示了没有价值的组织结构。 你们可以进入并改变组织级别,紧靠维持表格。
填写简介名称,并点击填写通用表格的计时选择。
www.un.org/Depts/DGACM/index_french.htm 可以通过向用户表格直接分配这一作用。 同样,你也可以利用PFCG的作用维持办法发挥复合作用。
Transporting and Distributing Roles
持“交易——PFCG”,进入你希望运输和点击运输作用的名称。
你们将发挥运输作用。 在运输作用下,你有多种选择:
Transport single roles for composite roles.
Transport generated profiles for roles.
Personapzation Data.
在下一个方言箱中,你应提及用户分配,个人化数据也应运输。 如果还运送用户任务,则将取代目标系统中的所有用户角色分配。
锁定一个系统,使用户的任务无法进口,进入定制表格PRGN_CUST。 利用交易SM30,并选定价值领域USER_REL_IMPORT number。
这一作用是在定制要求方面。 您可以通过交易SE10。
在定制要求时,授权说明与作用一起进行。
Authorization Info System Transaction – SUIM
在授权管理中,证券交易所是一种关键工具,可据以在SAP系统中找到用户简介,也可将这些简介发给该用户身份证明。 该系统提供初步筛选,为搜索用户、作用、简介、授权、交易和比较提供选择。
开放用户信息系统,运行中交易: <SUIM。
在用户信息系统中,你有不同的节点,可用于在SAP系统中履行不同职能。 和用户口号一样,你可以根据甄选标准对用户进行查询。 你们可以找到用户的锁定清单,用户可以查阅一套特定的交易。
当你扩大每个表格时,你可以选择根据不同的选择标准提出不同的报告。 同你扩大用户表格一样,你有以下选择:
当你按照复杂的甄选标准点击用户时,你可以同时适用多种甄选条件。 下面的屏幕显示,你的甄选标准不同。
Role Node
同样,在这种用户信息系统下,你可以接触不同节点,如作用、简介、授权和其他各种选择。
你们也可以利用SUIM工具搜索作用和情况。 你可以通过在证券交易所进行交易和派任查询,将交易清单分配给特定的用户ID',并将这些作用分配给该用户身份。
利用用户信息系统,你可以在SAP系统中进行各种搜索。 你们可以采用不同的甄选标准,并根据用户、简介、角色、交易和其他各种标准,把报告拉开。
RSUSR002-用户按复杂甄选标准计算。
SAP Security - Unix Platform
你们需要采取各种安全措施,同时使用某些特殊的财产、档案或服务,保护密码档案,并修复BSD遥感服务,用于rlogin和remsh。
Password Protection
在“团结”平台上,攻击者可使用独裁攻击方案,以发现“团结”组织储存的密码信息。 你可以在非正式密码档案中储存密码,只有根本用户才能查阅这一档案,以改善系统的安全。
Deactivating Remote Services
BSD 远程服务可以远程进入“独特”系统。 当使用远程连接/etc/host.equiv和$HOME/.rhosts时,如果这些档案载有关于连接源的东道名称和IP地址或任何野心特性的信息,则无需在伐木时进入密码。
边远服务 r和rem是这种情况下的安全威胁,你需要停止这些服务。 您可以通过访问inetd.conf来启动这些服务。 Unix系统档案。
在“团结”系统中, r素是一种遥远的彩票客户(如SSH),其设计是快速和小规模的。 它不是被加密的,在高度安全的环境中可能有一些小的缺点,但它能够以极高的速度运作。 服务器和客户都不使用许多记忆。
Securing Network File System in UNIX
在UNIX平台上,利用网络文档系统从SAP系统获取运输和工作名录。 为查阅工作名录,认证过程涉及网络地址。 袭击者有可能利用IP偷猎,利用网络档案系统获取未经许可的准入。
为了使系统安全,你应仔细分配网络档案系统上的家庭名录,并给这些名录写信。
SAP System Directory Access for SAP System in UNIX
您应为UNIX的SAP系统名录设定以下准入权:
| SAP Directory | Octal form Access Privilege | Owner | Group |
|---|---|---|---|
| /sapmnt/<SID>/exe | 775 | <sid>adm | sapsys |
| /sapmnt/<SID>/exe/saposcol | 4755 | root | sapsys |
| /sapmnt/<SID>/global | 700 | <sid>adm | sapsys |
| /sapmnt/<SID>/profile | 755 | <sid>adm | sapsys |
| /usr/sap/<SID> | 751 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID> | 755 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID>/* | 750 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID>/sec | 700 | <sid>adm | sapsys |
| /usr/sap/<SID>/SYS | 755 | <sid>adm | sapsys |
| /usr/sap/<SID>/SYS/* | 755 | <sid>adm | sapsys |
| /usr/sap/trans | 775 | <sid>adm | sapsys |
