SAP 安全

在 SAP 分布式环境中，您始终需要保护关键信息和数据免遭未经授权的访问。人为错误、不正确的访问配置不应允许对任何系统进行未经授权的访问，并且需要在您的 SAP 环境中维护和审查配置文件策略和系统安全策略。

为了使系统安全，您应该很好地了解系统中要使用的用户访问配置文件、密码策略、数据加密和授权方法。您应该定期检查SAP System Landscape并监控在配置和访问配置文件中所做的所有更改。

标准超级用户应该得到很好的保护，用户配置文件参数和值应该仔细设置以满足系统安全要求。

通过网络进行通信时，您应该了解网络拓扑结构，并且在经过大量检查后应该检查和启用网络服务。应该使用私钥很好地保护网络上的数据。

为了在分布式环境中访问信息，关键信息和数据可能会被泄露到未经授权的访问中，并且由于缺少密码策略、标准超级用户没有得到很好的维护或任何其他原因，系统安全被破坏。

在 SAP 系统中破坏访问的几个关键原因如下 –

不维护强密码策略。

标准用户、超级用户、DB 用户没有得到妥善维护，密码没有定期更改。

配置文件参数未正确定义。

不会监控不成功的登录尝试，也不会定义空闲用户会话结束策略。

通过互联网发送数据并且不使用加密密钥时不考虑网络通信安全。

数据库用户没有得到妥善维护，在建立信息数据库时没有考虑安全措施。

单点登录未在 SAP 环境中正确配置和维护。

为了克服上述所有原因，您需要在 SAP 环境中定义安全策略。应定义安全参数，并应定期检查密码策略。

数据库安全是保护您的 SAP 环境的关键组件之一。因此，您需要管理数据库用户并确保密码受到良好保护。

应在系统中应用以下安全机制，以保护 SAP 环境免受任何未经授权的访问 –

因此，分布式环境中需要 SAP 系统中的安全性，您需要确保您的数据和流程支持您的业务需求，而不允许对关键信息进行未经授权的访问。在 SAP 系统中，人为错误、疏忽或试图对系统进行操作可能会导致关键信息的丢失。

如果未经授权的用户可以以已知的授权用户身份访问 SAP 系统，并且可以更改配置并操纵系统配置和密钥策略。如果授权用户可以访问系统的重要数据和信息，那么该用户也可以访问其他关键信息。这增强了安全认证的使用，以保护用户系统的可用性、完整性和隐私。

身份验证机制定义了您访问 SAP 系统的方式。提供了各种身份验证方法 –

SAP 系统中最常见的身份验证方法是使用用户名和密码登录。要登录的用户 ID 由 SAP 管理员创建。为了通过用户名和密码提供安全的身份验证机制，需要定义不允许用户设置简单预测密码的密码策略。

SAP 提供了各种默认参数，您应该设置这些参数来定义密码策略——密码长度、密码复杂性、默认密码更改等

SAP NetWeaver System提供了各种用户管理工具，可用于有效管理您环境中的用户。它们为两种类型的 NetWeaver 应用程序服务器（Java 和 ABAP）提供了非常强大的身份验证方法。

一些最常见的用户管理工具是 –

您可以使用用户管理事务代码 SU01 来维护基于 ABAP 的应用服务器中的用户。

您可以使用 SAP NetWeaver Identity Management 进行用户管理以及管理 SAP 环境中的角色和角色分配。

您可以使用配置文件生成器 PFCG 在基于 ABAP 的系统中创建角色并向用户分配权限。

交易代码– PFCG

您可以使用 CUA 来维护多个基于 ABAP 的系统的用户。您还可以将其与您的目录服务器同步。使用此工具，您可以从系统客户端集中管理所有用户主记录。

交易代码– SCUA 并创建分发模型。

您可以使用 UME 角色来控制系统中的用户权限。管理员可以使用代表用户可以用来构建访问权限的 UME 角色的最小实体的操作。

您可以使用 SAP NetWeaver 管理员选项打开 UME 管理控制台。

密码策略被定义为用户必须遵循的一组指令，以通过使用强密码并正确使用它们来提高系统安全性。在许多组织中，密码策略作为安全意识培训的一部分进行共享，并且用户必须维护组织中关键系统和信息的安全策略。

在 SAP 系统中使用密码策略，管理员可以设置系统用户部署不易破解的强密码。这也有助于定期更改密码以确保系统安全。

以下密码策略通常用于 SAP 系统 –

这允许用户在第一次使用时立即更改初始密码。

在 SAP 系统中，默认情况下 SAP 系统中密码的最小长度为 3。可以使用配置文件参数更改此值，并且允许的最大长度为 8。

交易代码– RZ11

参数名称– login/min_password_lng

您可以单击此策略的配置文件参数的文档，您可以查看来自 SAP 的详细文档，如下所示 –

参数– 登录/min_password_lng

短文本– 最小密码长度

参数说明– 此参数指定登录密码的最小长度。密码必须至少包含三个字符。但是，管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时，此设置适用。

应用领域– 登录

参数单位– 字符数（字母数字）

默认值– 6

允许谁进行更改？顾客

操作系统限制– 无

数据库系统限制– 无

您不能选择任何密码的第一个字符作为问号 (?) 或感叹号 (!)。您还可以在非法密码表中添加您要限制的其他字符。

交易代码– SM30 表名：USR40。

一旦您进入表格 – USR40并单击顶部的显示，它将向您显示所有不允许的密码的列表。

单击New Entries 后，您可以在此表中输入新值并选中区分大小写的复选框。

您还可以设置密码的前三个字符不能与用户名的一部分以相同的顺序出现。可以使用密码策略限制的不同密码模式包括 –

在此策略中，用户几乎可以每天更改一次密码，但管理员可以根据需要随时重置用户的密码。

不应允许用户重复使用最后五个密码。但是，管理员可以重置用户之前使用的密码。

您可以在 SAP 系统中为用户管理和密码策略定义不同的配置文件参数。

在 SAP 系统中，您可以通过转到工具 → CCMS → 配置 → 配置文件维护（事务：RZ11）来显示每个配置文件参数的文档。输入参数名称并单击Display。

