Sécurité SAP - Protection des utilisateurs standard
Lorsque vous installez le système SAP pour la première fois, quelques utilisateurs par défaut sont créés pour effectuer des tâches administratives. Par défaut, il crée trois clients dans l'environnement SAP, qui sont -
Client 000 - Client de référence SAP
Client 001 - Client modèle de SAP
Client 066 - Client SAP Early Watch
SAP crée des utilisateurs standard dans le client mentionné ci-dessus dans le système. Chaque utilisateur standard a son propre mot de passe par défaut lors de la première installation.
Les utilisateurs standard dans un système SAP incluent les utilisateurs suivants sous le client par défaut -
| Utilisateur | Détails | Client | Mot de passe par défaut |
|---|---|---|---|
| SÈVE | Super utilisateur du système SAP | 000, 001, 066 | 6071992 |
| Tous les nouveaux clients | PASSER | ||
| DDIC | Super utilisateur du dictionnaire ABAP | 000, 001 | 19920706 |
| SAPCPIC | Utilisateur CPI-C pour SAP | 000, 001 | admin |
| EARLYWATCH | Utilisateur Early Watch | 66 | soutien |
Il s'agit des utilisateurs standard sous les clients SAP par défaut pour effectuer des tâches d'administration et de configuration dans le système SAP. Pour maintenir la sécurité dans un système SAP, vous devez protéger ces utilisateurs -
Vous devez ajouter ces utilisateurs au groupe SUPER, afin qu'ils ne soient modifiés que par un administrateur qui a le privilège d'ajouter / modifier des utilisateurs au groupe SUPER.
Le mot de passe par défaut des utilisateurs standard doit être modifié.
Comment voir la liste des clients dans un système SAP?
Vous pouvez voir la liste de tous les clients de votre environnement SAP en utilisant Transaction SM30, affichez le tableau T000.
Lorsque vous entrez dans le tableau, et cliquez sur Display, il vous montrera la liste de tous les clients de votre système SAP. Ce tableau comprend des détails sur tous les clients par défaut et les nouveaux clients que vous créez dans un environnement pour le partage de ressources.
Vous pouvez utiliser le rapport RSUSR003 pour vérifier que l'utilisateur SAP a été créé dans tous les clients et que les mots de passe standard ont été modifiés pour SAP, DDIC et SAPCPIC.
Aller à ABAP Editor SE38 et entrez le nom du rapport et cliquez sur EXECUTER.
Entrez le titre du rapport et cliquez sur Executebouton. Il affichera tous les clients et utilisateurs standard dans le système SAP, l'état du mot de passe, le verrouillage de la raison d'utilisation, le début de validité et le délai de validité, etc.
Protection du super utilisateur du système SAP
Pour protéger un super utilisateur système SAP «SAP», vous pouvez effectuer les étapes suivantes dans un système:
Step 1- Vous devez définir le nouveau super utilisateur dans un système SAP et désactiver l'utilisateur SAP. Notez que vous ne devez pas supprimer l'utilisateur SAP dans le système. Pour désactiver l'utilisateur codé en dur, vous pouvez utiliser le paramètre de profil:login/no_automatic_user_sapstar.
Si la fiche utilisateur de l'utilisateur SAP * est supprimée, il est possible de se connecter avec «SAP» et le mot de passe initial PASS.
L'utilisateur «SAP» possède les propriétés suivantes -
L'utilisateur dispose des autorisations complètes, car aucun contrôle d'autorisation n'est effectué.
Le mot de passe par défaut PASS ne peut pas être modifié.
Vous pouvez utiliser le paramètre de profil login/no_automatic_user_sapstar pour désactiver ces propriétés spéciales de SAP et pour contrôler la connexion automatique de l'utilisateur SAP *.
Step 2 - Pour vérifier la valeur de ce paramètre, exécutez Transaction RZ11 et entrez le nom du paramètre.
Values allowed - 0, 1, où -
0 - L'utilisateur automatique SAP * est autorisé.
1 - L'utilisateur automatique SAP * est désactivé.
