SAP 安全 – 系统授权概念
SAP 安全 – 系统授权概念
SAP 系统授权概念涉及保护 SAP 系统免于运行事务和程序免遭未经授权的访问。您不应允许用户在 SAP 系统中执行事务和程序,除非他们为此活动定义了授权。
为了让你的系统更安全,实现强授权,你需要检查你的授权计划,确保它符合公司的安全要求,没有安全违规。
用户类型
在 SAP 系统之前的版本中,用户类型仅分为两类——对话用户和非对话用户,两个系统之间只推荐非对话用户进行通信。使用 SAP 4.6C,用户类型分为以下几类 –
-
对话用户– 此用户用于个人交互式系统访问,大多数客户端工作是使用对话用户执行的。密码可由用户自行更改。在对话用户中,可以防止多次对话登录。
-
服务用户– 这用于执行交互式系统访问以执行某些预定任务,例如产品目录显示。此用户允许多次登录,只有管理员才能更改此用户的密码。
-
系统用户– 此用户 ID 用于执行大多数与系统相关的任务 – 运输管理系统、定义工作流和 ALE。它不是交互式系统相关用户,并且该用户允许多次登录。
-
参考用户– 参考用户不用于登录 SAP 系统。该用户用于为内部用户提供额外的授权。在 SAP 系统中,您可以转到角色选项卡并指定参考用户以获得对话用户的附加权限。
-
通信用户– 此用户类型用于维护不同系统之间的无对话登录,如 RFC 连接、CPIC。通信用户无法使用 SAP GUI 进行对话登录。用户类型可以像普通对话用户一样更改他们的密码。RFC 功能模块可用于更改密码。
事务代码:SU01用于在 SAP 系统中创建用户。在以下屏幕中,您可以在 SAP 系统中的 SU01 事务下看到不同的用户类型。
创建用户
要在 SAP 系统中创建一个或多个具有不同访问权限的用户,您应该按照以下步骤操作。
步骤 1 – 使用事务代码 – SU01。
步骤 2 – 输入您要创建的用户名,单击创建图标,如下面的屏幕截图所示。
步骤 3 – 您将被定向到下一个选项卡 – 地址选项卡。在这里,您需要输入名字、姓氏、电话号码、电子邮件 ID 等详细信息。
第 4 步– 您将进一步被定向到下一个选项卡 –登录数据。在登录数据选项卡下输入用户类型。我们有五种不同的用户类型。
步骤 5 – 输入第一个登录密码 → 新密码 → 重复密码。
第 6 步– 您将被定向到下一个选项卡 – 角色 – 将角色分配给用户。
步骤 7 – 您将进一步被定向到下一个选项卡 – 配置文件 – 将配置文件分配给用户。
步骤 8 – 单击保存以接收确认。
中央用户管理 (CUA)
中央用户管理是允许您使用中央系统管理 SAP 系统环境中所有用户的关键概念之一。使用此工具,您可以在一个系统中集中管理所有用户主记录。中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。
中央用户管理的优点是 –
-
在 SAP 环境中配置 CUA 时,您可以仅使用中央系统创建或删除用户。
-
所有必需的角色和授权都以活动形式存在于子系统中。
-
所有用户都受到集中监控和管理,这使得管理任务在复杂的系统环境中更容易和更清晰地查看所有用户管理活动。
-
中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。
使用称为应用程序链接启用的ALE格局执行的数据交换允许以受控方式交换数据。ALE 由中央用户管理员用于与 SAP 系统环境中的子系统进行数据交换。
在复杂的景观环境中,您将一个系统定义为具有 ALE 环境的中央系统,并使用双向数据交换将其链接到所有子系统。景观中的子系统相互之间没有联系。
要实施中央用户管理,应考虑以下几点 –
-
您需要在单个/分布式环境中具有多个客户端的 SAP 环境。
-
管理员管理用户,需要授权以下交易代码 –
-
SU01
-
SCC4
-
水肺协会
-
浮渣
-
SM59
-
BD54
-
BD64
-
-