在出现的下一个窗口中，您必须输入参数名称，您可以看到 2 个选项 –

显示– 显示 SAP 系统中的参数值。

显示文档 – 显示该参数的 SAP 文档。

当您单击“显示”按钮时，您将被移至“维护配置文件参数”屏幕。您可以看到以下详细信息 –

在底部，您有参数login/min_password_lng 的当前值

当您单击Display Doc选项时，它将显示该参数的 SAP 文档。

该参数指定登录密码的最小长度。密码必须至少包含三个字符。但是，管理员可以指定更大的最小长度。当分配新密码以及更改或重置现有密码时，此设置适用。

每个参数都有一个默认值，允许值如下 –

SAP 系统中有不同的密码参数。您可以在RZ11事务中输入每个参数并可以查看文档。

要更改参数值，请运行Transaction RZ10并选择配置文件，如下所示 –

多个应用程序服务器– 使用 DEFAULT 配置文件。

单个应用程序服务器– 使用实例配置文件。

选择扩展维护并点击显示。

选择要更改的参数，然后单击顶部的参数。

当您单击参数选项卡时，您可以在新窗口中更改参数的值。您还可以通过单击创建 (F5)来创建新参数。

您还可以在此窗口中查看参数的状态。输入参数值并点击Copy。

退出屏幕时，系统会提示您保存。单击是保存参数值。

安全网络通信 (SNC)还可用于使用安全身份验证方法登录到应用程序服务器。您可以通过 SAP GUI for windows 或使用 RFC 连接使用 SNC 进行用户身份验证。

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 PKI 等安全措施，以及生成和分发密钥对的程序。

您应该定义可以消除威胁并防止网络攻击的网络拓扑。当用户无法登录应用层或数据库层时，攻击者就无法访问 SAP 系统或数据库系统以访问关键信息。

明确定义的网络拓扑不允许入侵者连接到公司的 LAN，因此无法访问网络服务或 SAP 系统上的安全漏洞。

您的物理网络架构完全取决于您的 SAP 系统的规模。SAP 系统通常使用客户端 – 服务器架构来实现，每个系统通常分为以下三层 –

当您的 SAP 系统较小时，它可能没有单独的应用程序和数据库服务器。但是，在大型系统中，许多应用程序服务器与数据库服务器和多个前端进行通信。这定义了系统从简单到复杂的网络拓扑结构，您在组织网络拓扑结构时应该考虑不同的场景。

在大型组织中，建议您将应用程序和数据库服务器安装在不同的机器上，并放置在与前端系统不同的局域网中。

在下图中，您可以看到 SAP 系统的首选网络拓扑 –

当您将数据库和应用程序服务器置于与前端 VLAN 不同的 VLAN 中时，您可以改进访问控制系统，从而提高 SAP 系统的安全性。前端系统在不同的 VLAN 中，因此进入服务器 VLAN 并因此绕过 SAP 系统的安全性并不容易。

在您的 SAP 系统中，启用了各种服务，但是运行 SAP 系统只需要很少的服务。在 SAP 系统中，Landscape、数据库和应用服务器是最常见的网络攻击目标。许多网络服务在您的环境中运行，允许访问这些服务器，并且应仔细监控这些服务。

在您的 Window/UNIX 机器中，这些服务在/etc/services中维护。您可以通过转到以下路径在 Windows 机器中打开此文件 –

system32/drivers/etc/services

您可以在记事本中打开此文件并查看服务器中所有已激活的服务 –

建议您禁用横向服务器上的所有不需要的服务。有时，这些服务包含一些错误，入侵者可以利用这些错误获得未经授权的访问。禁用这些服务后，您的网络受到攻击的机会就会减少。

为了获得高级别安全性，还建议在您的 SAP 环境中使用静态密码文件。

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 (PKI)和其他程序等安全措施来生成和分发密钥对，并确保用户的私钥得到适当保护。

有多种方法可以保护网络授权的私钥 –

现在让我们详细讨论它们。

您可以使用硬件解决方案来保护用户的私钥，向个人用户发放智能卡。所有密钥都存储在智能卡中，用户应通过使用指纹或使用 PIN 密码的生物识别技术对其智能卡进行身份验证。

