如果未经授权的用户可以在已知的授权用户下访问SAP系统,并且可以进行配置更改并操纵系统配置和密钥策略.如果授权用户可以访问系统的重要数据和信息,那么该用户也可以访问其他关键信息.这增强了安全身份验证的使用,以保护用户系统的可用性,完整性和隐私.
身份验证机制定义访问SAP系统的方式.提供了各种身份验证方法;
用户ID和用户管理工具
安全网络通信
SAP登录门票
X.509客户端证书
SAP系统中最常用的身份验证方法是使用用户名和密码登录.要登录的用户ID由SAP管理员创建.要通过用户名和密码提供安全的身份验证机制,需要定义不允许用户设置简单预测密码的密码策略.
SAP提供了各种默认参数设置为定义密码策略 - 密码长度,密码复杂性,默认密码更改等
SAP NetWeaver系统提供各种用户管理工具,可用于有效管理您的用户环境.它们为两种类型的NetWeaver应用服务器提供了非常强大的身份验证方法 - Java和ABAP.
一些最常见的用户管理工具是
您可以使用用户管理事务代码SU01来维护基于ABAP的应用服务器中的用户.
您可以使用SAP NetWeaver Identity Management进行用户管理以及管理SAP环境中的角色和角色分配.
您可以使用配置文件生成器PFCG创建角色并为基于ABAP的系统中的用户分配授权.
交易代码 PFCG
您可以使用CUA维护多个基于ABAP的系统的用户.您也可以将其与目录服务器同步.使用此工具,您可以从系统客户端集中管理所有用户主记录.
交易代码 SCUA并创建分发模型.
您可以使用UME角色来控制系统中的用户授权.管理员可以使用代表UME角色的最小实体的操作,用户可以使用这些操作来构建访问权限.
您可以使用SAP NetWeaver Administrator选项打开UME管理控制台.
密码策略定义为用户必须遵循的一组说明,以通过使用强密码并正确使用它们来提高系统安全性.在许多组织中,密码策略作为安全意识培训的一部分进行共享,用户必须维护组织中关键系统和信息的安全策略.
使用密码策略在SAP系统中,管理员可以设置系统用户以部署不容易破解的强密码.这也有助于定期更改密码以保证系统安全.
以下密码策略通常用于SAP系统
这允许用户在第一次使用时立即更改初始密码.
在SAP系统中,默认情况下,SAP Systems中密码的最小长度为3.可以使用配置文件参数更改此值,允许的最大长度为8.
事务代码 RZ11
参数名称 login/min_password_lng
您可以点击文档此策略的配置文件参数,您可以从SAP查看详细文档,如下所示
参数 login/min_password_lng
短文最小密码长度
参数说明此参数指定登录密码的最小长度.密码必须至少包含三个字符.但是,管理员可以指定更大的最小长度.分配新密码以及更改或重置现有密码时,此设置适用.
应用区域登录
参数单位字符数(字母数字)
默认值 6
谁可以进行更改?客户
操作系统限制无
数据库系统限制无
您无法选择任何密码的第一个字符作为问号(?)或感叹号(!).您还可以在非法密码表中添加要限制的其他字符.
交易代码 SM30表名:USR40.
一旦进入表 USR40 并点击顶部的显示,它会显示所有不允许的密码列表.
点击新条目后,您可以在此表格中输入新值,也可以选中区分大小写复选框.
您还可以设置密码的前三个字符不能以与用户名一部分相同的顺序出现.可以使用密码策略限制的不同密码模式包括
前三个字符不能全部相同.
前三个字符不能包含空格字符.
密码不能是PASS或SAP.
在此策略中,可以允许用户几乎每天更改一次密码,但管理员可以根据需要重置用户密码.
不应允许用户重复使用最后五个密码.但是,管理员可以重置之前用户使用的密码.
您可以在以下位置定义不同的配置文件参数用于用户管理和密码策略的SAP系统.
在SAP系统中,您可以转到 Tools → 显示每个配置文件参数的文档. CCMS → 配置 → 配置文件维护(交易:RZ11).输入参数名称并单击显示.
在显示的下一个窗口中,您必须输入参数名称,您可以看到2个选项
显示在SAP系统中显示参数值.
显示文档显示该参数的SAP文档.
当你单击"显示"按钮,您将移至维护配置文件参数屏幕.您可以看到以下详细信息
名称
类型
选择标准
参数组
参数说明等等
在底部,您有参数 login/min_password_lng的当前值
当您单击显示文档选项时,它将显示参数的SAP文档.
此参数指定登录密码的最小长度.密码必须至少包含三个字符.但是,管理员可以指定更大的最小长度.分配新密码以及更改或重置现有密码时,此设置适用.
每个参数都有一个默认值,允许值如下
SAP系统中有不同的密码参数.您可以在 RZ11 交易中输入每个参数,并可以查看文档.
login/min_password_diff
login/min_password_digits
login/min_password_letters
login/min_password_specials
login/min_password_lowercase
login/min_password_uppercase
login/disable_password_logon
login/password_charset
login/password_downwards_compatibility
login/password_compliance_to_current_policy
要更改参数值,请运行交易RZ10 并选择如下所示的配置文件
多个应用程序服务器使用DEFAULT配置文件.
单个应用程序服务器使用实例配置文件.
选择扩展维护,然后单击显示.
选择要更改的参数,然后单击参数位于顶部.
单击"参数"选项卡时,可以在新窗口中更改参数的值.您也可以通过单击创建(F5)来创建新参数.
您还可以在此窗口中查看参数的状态.输入参数值,然后单击复制.
退出屏幕时将提示您保存.单击是以保存参数值.