| /usr/sap/trans/* | 770 | <sid>adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid>adm | sapsys |
| <home directory of <sid>adm> | 700 | <sid>adm | sapsys |
| <home directory of <sid>adm>/* | 700 | <sid>adm | sapsys |
SAP Security - Windows Platform
你们需要在Windows平台上创建不同的用户和团体,以安全地管理其SAP系统。 为了方便用户管理任务,建议为用户群体增加所有WIN NT用户,在本组织一级享有正确的使用权。 在温得和操作系统中,有不同的组级:
Global Groups
Local Groups
Global Groups
世界信息网的全球小组可在领域一级使用,可以用来从多个服务器中指派用户。 全球小组可在一个领域向所有服务器提供。
你可以按照你的方便选择全球小组的名称。 但是,建议使用SAP R/3系统安装的命名公约,即SAP系统管理员全球标准小组,其定义是SAP_<SID>_GlobalAdmin。
在《温得平台》中,有各种共同创建的全球小组可以用来管理SAP系统。
SAPusers 该组载有所有SAP应用用户的名单。
Local Groups
视窗平台的当地团体限于一个领域的一个服务器。 在安装期间,权利被分配给个人用户而不是群体。 然而,建议你将使用权转让给当地群体而不是单一用户。
当地群体被用于加强共享领域视窗环境的安全。 你们还可以把全球用户和全球团体进一步分配给一个地方团体。 你们可以建立一个地方团体,名称不变,但建议你将当地团体的名称改为:SAP_<SID>_ LocalAdmin。
你们可以确定用户、地方团体和全球团体之间的各种关系。
A single user can be a part of a global group and a local group as well.
You can also include a global group to a local group.
Standard Users in a Windows Platform
当你在视窗平台上运行SAP系统时,应当认真管理标准用户。 以下是Windows的一些标准用户:
window NTuser-
SAP系统用户
<SID>ADM Sem——系统管理员,可充分利用所有SAP资源。
SAPservice<SID>——负责管理SAP服务的特别用户。
数据库用户
<DBservice>- 在温得平台管理数据库特定服务。
<DBuser>- 数据库用户负责开展非行的一般业务。
此外,注意到署长和客座用户是在安装过程中创建的,用于履行温得和特有任务。 所有这些用户都应在温得平台上得到保护。
SAP Security - Databases
在SAP系统中保护你的数据库用户至关重要。 数据库可以是Oracle数据库、LQ服务器或MYSQL数据库。 你们需要从这些数据库中保护标准用户。 密码应当保护标准用户,应当定期修改。
Oracle Standard Users
下表列出了Windows环境中标准用户名单。 应为所有这些用户保留密码。
| User Name | Type | Password Change Method |
|---|---|---|
| <SID>ADM | Operating System User | OPS$ mechanism |
| SAPServic<SID> | Operating System User | OPS$ mechanism |
| SYS (internal) | Operating System User | SAPDBA |
| SYSTEM | Operating System User | SAPDBA |
| SAPR3 | Operating System User | SAPDBA |
How to Create an OPS$ user for <SID>ADM?
为了创建企业总价用户,你需要与“SID>”;ADM。 如果SAP系统运行,然后执行以下指令,你应首先停止该系统。
Createuser OPS$<adm_user>fall tablespace psapuserid provisional tablespace psaptemp identifying Externally;
这里是“ &”;
<SID>ADM, 用于老年骨质释放
<domain_name><SID>ADM
然后,你应该遵循以下步骤:
补助金链接,资源与《总计划》的比较;
连接/
创建SAPUSER(USERID Varchar(20),PASSWD VARCHAR2(20));
插入SAPUSER值(ELSAPR3','<password>);
内部联网
用户SAPR3按“斜线”确定;
同样,你可以创造
Createuser OPS$<SAP_service_user>ail tablespace psapuserid provisional tablespace psaptemp specifiedexternally;
这里,“SAP_service_user>”;
结构 Service<SID> 对于老年骨质释放
<domain_name>SAPservice<SID> for recent release
Password Management for DB Users
有必要管理贵数据库中标准用户的密码。 你们可以使用各种公用事业来改变密码。
How to Change Password for a DBA User Using SAPDBA?