这些智能卡应受到保护，防止每个用户被盗或丢失，并且用户可以使用该卡来加密文档。

不允许用户共享智能卡或将其提供给其他用户。

也可以使用软件解决方案为个人用户存储私钥。与硬件解决方案相比，软件解决方案是更便宜的解决方案，但它们也不太安全。

当用户将私钥存储在文件和用户详细信息中时，需要保护这些文件以防止未经授权的访问。

首次安装 SAP 系统时，会创建一些默认用户来执行管理任务。默认情况下，它在 SAP 环境中创建三个客户端，它们是 –

客户端 000 – SAP 参考客户端

客户端 001 – SAP 的模板客户端

客户端 066 – SAP Early Watch 客户端

SAP 在系统中的上述客户端中创建标准用户。每个标准用户在第一次安装时都有自己的默认密码。

SAP 系统中的标准用户包括默认客户端下的以下用户 –

这些是 SAP 默认客户端下的标准用户，用于在 SAP 系统中执行管理和配置任务。为了维护 SAP 系统的安全性，您应该保护这些用户 –

您应该将这些用户添加到 SUPER 组，以便只有有权将用户添加/修改到 SUPER 组的管理员才能修改它们。

标准用户的默认密码应该更改。

您可以使用事务SM30查看 SAP 环境中所有客户端的列表，显示表T000。

当您进入表格并单击显示时，它将显示您 SAP 系统中所有客户的列表。此表包含您在环境中为共享资源而创建的所有默认客户端和新客户端的详细信息。

您可以使用报告RSUSR003来确保已在所有客户端中创建用户 SAP，并且已更改 SAP、DDIC 和 SAPCPIC 的标准密码。

转到ABAP Editor SE38并输入报告名称并单击 EXECUTE。

输入报告标题并单击“执行”按钮。它将显示 SAP 系统中的所有客户端和标准用户、密码状态、使用原因锁定、有效期自和有效期至等。

要保护 SAP 系统超级用户“SAP”，您可以在系统中执行以下步骤 –

步骤 1 – 您需要在 SAP 系统中定义新的超级用户并停用 SAP 用户。请注意，您不得删除系统中的用户 SAP。要停用硬编码用户，您可以使用配置文件参数：login/no_automatic_user_sapstar。

如果用户 SAP* 的用户主记录被删除，则可以使用“SAP”和初始密码 PASS 登录。

“SAP”用户具有以下属性 –

用户具有完全授权，因为不执行授权检查。

默认密码 PASS 无法更改。

您可以使用配置文件参数login/no_automatic_user_sapstar停用 SAP 的这些特殊属性并控制用户 SAP* 的自动登录。

步骤 2 – 要检查此参数的值，请运行事务RZ11并输入参数名称。

允许的值– 0, 1，其中 –

0 – 允许自动用户 SAP*。

1 – 自动用户 SAP* 已停用。

步骤 3 – 在以下系统中，您可以看到此参数的值设置为 1。这表明系统中的超级用户“SAP”已停用。

步骤 4 – 单击显示，您可以看到此参数的当前值。

要在系统中创建新的超级用户，请定义一个新的用户主记录并将配置文件SAP_ALL分配给该超级用户。

某些与软件物流、ABAP 词典以及与安装和升级相关的任务相关的任务需要 DDIC 用户。为了保护此用户，建议将此用户锁定在 SAP 系统中。您不应该删除此用户来执行一些功能以供将来使用。

要锁定用户，请使用事务代码：SU01。

如果要保护此用户，可以在安装时为该用户分配SAP_ALL权限，然后将其锁定。

SAPCPIC 用户用于调用 SAP 系统中的某些程序和功能模块，是非对话用户。

您应该锁定此用户并更改此用户的密码以保护它。在以前的版本中，当您锁定 SAPCPIC 用户或更改密码时，它会影响其他程序 RSCOLL00、RSCOLL30 和 LSYPGU01。

A 066 Client – 这称为 SAP Early watch，用于 SAP 系统中的诊断扫描和监控服务，用户 EARLYWATCH 是 Client 066 中 Early Watch 服务的交互式用户。为了保护该用户，您可以执行以下操作 –

为了保护 SAP 标准用户并保护 SAP 环境中的客户，您应该考虑以下关键点 –

您应该妥善维护 SAP 系统中的客户端，并确保不存在未知客户端。

您需要确保 SAP 超级用户“SAP”存在并且已在所有客户端中停用。

您需要确保为所有 SAP 标准用户 SAP、DDIC 和 EARLYWATCH 用户更改默认密码。

您需要确保所有标准用户都已添加到 SAP 系统中的 SUPER 组中，并且唯一有权更改 SUPER 组的人员只能编辑这些用户。

您需要确保 SAPCPIC 的默认密码已更改且此用户已锁定，并在需要时解锁。

所有 SAP 标准用户都应该被锁定，并且只有在需要时才能解锁。所有这些用户的密码都应该得到很好的保护。

您应确保在表 T000 中维护的所有客户端中更改所有 SAP 标准用户的密码，并且所有客户端都应存在用户“SAP”。

要更改密码，请使用超级用户登录。在用户名字段中输入要更改密码的用户 ID。单击更改密码选项，如下面的屏幕截图所示 –

输入新密码，重复密码并点击应用。您应该对所有标准用户重复相同的过程。

为了在 SAP 系统中实现安全性，需要监控 SAP 环境中的不成功登录。当有人尝试使用不正确的密码登录系统时，系统应该将用户名锁定一段时间，或者在定义的尝试次数后终止该会话。

可以为未经授权的登录尝试设置各种安全参数 –

现在让我们详细讨论其中的每一个。

当对单个用户 ID 进行多次不成功的登录尝试时，系统将结束该用户的会话。这应该使用配置文件参数发送 – login/fails_to_session_end。

要更改参数值，请运行事务RZ10并选择配置文件，如下面的屏幕截图所示。选择扩展维护并单击显示。

选择要更改的参数，然后单击顶部的参数按钮，如下所示。

当您单击“参数”选项卡时，您可以在新窗口中更改参数值。您还可以通过单击创建 (F5)按钮来创建新参数。

要查看此参数的详细信息，请运行 Transaction Code: RZ11并输入配置文件名称 – login/fails_to_session_end并单击Display Document。

参数– login/fails_to_session_end

短文本– 会话结束前的无效登录尝试次数。

参数说明– 在登录过程终止之前，可以使用用户主记录进行的无效登录尝试次数。

应用领域– 登录

默认值– 3

允许谁进行更改？− 客户

操作系统限制– 无

数据库系统限制– 无

其他参数是否受到影响或依赖？– 无

允许的值– 1 – 99

在上面的截图中，你可以看到这个参数的值被设置为3，也就是默认值。在 3 次登录尝试失败后，单个用户的会话将被终止。

您还可以检查特定的用户 ID，如果在单个用户 ID 下超过了设定的连续登录尝试失败次数。设置配置文件参数中允许的无效登录尝试次数：login/fails_to_user_lock。