您应该在系统之间创建信任-信任关系。
-
您应该在中央和子系统中创建系统用户。
-
创建逻辑系统并将逻辑系统分配给相应的客户端。
-
创建模型视图和 BAPI 到模型视图。
-
创建中央用户管理员并为字段设置分布参数。
-
同步公司地址
-
转移用户
在集中管理的环境中,您需要先创建一个管理员。以用户 SAP* 的身份使用默认密码 PASS 登录未来 CUA 的所有逻辑系统。
运行事务SU01并创建一个分配有管理员角色的用户。
要定义逻辑系统,请使用事务BD54。单击新条目以创建新的逻辑系统。
为中央用户管理和所有子系统(包括来自其他 SAP 系统的系统)创建一个大写的新逻辑名称。
为了轻松识别系统,您可以使用以下命名约定来识别中央用户管理系统 –
<系统 ID>CLNT<客户端>
输入一些对逻辑系统有用的描述。单击“保存”按钮保存您的输入。接下来是为所有子系统中的中央系统创建逻辑系统名称。
要将逻辑系统分配给客户端,请使用事务SCC4并切换到更改模式。
通过双击或单击“详细信息”按钮打开要分配给逻辑系统的客户端。一个客户端只能分配给一个逻辑系统。
在客户端详细信息的逻辑系统字段中,输入要分配给该客户端的逻辑系统名称。
对要包含在中央用户管理器中的 SAP 环境中的所有客户端执行上述步骤。要保存您的设置,请单击顶部的保存按钮。
保护 SAP 中的特定配置文件
要维护 SAP 系统中的安全性,您需要维护包含关键授权的特定配置文件。在具有完全授权的 SAP 系统中,您需要保护各种 SAP 授权配置文件。
需要在 SAP 系统中保护的一些配置文件是 –
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL 授权配置文件
SAP_ALL 授权配置文件允许用户执行 SAP 系统中的所有任务。这是包含 SAP 系统中所有授权的复合配置文件。拥有此权限的用户可以执行 SAP 系统中的所有活动,因此不应将此配置文件分配给您系统中的任何用户。
建议使用配置文件维护单个用户。虽然密码应该为该用户得到很好的保护,并且应该只在需要时使用。
您应该将单独的权限分配给适当的用户,而不是分配 SAP_ALL 权限。您的系统超级用户/系统管理,而不是为他们分配 SAP_ALL 授权,您应该使用所需的个人授权。
SAP_NEW 授权
SAP_NEW 授权包含新版本中所需的所有授权。系统升级完成后,将使用此配置文件,以便正确运行某些任务。
您应该记住有关此授权的以下几点 –
-
执行系统升级时,您需要删除之前版本的 SAP_NEW 配置文件。
-
您需要将 SAP_NEW 配置文件下的单独授权分配给您环境中的不同用户。
-
此配置文件不应保持活动太长时间。
-
如果环境中有很长的 SAP_NEW 配置文件列表,则表明您需要检查系统中的授权策略。
要查看所有 SAP_NEW 配置文件的列表,您应该通过双击选择此配置文件,然后 → 转到选择。
P_BAS_ALL 授权
此授权允许用户从其他应用程序查看表的内容。此授权包含P_TABU_DIS授权。此授权允许 PA 用户查看不属于其组的表内容。
PFCG角色维护
PFCG 角色维护可用于管理 SAP 系统中的角色和授权。在 PFCG 中,角色代表一个人执行的与现实生活场景相关的工作。PFCG 允许您定义一组事务,这些事务可以分配给一个人来执行他们的日常工作。
在 PFCG 事务中创建角色时,您可以使用事务SU01将这些角色分配给各个用户。SAP 系统中的用户可以被分配多个角色,这些角色与他/她在现实生活中的日常任务相关。
这些角色与 SAP 系统中的用户和授权有关。实际授权和配置文件以对象的形式存储在 SAP 系统中。
使用 PFCG 角色维护,您可以执行以下功能 –
- 更改和分配角色
- 创建角色
- 创建复合角色
- 传输和分发角色
现在让我们详细讨论这些功能。
更改和分配角色
运行事务:PFCG
它将带您进入角色维护窗口。要更改现有角色,请在字段中输入交付的角色名称。
