用户认证和管理

---

如果未经授权的用户可以以已知的授权用户身份访问 SAP 系统，并且可以更改配置并操纵系统配置和密钥策略。如果授权用户可以访问系统的重要数据和信息，那么该用户也可以访问其他关键信息。这增强了安全认证的使用，以保护用户系统的可用性、完整性和隐私。

SAP 系统中的身份验证机制

身份验证机制定义了您访问 SAP 系统的方式。提供了各种身份验证方法 –

• 用户 ID 和用户管理工具
• 安全网络通讯
• SAP 登录票
• X.509 客户端证书

用户 ID 和用户管理工具

SAP 系统中最常见的身份验证方法是使用用户名和密码登录。要登录的用户 ID 由 SAP 管理员创建。为了通过用户名和密码提供安全的身份验证机制，需要定义不允许用户设置简单预测密码的密码策略。

SAP 提供了各种默认参数，您应该设置这些参数来定义密码策略——密码长度、密码复杂性、默认密码更改等

SAP 系统中的用户管理工具

SAP NetWeaver System提供了各种用户管理工具，可用于有效管理您环境中的用户。它们为两种类型的 NetWeaver 应用程序服务器（Java 和 ABAP）提供了非常强大的身份验证方法。

一些最常见的用户管理工具是 –

ABAP 应用服务器的用户管理（交易代码：SU01）

您可以使用用户管理事务代码 SU01 来维护基于 ABAP 的应用服务器中的用户。

SAP NetWeaver 身份管理

您可以使用 SAP NetWeaver Identity Management 进行用户管理以及管理 SAP 环境中的角色和角色分配。

PFCG 角色

您可以使用配置文件生成器 PFCG 在基于 ABAP 的系统中创建角色并向用户分配权限。

交易代码– PFCG

中央用户管理

您可以使用 CUA 来维护多个基于 ABAP 的系统的用户。您还可以将其与您的目录服务器同步。使用此工具，您可以从系统客户端集中管理所有用户主记录。

交易代码– SCUA 并创建分发模型。

用户管理引擎 UME

您可以使用 UME 角色来控制系统中的用户权限。管理员可以使用代表用户可以用来构建访问权限的 UME 角色的最小实体的操作。

您可以使用 SAP NetWeaver 管理员选项打开 UME 管理控制台。

密码政策

密码策略被定义为用户必须遵循的一组指令，以通过使用强密码并正确使用它们来提高系统安全性。在许多组织中，密码策略作为安全意识培训的一部分进行共享，并且用户必须维护组织中关键系统和信息的安全策略。

在 SAP 系统中使用密码策略，管理员可以设置系统用户部署不易破解的强密码。这也有助于定期更改密码以确保系统安全。

以下密码策略通常用于 SAP 系统 –

默认/初始密码更改

这允许用户在第一次使用时立即更改初始密码。

密码长度

在 SAP 系统中，默认情况下 SAP 系统中密码的最小长度为 3。可以使用配置文件参数更改此值，并且允许的最大长度为 8。

交易代码– RZ11

参数名称– login/min_password_lng

您可以单击此策略的配置文件参数的文档，您可以查看来自 SAP 的详细文档，如下所示 –

参数– 登录/min_password_lng

短文本– 最小密码长度

参数说明– 此参数指定登录密码的最小长度。密码必须至少包含三个字符。但是，管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时，此设置适用。

应用领域– 登录

参数单位– 字符数（字母数字）

默认值– 6

允许谁进行更改？顾客

操作系统限制– 无

数据库系统限制– 无

非法密码

您不能选择任何密码的第一个字符作为问号 (?) 或感叹号 (!)。您还可以在非法密码表中添加您要限制的其他字符。

交易代码– SM30 表名：USR40。

一旦您进入表格 – USR40并单击顶部的显示，它将向您显示所有不允许的密码的列表。

单击New Entries 后，您可以在此表中输入新值并选中区分大小写的复选框。

密码模式

您还可以设置密码的前三个字符不能与用户名的一部分以相同的顺序出现。可以使用密码策略限制的不同密码模式包括 –

• 前三个字符不能全部相同。
• 前三个字符不能包含空格字符。
• 密码不能是 PASS 或 SAP。

密码更改

在此策略中，用户几乎可以每天更改一次密码，但管理员可以根据需要随时重置用户的密码。

不应允许用户重复使用最后五个密码。但是，管理员可以重置用户之前使用的密码。

配置文件参数

您可以在 SAP 系统中为用户管理和密码策略定义不同的配置文件参数。

在 SAP 系统中，您可以通过转到工具 → CCMS → 配置 → 配置文件维护（事务：RZ11）来显示每个配置文件参数的文档。输入参数名称并单击Display。

在出现的下一个窗口中，您必须输入参数名称，您可以看到 2 个选项 –

显示– 显示 SAP 系统中的参数值。

显示文档 – 显示该参数的 SAP 文档。

当您单击“显示”按钮时，您将被移至“维护配置文件参数”屏幕。您可以看到以下详细信息 –

• 名称
• 类型
• 选择标准
• 参数组
• 参数说明等等

在底部，您有参数login/min_password_lng 的当前值

当您单击Display Doc选项时，它将显示该参数的 SAP 文档。

参数说明

该参数指定登录密码的最小长度。密码必须至少包含三个字符。但是，管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时，此设置适用。

每个参数都有一个默认值，允许值如下 –

SAP 系统中有不同的密码参数。您可以在RZ11事务中输入每个参数并可以查看文档。

• 登录名/min_password_diff
• 登录名/min_password_digits
• 登录名/min_password_letters
• 登录名/min_password_specials
• 登录/最小密码_小写
• 登录名/min_password_uppercase
• 登录/disable_password_logon
• 登录名/密码_字符集
• 登录名/密码_向下_兼容性
• 登录名/password_compliance_to_current_policy

要更改参数值，请运行Transaction RZ10并选择配置文件，如下所示 –

• 多个应用程序服务器– 使用 DEFAULT 配置文件。

• 单个应用程序服务器– 使用实例配置文件。

选择扩展维护并点击显示。

选择要更改的参数，然后单击顶部的参数。

当您单击参数选项卡时，您可以在新窗口中更改参数的值。您还可以通过单击创建 (F5)来创建新参数。

您还可以在此窗口中查看参数的状态。输入参数值并点击Copy。

退出屏幕时，系统会提示您保存。单击是保存参数值。