可以使用指挥线或全球情报和安全局的用户可改写密码。 为了改变指挥线的密码,你应使用以下指挥系统:
Sapdba [-u <user1>/<user1_password>]_user2 <user2_password>
在以上指挥中,user1是SAPDBA用于登录数据库的数据库用户。
用户1-密码和密码;是用户1密码的密码。
用户2 <user2> 显示密码应予更改的数据库用户。
用户2_password>是同一用户的新密码。
如果你希望使用用户名称“海关数据”及其缺省密码,你可以从指挥部中删除-u。
Sapdba -u system/<system_password>] -sapr3 <sapr3_password>
How to Change Password for SAPR3 Using SVRMGRL?
SVRMGRL是一种旧的用途,在以前释放了Oracle,并被用于履行下文提及的数据库职能。 在最近发布的新闻稿中,服务器管理员的指挥现在可在SQL* Plus上查阅。
Creating Database
Start and Shut down Database
Recovery of Database
Password Management
为了改变密码,你应当遵循以下步骤:
Start SVRMGRL.
Connect to the database using the connect internal command.
SVRMGR> connect internal.
Connected.
下一步是更新SAPUSER表格,进入以下指挥系统:
Update OPS$ <SID>ADM。 SemUSER set PASSWD = <new_password>' where USERID = SAPR3';
请使用指挥线更新数据库SAPR3的密码。
用户目录3按“斜线”确定;新字编号;
User Authentication and Single SignOn
Single sign-On (SSO)是关键概念之一,使你能够进入一个系统,而且你可以在后面进入多个系统。 SSO允许用户在后端使用整个SAP系统的软件资源。
SSO with Net Weaver的平台提供用户认证,并帮助系统管理员在一个复杂的SAP系统景观中管理用户负荷。 SSO配置通过加强安全措施,简化了SAP系统和景观应用的用户记录,减少了多个系统的密码管理任务。
民间社会组织帮助一个组织减少业务费,减少向服务台发出的与密码问题有关的电话,从而提高商业用户的生产力。 “SAP Net Weaver”一体化机制使你能够轻松地将SSO概念纳入SAPNetWeaver系统,并为SAP系统景观环境的后备系统提供方便。
SAP Single Sign-On Concept
单一标书可以与我的SAP工作场所相配,使用户能够每天进入我的SAP工作场所,并且他们可以不重复进入用户名称和密码而查阅申请。
你们可以利用以下认证方法,将SSO与我的SAP工作场所混为一谈——
Username and password
SAP Logon Tickets
X.509 cpent Certificates
Integration in Single Sign-On
“SSO”和“NetWeaver”平台提供用户认证,帮助系统管理员在复杂的SAP系统环境中管理用户负荷。 SSO配置简化了程序,通过加强安全措施,使SAP系统和地貌应用的用户记录下来,减少多个系统的密码管理任务。
采用SAP 净韦格允许你召集不同的机制,授权用户使用SSO方法进入NetWeaver系统。 系统中的标识机制取决于SAPNetWeaver系统的技术以及利用这些系统的不同通信渠道。
Configuring Single Sign-On in a SAP GUI
为了召集单一签字,你需要查阅以下T-code-
RZ10
STRUST
一旦有了这些T-code,你就应当遵循以下步骤:
Step 2 - 选择违约简介和延伸扶养。
<4>Step 4——改变以下简介参数:
login/create_sso2_ticket = 1
login/accept_sso2_ticket = 1
Step 7 - Double-cpck the text方框 to the right of Owner accreditation. 证书信息显示。 指出这一证书的价值,因为你们需要加入这些价值观。
Step 9- Save the file as <R3_Name>-<Cpent>crt.
Step 10 - Cpck on the 打脚箱,用于在母系中创建档案。
Step 11——进口R3 SSO证书,通过管理工具发给 Java发动机。
<说明>-确保 Java发动机投入运行。
<12>Step-开放 Java管理工具。
Step 13——进入 Java发动机管理员密码,点击“联接”。
<21>Step 15 - Cpck on the Ticket Key Store in the View panel.