可以对特定用户 ID 设置锁定。

锁定在用户 ID 上应用到午夜。但是，系统管理员也可以随时手动删除它。

在 SAP 系统中，您还可以设置一个参数值，允许锁定用户 ID，直到它们被手动删除。参数名称：login/failed_user_auto_unlock。

配置文件参数：login/fails_to_user_lock

每次输入错误的登录密码时，相关用户主记录的失败登录计数器都会增加。登录尝试可以记录在安全审计日志中。如果超过此参数指定的限制，则相关用户将被锁定。此过程也记录在 Syslog 中。

当前日期结束后，锁定不再有效。（其他条件 -login/failed_user_auto_unlock）

一旦用户使用正确的密码登录，失败的登录计数器就会重置。非基于密码的登录对失败的登录计数器没有任何影响。但是，每次登录都会检查活动登录锁。

允许的值– 1 – 99

要查看此参数的当前值，请使用T-Code: RZ11。

参数名称– login/failed_user_auto_unlock

短文本– 在午夜禁用锁定用户的自动解锁。

参数说明– 控制因错误登录而锁定的用户的解锁。如果该参数设置为 1，则由于密码登录尝试失败而设置的锁定仅在同一天应用（与锁定相同）。如果该参数设置为 0，则锁定仍然有效。

应用领域– 登录。

默认值– 0。

系统管理员还可以启用屏幕保护程序来保护前端屏幕免受任何未经授权的访问。这些屏幕保护程序可以受密码保护。

在 SAP 系统中，您可以使用报告RSUSR006来检查系统中是否存在尝试任何不成功登录尝试的用户。此报告包含有关用户和用户锁定的错误登录尝试次数的详细信息，您可以根据需要安排此报告。

转到ABAP Editor SE38并输入报告名称，然后单击EXECUTE。

在此报告中，您有不同的详细信息，例如用户名、类型、创建时间、创建者、密码、锁定和不正确的登录详细信息。

在 SAP 系统中，您也可以使用安全审计日志（事务 SM18、SM19 和 SM20）来记录所有成功和不成功的登录尝试。您可以使用SM20事务来分析安全审计日志，但是需要在系统中激活安全审计来监控安全审计日志。

当用户已经登录到 SAP 系统并且会话在特定时间段内处于非活动状态时，您还可以将他们设置为注销以避免任何未经授权的访问。

要启用此设置，您需要在配置文件参数中指定此值：rdisp/gui_auto_logout。

参数说明– 您可以定义非活动的 SAP GUI 用户在预定义的时间段后自动从 SAP 系统注销。本次配置参数。默认情况下，SAP 系统中的自动注销处于禁用状态（值为 0），即用户即使在较长时间内未执行任何操作也不会注销。

允许的值– n [单位]，其中 n >= 0 且单位 = S | 男 | H | D

要查看参数的当前值，请运行 T-Code: RZ11。

下表显示了 SAP 系统中的关键参数列表、它们的默认值和允许值 –

SAP 系统授权概念涉及保护 SAP 系统免于运行事务和程序免遭未经授权的访问。您不应允许用户在 SAP 系统中执行事务和程序，除非他们为此活动定义了授权。

为了让你的系统更安全，实现强授权，你需要检查你的授权计划，确保它符合公司的安全要求，没有安全违规。

在 SAP 系统之前的版本中，用户类型仅分为两类——对话用户和非对话用户，两个系统之间只推荐非对话用户进行通信。使用 SAP 4.6C，用户类型分为以下几类 –

对话用户– 此用户用于个人交互式系统访问，大多数客户端工作是使用对话用户执行的。密码可由用户自行更改。在对话用户中，可以防止多次对话登录。

服务用户– 这用于执行交互式系统访问以执行某些预定任务，例如产品目录显示。此用户允许多次登录，只有管理员才能更改此用户的密码。

系统用户– 此用户 ID 用于执行大多数与系统相关的任务 – 运输管理系统、定义工作流和 ALE。它不是交互式系统相关用户，并且该用户允许多次登录。

参考用户– 参考用户不用于登录 SAP 系统。该用户用于为内部用户提供额外的授权。在 SAP 系统中，您可以转到角色选项卡并指定参考用户以获得对话用户的附加权限。

通信用户– 此用户类型用于维护不同系统之间的无对话登录，如 RFC 连接、CPIC。通信用户无法使用 SAP GUI 进行对话登录。用户类型可以像普通对话用户一样更改他们的密码。RFC 功能模块可用于更改密码。

事务代码：SU01用于在 SAP 系统中创建用户。在以下屏幕中，您可以在 SAP 系统中的 SU01 事务下看到不同的用户类型。

要在 SAP 系统中创建一个或多个具有不同访问权限的用户，您应该按照以下步骤操作。

步骤 1 – 使用事务代码 – SU01。

步骤 2 – 输入您要创建的用户名，单击创建图标，如下面的屏幕截图所示。

步骤 3 – 您将被定向到下一个选项卡 – 地址选项卡。在这里，您需要输入名字、姓氏、电话号码、电子邮件 ID 等详细信息。

第 4 步– 您将进一步被定向到下一个选项卡 –登录数据。在登录数据选项卡下输入用户类型。我们有五种不同的用户类型。

步骤 5 – 输入第一个登录密码→新密码→重复密码。

第 6 步– 您将被定向到下一个选项卡 – 角色 – 将角色分配给用户。

步骤 7 – 您将进一步被定向到下一个选项卡 – 配置文件 – 将配置文件分配给用户。

步骤 8 – 单击保存以接收确认。

中央用户管理是允许您使用中央系统管理 SAP 系统环境中所有用户的关键概念之一。使用此工具，您可以在一个系统中集中管理所有用户主记录。中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