单击复制角色按钮复制标准角色。输入命名空间中的名称。单击值选择按钮并选择要将其复制到的角色。
您也可以选择 SAP 交付的角色以SAP_ 开头,但默认角色将被覆盖。
要更改角色,请单击角色维护中的更改按钮。
导航到“菜单”选项卡以更改“菜单”选项卡页面上的用户菜单。转到“授权”选项卡以更改该用户的授权数据。
您还可以使用专家模式来调整授权下菜单更改的授权。单击生成按钮生成此角色的配置文件。
要将用户分配到此角色,请转到“更改角色”选项中的“用户”选项卡。要将用户分配给此角色,它应该存在于系统中。
如果需要,您还可以执行用户比较。单击用户比较选项。您还可以单击“信息”按钮以了解有关单一和复合角色的更多信息,以及用于比较主记录的用户比较选项。
在 PFCG 中创建角色
您可以在 PFCG 中创建单个角色和复合角色。输入角色名称并单击创建单个或复合角色,如下面的屏幕截图所示。
您可以从像 Y_ 或 Z_ 这样的 Customer 命名空间中进行选择。SAP 提供的角色以 SAP_ 开头,您不能从 SAP 提供的角色中获取名称。
单击创建角色按钮后,您应该在角色定义的 MENU 选项卡下添加事务、报告和 Web 地址。
导航到授权选项卡以生成配置文件,单击更改授权数据选项。
根据您的活动选择,系统会提示您输入组织级别。当您在对话框中输入特定值时,会自动维护角色的授权字段。
您可以调整角色的参考。完成角色定义后,您需要生成角色。单击生成 (Shift+F5)。
在这种结构中,当您看到红色交通灯时,它显示的是没有值的组织级别。您可以使用维护选项卡旁边的组织级别输入和更改组织级别。
输入配置文件名称并单击勾选选项以完成生成步骤。
单击保存以保存配置文件。您可以通过转到“用户”选项卡直接将此角色分配给用户。以类似的方式,您可以使用 PFCG 角色维护选项创建复合角色。
传输和分发角色
运行事务 – PFCG 并输入要传输的角色名称,然后单击传输角色。
您将到达角色传输选项。您在传输角色下有多个选项 –
- 为复合角色传输单个角色。
- 为角色传输生成的配置文件。
- 个性化数据。
在下一个对话框中,您应该提及用户分配并且还应该传输个性化数据。如果用户分配也被传输,它们将替换目标系统中的整个用户分配角色。
要锁定系统以便无法导入用户分配的角色,请使用事务SM30在定制表PRGN_CUST 中输入它并选择值字段USER_REL_IMPORT number。
此角色在定制请求中输入。您可以使用事务SE10查看此内容。
在定制请求中,授权配置文件与角色一起传输。
授权信息系统交易 – SUIM
在授权管理中,SUIM 是一个关键工具,您可以使用它在 SAP 系统中查找用户配置文件,还可以将这些配置文件分配给该用户 ID。SUIM 提供了一个初始屏幕,其中提供了用于搜索用户、角色、配置文件、授权、交易和比较的选项。
要打开用户信息系统,请运行事务:SUIM。
在用户信息系统中,您可以使用不同的节点来执行 SAP 系统中的不同功能。就像在用户节点中一样,您可以根据选择条件对用户执行搜索。您可以获得锁定的用户列表、有权访问特定交易集的用户等。
当您展开每个选项卡时,您可以选择根据不同的选择标准生成不同的报告。就像展开用户选项卡一样,您有以下选项 –
当您通过复杂的选择条件点击用户时,您可以同时应用多个选择条件。以下屏幕截图显示了不同的选择标准。
角色节点
以类似的方式,您可以访问此用户信息系统下的不同节点,如角色、配置文件、授权和各种其他选项。
您还可以使用 SUIM 工具搜索角色和配置文件。您可以通过在 SUIM 中按交易和分配执行搜索并将这些角色分配给该用户 ID,将交易列表分配给一组特定的用户 ID。
使用用户信息系统,您可以在 SAP 系统中执行各种搜索。您可以输入不同的选择标准并根据用户、配置文件、角色、交易和各种其他标准提取报告。
RSUSR002 – 按复杂选择标准的用户。