Step 3 - Dans le système suivant, vous pouvez voir que la valeur de ce paramètre est définie sur 1. Cela indique que le super utilisateur «SAP» est désactivé dans le système.
Step 4 - Cliquez sur Display et vous pouvez voir la valeur actuelle de ce paramètre.
Pour créer un nouveau super utilisateur dans le système, définissez une nouvelle fiche utilisateur et attribuez le profil SAP_ALL à ce super utilisateur.
Protection des utilisateurs DDIC
Un utilisateur DDIC est requis pour certaines tâches liées à la logistique logicielle, au dictionnaire ABAP et aux tâches liées à l'installation et à la mise à niveau. Pour protéger cet utilisateur, il est conseillé de verrouiller cet utilisateur dans un système SAP. Vous ne devez pas supprimer cet utilisateur pour exécuter quelques fonctionnalités pour une utilisation future.
Pour verrouiller l'utilisateur, utilisez le code de transaction: SU01.
Si vous souhaitez protéger cet utilisateur, vous pouvez attribuer le SAP_ALL l'autorisation à cet utilisateur au moment de l'installation et le verrouiller plus tard.
Protéger l'utilisateur SAPCPIC
Un utilisateur SAPCPIC est utilisé pour appeler certains programmes et modules fonction dans un système SAP et n'est pas un utilisateur de dialogue.
Vous devez verrouiller cet utilisateur et modifier le mot de passe de cet utilisateur pour le protéger. Dans les versions précédentes, lorsque vous verrouillez l'utilisateur SAPCPIC ou modifiez le mot de passe, cela affecte les programmes supplémentaires RSCOLL00, RSCOLL30 et LSYPGU01.
Protéger Early Watch
A 066 Client - Ceci s'appelle SAP Early Watch et est utilisé pour les analyses de diagnostic et le service de surveillance dans le système SAP et l'utilisateur EARLYWATCH est l'utilisateur interactif du service Early Watch dans le client 066. Pour sécuriser cet utilisateur, vous pouvez effectuer les actions suivantes:
- Verrouillez l'utilisateur EARLYWATCH jusqu'à ce qu'il ne soit plus requis dans un environnement SAP.
- Modifiez le mot de passe par défaut de cet utilisateur.
Points clés
Pour protéger les utilisateurs SAP Standard et pour protéger les clients dans le paysage SAP, vous devez tenir compte des points clés suivants:
Vous devez gérer correctement les clients dans un système SAP et vous assurer qu'aucun client inconnu n'existe.
Vous devez vous assurer que le super utilisateur SAP «SAP» existe et a été désactivé dans tous les clients.
Vous devez vous assurer que le mot de passe par défaut est modifié pour tous les utilisateurs SAP standard Utilisateur SAP, DDIC et EARLYWATCH.
Vous devez vous assurer que tous les utilisateurs Standard ont été ajoutés au groupe SUPER dans un système SAP et que la seule personne autorisée à apporter des modifications au groupe SUPER ne peut modifier que ces utilisateurs.
Vous devez vous assurer que le mot de passe par défaut pour SAPCPIC a été modifié et que cet utilisateur est verrouillé et déverrouillé lorsque cela est nécessaire.
Tous les utilisateurs standard SAP doivent être verrouillés et ne peuvent être déverrouillés que lorsque cela est nécessaire. Le mot de passe doit être bien protégé pour tous ces utilisateurs.
Comment changer le mot de passe d'un utilisateur standard?
Vous devez vous assurer que le mot de passe de tous les utilisateurs standard SAP doit être modifié dans tous les clients gérés dans Table T000 et l'utilisateur «SAP» doit exister pour tous les clients.
Pour changer le mot de passe, connectez-vous avec Super utilisateur. Entrez l'ID utilisateur dans le champ Nom d'utilisateur pour lequel vous souhaitez modifier le mot de passe. Cliquez sur l'option Modifier le mot de passe comme indiqué dans la capture d'écran suivante -
Entrez le nouveau mot de passe, répétez le mot de passe et cliquez sur Apply. Vous devez répéter le même processus pour tous les utilisateurs standard.