中央用户管理的优点是 –

在 SAP 环境中配置 CUA 时，您可以仅使用中央系统创建或删除用户。

所有必需的角色和授权都以活动形式存在于子系统中。

所有用户都受到集中监控和管理，这使得管理任务在复杂的系统环境中更容易和更清晰地查看所有用户管理活动。

中央用户管理员允许您在一个系统环境中管理类似用户时节省资金和资源。

使用称为应用程序链接启用的ALE格局执行的数据交换允许以受控方式交换数据。ALE 由中央用户管理员用于与 SAP 系统环境中的子系统进行数据交换。

在复杂的景观环境中，您将一个系统定义为具有 ALE 环境的中央系统，并使用双向数据交换将其链接到所有子系统。景观中的子系统相互之间没有联系。

要实施中央用户管理，应考虑以下几点 –

您需要在单个/分布式环境中具有多个客户端的 SAP 环境。

管理员管理用户，需要授权以下交易代码 –

SU01

SCC4

水肺协会

浮渣

SM59

BD54

BD64

您应该在系统之间创建信任-信任关系。

您应该在中央和子系统中创建系统用户。

创建逻辑系统并将逻辑系统分配给相应的客户端。

创建模型视图和 BAPI 到模型视图。

创建中央用户管理员并为字段设置分布参数。

同步公司地址

转移用户

在集中管理的环境中，您需要先创建一个管理员。以用户 SAP* 的身份使用默认密码 PASS 登录未来 CUA 的所有逻辑系统。

运行事务SU01并创建一个分配有管理员角色的用户。

要定义逻辑系统，请使用事务BD54。单击新条目以创建新的逻辑系统。

为中央用户管理和所有子系统（包括来自其他 SAP 系统的系统）创建一个大写的新逻辑名称。

为了轻松识别系统，您可以使用以下命名约定来识别中央用户管理系统 –

CLNT

输入一些对逻辑系统有用的描述。单击“保存”按钮保存您的输入。接下来是为所有子系统中的中央系统创建逻辑系统名称。

要将逻辑系统分配给客户端，请使用事务SCC4并切换到更改模式。

通过双击或单击“详细信息”按钮打开要分配给逻辑系统的客户端。一个客户端只能分配给一个逻辑系统。

在客户端详细信息的逻辑系统字段中，输入要分配给该客户端的逻辑系统名称。

对要包含在中央用户管理器中的 SAP 环境中的所有客户端执行上述步骤。要保存您的设置，请单击顶部的保存按钮。

要维护 SAP 系统中的安全性，您需要维护包含关键授权的特定配置文件。在具有完全授权的 SAP 系统中，您需要保护各种 SAP 授权配置文件。

需要在 SAP 系统中保护的一些配置文件是 –

SAP_ALL 授权配置文件允许用户执行 SAP 系统中的所有任务。这是包含 SAP 系统中所有授权的复合配置文件。拥有此权限的用户可以执行 SAP 系统中的所有活动，因此不应将此配置文件分配给您系统中的任何用户。

建议使用配置文件维护单个用户。虽然密码应该为该用户得到很好的保护，并且应该只在需要时使用。

您应该将单独的权限分配给适当的用户，而不是分配 SAP_ALL 权限。您的系统超级用户/系统管理，而不是为他们分配 SAP_ALL 授权，您应该使用所需的个人授权。

SAP_NEW 授权包含新版本中所需的所有授权。系统升级完成后，将使用此配置文件，以便正确运行某些任务。

您应该记住有关此授权的以下几点 –

执行系统升级时，您需要删除之前版本的 SAP_NEW 配置文件。

您需要将 SAP_NEW 配置文件下的单独授权分配给您环境中的不同用户。

此配置文件不应保持活动太长时间。

如果环境中有很长的 SAP_NEW 配置文件列表，则表明您需要检查系统中的授权策略。

要查看所有 SAP_NEW 配置文件的列表，您应该通过双击选择此配置文件，然后 → 转到选择。

此授权允许用户从其他应用程序查看表的内容。此授权包含P_TABU_DIS授权。此授权允许 PA 用户查看不属于其组的表内容。

PFCG 角色维护可用于管理 SAP 系统中的角色和授权。在 PFCG 中，角色代表一个人执行的与现实生活场景相关的工作。PFCG 允许您定义一组事务，这些事务可以分配给一个人来执行他们的日常工作。

在 PFCG 事务中创建角色时，您可以使用事务SU01将这些角色分配给各个用户。SAP 系统中的用户可以被分配多个角色，这些角色与他/她在现实生活中的日常任务相关。