Step 17 - Configure the Security Provider services in the Sem Java Engineering using the Administrator tool. Step 19——在构成部分小组中选择票,到Austhentication tab。 <21>Step 20——修改评估Ticketlogin模块的备选办法,并将以下特性添加到你想要召集SSO的每个后备系统。 你们可以与SSO混淆几种选择,以利用SAP NetWeaver系统。 你们也可以通过网络浏览器或从其他网络客户那里获得SAPNetWeaver系统。 利用SSO,用户可以查阅公司网络的后附系统和其他附担保信息。 SSO允许你使用几种安全认证方法将网基用户接入网上通用应用软件服务器。 你们还可以实施各种网络通信安全方法,如密码,以向网络发送信息。 认证方法可与SSO进行配置,以获取应用服务器的数据—— Using User ID and Password Authentication Using Logon Tickets Using X.509 Cpent Certificates Using SAML Browser Artifacts Using SAML 2.0 Using Kerberos Authentication 在通过互联网获取数据时,你也可以使用网络和运输层的安全机制。 你可以把数字签名的SAP登录票汇合在一起,与单一签字人汇合,以便在SAP环境中查阅综合申请。 您可以召集一个门户,向用户发放SAP登录票,用户需要认证这一初步准入制度。 当向用户发放SAP登录票时,这些票在网络浏览器中被节省,使用户能够使用SSO的不同系统登录。 在ABAP应用服务器中,可配置两种不同类型的Logon票——Single Sign-On for Web-Based Access
SAP Security - Logon Tickets
为了没收SAP登录票,应当在用户简介中确定以下参数。
login/accept_sso2_ticket
您可以使用单张签票,在SAP系统之间,甚至在非SAP系统之外,允许SSO。 SSO的机票可以是一张 log票或一张 assertion票。 log票作为 co子转至MYSAPSSO2。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。
如果只有程序(X.509客户证书)用于单一签字-On,或者如果你不想为这一系统使用单一签字,则你可以停止使用SSO(login/accept_sso2_ticket=0)这一标识。
设定参数,使用交易RZ11
login/create_sso2_ticket
您可以使用单一标书票,允许SSO在SAP系统之间,甚至超出SAP系统。 SSO的机票可以是一张 log票或一张 assertion票。 日志票作为 co子与MYSAPSSO2号。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。
签发制度应允许产生SSO票——
log/create_sso2_ticket = 1: SSO票,包括证书
log/c=2
日志/日志=3
login/ticket_expiration_time
在使用我的SAP.com时,能够有一个单一签字。 工作场所、卫生局的机票可以使用。 在创建SSO票时,你可以确定有效期。 一旦到期,SSO票就不能再用于在工作场所的部件系统上登录。 然后,用户需要重新登录到工作场所服务器,以获得新的SSO票。
如果输入不正确的数值,则使用违约值(8小时)。
正确的数值如下:
24 → 24 hours
1:30 → 1 hours, 30 minutes
0:05 → 5 minutes
错误的数值如下:
40 (0:40 would be correct)
0:60 (1 would be correct)
10:000 (10 would be correct)
24: (24 would be correct)
1:A3
X.509 Cpent Certificates
采用SSO方法,你可以使用X.509客户证书认证网上通用应用服务器。 客户证书使用非常强的加密方法确保用户能够使用NetWeaver应用程序服务器,因此,应当使您的NetWeaver应用程序服务器能够使用强有力的加密技术。
你应该把SSL配置在你的SAP Net Weaver应用服务器上,因为认证是在使用SSL协议时进行的,而没有进入任何用户名称和密码。 利用SSL议定书,需要一个HTTPS链接,在网络浏览器和Net Weaver ABAP应用程序服务器之间进行沟通。
Security Assertion Markup Language (SAML2.0)
SAML2.0可用于认证单一签字-On SSO,并使SSO能够跨越不同领域。 SAML 2.0是由一个名为“美洲国家组织”的组织制定的。 该系统还提供了一个单一的Log-Out方案,这意味着,如果所有系统的用户记录都偏离,SAP系统的服务提供者就会通知身份提供者,而身份提供者反过来又会偏离所有会议。
以下是使用SAML2.0认证的优点:
您可以减少向其他系统提出申请的制度保持认证的间接费用。
如果不在系统中保持用户身份,你也可以维持外部服务提供者的认证。
所有系统的单一排放选择。
自动绘制用户账户图。
Kerberos Authentication
你们也可以利用网络客户和网络浏览器接入SAPNetWeaver应用程序服务器使用Kerberos Authentication。 它使用简单的、受保护的GSSAP谈判机制SPNego,这一机制还要求具备使用这一认证的额外许可的单一签字-On SSO 2.0或更高版本。 SPNego 本国不支持运输业的安全,因此建议利用SSL议定书增加运输层的安全,与NetWeaver Apppcation服务器进行通信。
在上述屏幕上,您可以看到不同的认证方法,这些认证方法可以在用户简介中加以配置,用于认证。
在SAP中,每种认证方法都有自己的优势,可以用于不同的假设情景。
Advertisements