这些角色与 SAP 系统中的用户和授权有关。实际授权和配置文件以对象的形式存储在 SAP 系统中。

使用 PFCG 角色维护，您可以执行以下功能 –

现在让我们详细讨论这些功能。

运行事务：PFCG

它将带您进入角色维护窗口。要更改现有角色，请在字段中输入交付的角色名称。

单击复制角色按钮复制标准角色。输入命名空间中的名称。单击值选择按钮并选择要将其复制到的角色。

您也可以选择 SAP 交付的角色以SAP_ 开头，但默认角色将被覆盖。

要更改角色，请单击角色维护中的更改按钮。

导航到“菜单”选项卡以更改“菜单”选项卡页面上的用户菜单。转到“授权”选项卡以更改该用户的授权数据。

您还可以使用专家模式来调整授权下菜单更改的授权。单击生成按钮生成此角色的配置文件。

要将用户分配到此角色，请转到“更改角色”选项中的“用户”选项卡。要将用户分配给此角色，它应该存在于系统中。

如果需要，您还可以执行用户比较。单击用户比较选项。您还可以单击“信息”按钮以了解有关单一和复合角色的更多信息，以及用于比较主记录的用户比较选项。

您可以在 PFCG 中创建单个角色和复合角色。输入角色名称并单击创建单个或复合角色，如下面的屏幕截图所示。

您可以从像 Y_ 或 Z_ 这样的 Customer 命名空间中进行选择。SAP 提供的角色以 SAP_ 开头，您不能从 SAP 提供的角色中获取名称。

单击创建角色按钮后，您应该在角色定义的 MENU 选项卡下添加事务、报告和 Web 地址。

导航到授权选项卡以生成配置文件，单击更改授权数据选项。

根据您的活动选择，系统会提示您输入组织级别。当您在对话框中输入特定值时，会自动维护角色的授权字段。

您可以调整角色的参考。完成角色定义后，您需要生成角色。单击生成 (Shift+F5)。

在这种结构中，当您看到红色交通灯时，它显示的是没有值的组织级别。您可以使用维护选项卡旁边的组织级别输入和更改组织级别。

输入配置文件名称并单击勾选选项以完成生成步骤。

单击保存以保存配置文件。您可以通过转到“用户”选项卡直接将此角色分配给用户。以类似的方式，您可以使用 PFCG 角色维护选项创建复合角色。

运行事务 – PFCG 并输入要传输的角色名称，然后单击传输角色。

您将到达角色传输选项。您在传输角色下有多个选项 –

在下一个对话框中，您应该提及用户分配并且还应该传输个性化数据。如果用户分配也被传输，它们将替换目标系统中的整个用户分配角色。

要锁定系统以便无法导入用户分配的角色，请使用事务SM30在定制表PRGN_CUST 中输入它并选择值字段USER_REL_IMPORT number。

此角色在定制请求中输入。您可以使用事务SE10查看此内容。

在定制请求中，授权配置文件与角色一起传输。

在授权管理中，SUIM 是一个关键工具，您可以使用它在 SAP 系统中查找用户配置文件，还可以将这些配置文件分配给该用户 ID。SUIM 提供了一个初始屏幕，其中提供了用于搜索用户、角色、配置文件、授权、交易和比较的选项。

要打开用户信息系统，请运行事务：SUIM。

在用户信息系统中，您可以使用不同的节点来执行 SAP 系统中的不同功能。就像在用户节点中一样，您可以根据选择条件对用户执行搜索。您可以获得锁定的用户列表、有权访问特定交易集的用户等。

当您展开每个选项卡时，您可以选择根据不同的选择标准生成不同的报告。就像展开用户选项卡一样，您有以下选项 –

当您通过复杂的选择条件点击用户时，您可以同时应用多个选择条件。以下屏幕截图显示了不同的选择标准。

以类似的方式，您可以访问此用户信息系统下的不同节点，如角色、配置文件、授权和各种其他选项。

您还可以使用 SUIM 工具搜索角色和配置文件。您可以通过在 SUIM 中按交易和分配执行搜索并将这些角色分配给该用户 ID，将交易列表分配给一组特定的用户 ID。

使用用户信息系统，您可以在 SAP 系统中执行各种搜索。您可以输入不同的选择标准并根据用户、配置文件、角色、交易和各种其他标准提取报告。

RSUSR002 – 按复杂选择标准的用户。

在使用某些 Unix 属性、文件或服务、保护密码文件和停用rlogin和remsh 的BSD 远程服务时，您需要采取各种安全措施。

在 Unix 平台上，攻击者可以使用字典攻击程序来发现存储在 Unix 操作系统中的密码信息。您可以将密码存储在影子密码文件中，只有 root 用户才能访问该文件以提高系统的安全性。

BSD 远程服务允许远程访问 Unix 系统。启动远程连接时/etc/host.equiv和$HOME/.rhosts使用，如果这些文件包含有关连接源的主机名和 IP 地址或任何通配符的信息，则无需输入密码登录时。

远程服务 rlogin 和 remsh 在这种情况下是安全威胁，您需要停用这些服务。您可以通过转到Unix 系统中的inetd.conf文件来停用这些服务。

在 Unix 系统中，rlogin 是一个远程 shell 客户端（类似于 SSH），它被设计成又快又小。它没有加密，这在高安全性环境中可能有一些小缺点，但它可以以非常高的速度运行。服务器和客户端都不会使用大量内存。

在 UNIX 平台中，网络文件系统用于从 SAP 系统通过网络访问传输和工作目录。要访问工作目录，身份验证过程涉及网络地址。攻击者可能会使用 IP 欺骗通过网络文件系统获得未经授权的访问。

为了使系统安全，您不应该在网络文件系统上分发主目录，并且应该仔细分配对这些目录的写授权。

您应该在 UNIX 中为 SAP 系统目录设置以下访问权限 –

您需要在 Windows 平台中创建不同的用户和组才能安全地运行您的 SAP 系统。为了简化用户管理任务，建议将所有 WIN NT 用户添加到在操作系统级别具有正确访问权限的用户组。在 Window 操作系统中，有不同的组级别 –

WIN 中的全局组在域级别可用，可用于从多个服务器分配用户。全局组可用于一个域中的所有服务器。

您可以根据自己的方便选择全局组的名称。但是，建议按照SAP R/3 系统安装使用命名约定，这是 SAP 系统管理员的标准全局组，定义为SAP__GlobalAdmin。

在 Window 平台中，有各种常用的全局组可用于运行 SAP 系统 –

SAPadmin – 该组包含所有 SAP 系统管理员的列表。

SAPusers – 该组包含所有 SAP 应用程序用户的列表。

SAPservices – 该组包含所有 SAP 系统程序的列表。

域管理员– 该组包含来自所有域的所有管理员的列表。

Windows 平台中的本地组仅限于域中的一台服务器。在安装过程中，权限被分配给单个用户而不是组。但是，建议您将访问权限分配给本地组而不是单个用户。

本地组用于提高共享域中 Windows 环境的安全性。您可以进一步将全局用户和全局组分配给本地组。您可以使用任何名称创建本地组，但建议您使用本地组名作为：SAP__LocalAdmin。

您可以定义用户、本地组和全局组之间的各种关系 –

在 Windows 平台上运行 SAP 系统时，有一些标准用户需要谨慎管理。以下是 Windows 中的一些标准用户 –

窗口 NT 用户–

管理员– 可以访问所有资源的管理员帐户。

访客– 只有访客才能访问系统中的所有资源。

SAP系统用户–

ADM SAP – 对所有 SAP 资源具有完全访问权限的系统管理员。

SAPService – 负责运行 SAP 服务的特殊用户。

数据库用户–

– 在 Window 平台上运行特定于数据库的服务。

– 执行一般数据库操作的数据库用户。

另请注意，管理员和来宾用户是在安装过程中创建的，用于执行特定于 Window 的任务。所有这些用户都应该在 Window 平台中受到保护。

保护 SAP 系统中的数据库用户至关重要。数据库可以是 Oracle 数据库、SQL Server 或 MYSQL 数据库。您需要保护标准用户免受这些数据库的影响。标准用户的密码应受到保护，并应定期更改。

下表显示了 Windows 环境中的标准用户列表。应为所有这些用户维护密码。

要创建 OPS$ 用户，您需要使用 ADM 登录。如果 SAP 系统正在运行，您应该首先停止它，然后执行下面给出的命令。

创建用户 OPS$ 默认表空间 psapuserid 临时表空间 psaptemp 外部标识；

这里 是 –

用于旧版 Oracle 的 ADM

\ADM 最新版本

然后你应该按照下面给出的步骤 –

将连接、资源授予 OPS$ l

连接 /

创建表 SAPUSER ( USERID Varchar(20), PASSWD VARCHAR2(20));

插入 SAPUSER 值 (‘SAPR3’,');

连接内部

更改由 标识的用户 SAPR3；

以类似的方式，您可以为SAPService创建OPS$。在以下命令中，您应该使用 SAP_service_user 而不是 adm_user。

创建用户 OPS$ 默认表空间 psapuserid 临时表空间 psaptemp 外部标识；

这里 是 –

SAPService 用于旧版 Oracle

\SAPservice 用于最新版本

有必要管理数据库中标准用户的密码。有多种实用程序可用于更改密码。

可以使用命令行或 GUI 为 DBA 用户更改密码。要使用命令行更改密码，您应该使用以下命令 –

sapdba [-u /] –user2

在上面的命令中，user1是 SAPDBA 用于登录数据库的数据库用户。

是 user1 的密码的密码。

显示应更改密码的数据库用户。

是同一用户的新密码。

如果您想使用用户名“SYSTEM”和默认密码登录，您可以在命令中省略–u。

sapdba –u system/] –sapr3

SVRMGRL 是一个旧的实用程序，随 Oracle 的先前版本一起提供，并已用于执行下面提到的数据库功能。在最新版本中，服务器管理器命令现在在SQL*Plus 中可用。

要更改密码，您应该按照以下步骤操作 –

下一步是通过输入下面给出的命令来更新 SAPUSER 表 –

更新 OPS$ ADM.SAPUSER set PASSWD = ‘’ where USERID = ‘SAPR3’;

您应该使用命令行更新数据库中SAPR3的密码。

更改用户 sapr3 由 标识

单点登录 (SSO)是关键概念之一，它允许您登录一个系统，您可以在后端访问多个系统。SSO 允许用户在后端跨 SAP 系统访问软件资源。

带有 NetWeaver平台的SSO提供用户身份验证并帮助系统管理员在复杂的 SAP 系统环境中管理用户负载。SSO 配置通过增强安全措施并减少多个系统的密码管理任务，简化了用户登录 SAP 系统和应用程序的过程。

SSO 通过减少与密码问题相关的服务台呼叫次数来帮助组织降低运营成本，从而提高业务用户的工作效率。SAP NetWeaver 集成机制允许您在 SSO 概念中轻松集成您的 SAP NetWeaver 系统，并提供对 SAP System Landscape Environment 中后端系统的轻松访问。

可以使用 mySAP Workplace 配置单点登录，允许用户每天登录 mySAP Workplace，并且无需重复输入用户名和密码即可访问应用程序。

您可以使用以下身份验证方法通过 mySAP Workplace 配置 SSO –

带有 NetWeaver 平台的 SSO 提供用户身份验证并帮助系统管理员在复杂的 SAP 系统环境中管理用户负载。SSO 配置通过增强安全措施并减少多个系统的密码管理任务，简化了用户登录 SAP 系统和应用程序的过程。

使用 SAP NetWeaver，您可以配置授权用户使用 SSO 方法访问 NetWeaver 系统的不同机制。系统中的登录机制取决于 SAP NetWeaver 系统的技术以及用于访问这些系统的不同通信渠道。

要配置单点登录，您需要访问以下 T 代码 –

一旦你有了这些 T 代码，你应该按照下面给出的步骤 –

步骤 1 – 使用 SAP GUI 登录到任何 SAP ECC 系统，转到 T-code RZ10。

步骤 2 – 之后选择默认配置文件和扩展维护。

步骤 3 – 单击更改，您将看到配置文件的参数列表。

步骤 4 – 更改以下配置文件参数 –

步骤 5 – 保存并激活配置文件。它将生成一个新的配置文件。

步骤 6 –从 Trust Manager导出R3SSO证书，转到事务STRUST。

步骤 7 – 双击自己的证书右侧的文本框。显示证书信息。记下此证书的值，因为您需要输入这些值。

步骤 8 – 单击图标导出证书。

步骤 9 – 将文件另存为 -.crt。

示例– EBS-300.crt

步骤 10 – 单击复选框以在父目录中创建文件。

步骤 11 –使用管理员工具将R3 SSO证书导入Java 引擎。

注意– 确保 Java 引擎已启动。

步骤 12 – 打开 Java 管理工具。

步骤 13 – 输入 Java 引擎管理员密码并单击连接。

步骤 14 – 选择服务器 → 服务密钥 → 存储。

步骤 15 – 单击“视图”面板中的票证密钥库。

步骤 16 – 单击“条目”组框中的“加载”。选择您在上一步中导出的 .crt 文件。

步骤 17 – 使用管理员工具在 SAP Java 引擎中配置安全提供程序服务。

步骤 18 – 选择服务器服务安全提供商。

步骤 19 – 在组件面板中选择票证并转到身份验证选项卡。

步骤 20 – 修改 Evaluate Ticket Login Module 的选项，并将以下属性添加到要配置 SSO 的每个后端系统。

您可以使用 SSO 配置多个选项以访问 SAP NetWeaver 系统。您还可以通过 Web 浏览器或某些其他 Web 客户端访问 SAP NetWeaver System。使用 SSO，用户可以访问位于公司网络中的后端系统和其他安全信息。

SSO 允许您使用多种安全身份验证方法在 NetWeaver 应用程序服务器上集成基于 Web 的用户访问。您还可以实施各种网络通信安全方法，如密码学，以通过网络发送信息。

可以使用 SSO 配置以下身份验证方法以通过应用程序服务器访问数据 –

通过 Internet 访问数据时，您还可以使用网络和传输层中的安全机制。

您可以将数字签名的 SAP 登录票配置为使用单点登录配置以访问 SAP 环境中的集成应用程序。您可以配置门户以向用户颁发 SAP 登录票证，用户需要对该系统进行身份验证才能进行初始访问。当 SAP 登录票发给用户时，它们会保存在 Web 浏览器中，并允许用户使用 SSO 登录到不同的系统。

在 ABAP 应用程序服务器中，可以配置两种不同类型的登录票证 –

登录票证– 这些票证允许使用 SSO 方法进行基于 Web 的访问。

身份验证断言票证– 这些票证用于系统到系统的通信。

要配置 SAP 登录票证，应在用户配置文件中设置以下参数。

您可以使用单点登录 (SSO) 票证来允许 SAP 系统之间甚至非 SAP 系统之间的 SSO。SSO 票证可以是登录票证或断言票证。登录票作为名称为MYSAPSSO2的 cookie传输。断言票作为名称为 MYSAPSSO2 的 HTTP 标头变量传输。

注意– 这需要额外的配置步骤来发布和接受系统。SSO 组件系统应允许通过 SSO 票证登录 (login/accept_sso2_ticket = 1)。

如果仅将过程（X.509 客户端证书）用于单点登录，或者如果您不想为此系统使用单点登录，则可以通过 SSO 票证停用此登录 (login/accept_sso2_ticket = 0）。

要设置参数，请使用事务RZ11

允许的值– 0 / 1

您可以使用单点登录 (SSO) 票证来允许 SAP 系统之间甚至非 SAP 系统之间的 SSO。SSO 票证可以是登录票证或断言票证。登录票作为名称为 MYSAPSSO2 的 cookie 传输。断言票作为名称为 MYSAPSSO2 的 HTTP 标头变量传输。

注意– 这需要额外的配置步骤来发布和接受系统。

发行系统应允许生成 SSO 票证 –

login/create_sso2_ticket = 1 ：SSO 票证，包括证书

login/create_sso2_ticket = 2 : 没有证书的 SSO 票

login/create_sso2_ticket = 3 : 只生成断言票

允许的值– 0 / 1 / 2 / 3

为了在使用 mySAP.com Workplace 时实现单点登录 (SSO)，可以使用 SSO 票证。创建单点登录工单时，可以设置有效期。一旦过期，就不能再使用 SSO 票证登录工作区组件系统。然后，用户需要再次登录到工作区服务器以获取新的 SSO 票证。

允许的值– [:]

如果输入的值不正确，则使用默认值（8 小时）。

正确的值如下所示 –

不正确的值如下 –

使用 SSO 方法，您可以使用 X.509 客户端证书对 NetWeaver 应用程序服务器进行身份验证。客户端证书使用非常强大的加密方法来保护用户对 NetWeaver 应用程序服务器的访问，因此您的 NetWeaver 应用程序服务器应该启用强大的加密技术。

您应该在 SAP NetWeaver 应用程序服务器上配置 SSL，因为使用 SSL 协议进行身份验证时无需输入任何用户名和密码。要使用 SSL 协议，它需要 HTTPS 连接以在 Web 浏览器和 NetWeaver ABAP 应用程序服务器之间进行通信。

SAML2.0 可用作单点登录 SSO 的身份验证，它支持跨不同域的 SSO。SAML 2.0 由组织名称 OASIS 开发。它还提供单一注销选项，这意味着当用户从所有系统注销时，SAP 系统中的服务提供者会通知身份提供者，身份提供者又会注销所有会话。

以下是使用 SAML2.0 身份验证的优点 –

您可以减少为其他系统托管应用程序的系统维护身份验证的开销。

您还可以维护外部服务提供商的身份验证，而无需维护系统中的用户身份。

所有系统中的单一注销选项。

自动映射用户帐户。

您还可以使用通过 Web 客户端和 Web 浏览器访问的 SAP NetWeaver 应用程序服务器的 Kerberos 身份验证。它使用简单且受保护的 GSS API 协商机制SPNego，该机制还需要单点登录 SSO 2.0 或更高版本以及附加许可证才能使用此身份验证。该SPNEGO不支持传输层的安全性，因此建议使用SSL协议来增加传输层安全与应用NetWeaver的服务器进行通信。

在上面的屏幕截图中，您可以看到可以在用户配置文件中配置的不同身份验证方法以进行身份​​验证。

SAP 中的每种身份验证方法都有自己的优势，可以用于不同的场景。