Désautorisation des protections de connexion
Pour mettre en œuvre la sécurité dans un système SAP, il est nécessaire de surveiller les échecs de connexion dans un environnement SAP. Quand quelqu'un essaie de se connecter à un système en utilisant un mot de passe incorrect, le système doit soit verrouiller le nom d'utilisateur pendant un certain temps, soit cette session doit être interrompue après un nombre défini de tentatives.
Différents paramètres de sécurité peuvent être définis pour les tentatives de connexion non autorisées -
- Mettre fin à une session
- Verrouiller l'utilisateur
- Activation des économiseurs d'écran
- Surveillance des tentatives de connexion infructueuses
- Enregistrement des tentatives de connexion
Examinons maintenant chacun de ces éléments en détail.
Mettre fin à une session
Lorsqu'il y a plusieurs tentatives de connexion infructueuses effectuées sur un seul identifiant d'utilisateur, le système met fin à la session pour cet utilisateur. Cela doit être envoyé en utilisant un paramètre de profil -login/fails_to_session_end.
Pour modifier la valeur du paramètre, exécutez Transaction RZ10et sélectionnez le profil comme indiqué dans la capture d'écran suivante. Sélectionnez Maintenance étendue et cliquez surDisplay.
Sélectionnez le paramètre que vous souhaitez modifier et cliquez sur le Parameter bouton en haut comme indiqué ci-dessous.
Lorsque vous cliquez sur l'onglet Paramètre, vous pouvez modifier la valeur du paramètre dans une nouvelle fenêtre. Vous pouvez également créer le nouveau paramètre en cliquant sur leCreate (F5) bouton.
Pour voir les détails de ce paramètre, exécutez le code de transaction: RZ11 et entrez le nom du profil - login/fails_to_session_end et le clic sur Display Document.
Parameter - login / échoue_à_session_end
Short text - Nombre de tentatives de connexion non valides jusqu'à la fin de la session.
Parameter Description - Nombre de tentatives de connexion non valides pouvant être effectuées avec une fiche utilisateur jusqu'à ce que la procédure de connexion soit terminée.
Application Area - Connexion
Default Value - 3
Who is permitted to make changes? - Client
Operating System Restrictions - Aucun
Database System Restrictions - Aucun
Are other parameters affected or dependent? - Aucun
Values allowed - 1 - 99
Dans la capture d'écran ci-dessus, vous pouvez voir que la valeur de ce paramètre est définie sur 3, c'est-à-dire également la valeur par défaut. Après 3 tentatives de connexion infructueuses, la session sera terminée pour un seul utilisateur.
Verrouiller l'utilisateur
Vous pouvez également vérifier un ID utilisateur spécifique, si un nombre défini de tentatives de connexion infructueuses consécutives est dépassé sous un seul ID utilisateur. Définissez le nombre de tentatives de connexion non valides autorisées dans le paramètre de profil:login/fails_to_user_lock.
Il est possible de définir un verrou sur des ID utilisateur spécifiques.
Les verrous sont appliqués sur un identifiant d'utilisateur jusqu'à minuit. Cependant, il peut également être supprimé manuellement à tout moment par un administrateur système.
Dans un système SAP, vous pouvez également définir une valeur de paramètre qui permet de verrouiller l'ID utilisateur jusqu'à ce qu'il soit supprimé manuellement. Le nom du paramètre:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Chaque fois qu'un mot de passe de connexion incorrect est saisi, le compteur d'échec de connexion pour la fiche utilisateur correspondante est augmenté. Les tentatives de connexion peuvent être enregistrées dans le journal d'audit de sécurité. Si la limite spécifiée par ce paramètre est dépassée, l'utilisateur concerné est verrouillé. Ce processus est également enregistré dans Syslog.
Le verrou n'est plus valide après la fin de la journée en cours. (Autre condition -login / failed_user_auto_unlock)
Le compteur d'échec de connexion est réinitialisé une fois que l'utilisateur se connecte avec le mot de passe correct. Les ouvertures de session qui ne sont pas basées sur un mot de passe n'ont aucun effet sur le compteur d'échec d'ouverture de session. Cependant, les verrous de connexion actifs sont vérifiés pour chaque ouverture de session.
Values allowed - 1 - 99
Pour voir la valeur actuelle de ce paramètre, utilisez T-Code: RZ11.
Parameter name - login / failed_user_auto_unlock
Short text - Désactivez le déverrouillage automatique de l'utilisateur verrouillé à minuit.
Parameter Description- Contrôle le déverrouillage des utilisateurs verrouillés en se connectant de manière incorrecte. Si le paramètre est défini sur 1, les verrous qui ont été définis en raison d'échecs de tentatives de connexion par mot de passe ne s'appliquent que le même jour (comme le verrouillage). Si le paramètre est défini sur 0, les verrous restent actifs.
Application Area - Connexion.
Default Value - 0.
Activation des économiseurs d'écran
Les administrateurs système peuvent également activer les économiseurs d'écran pour protéger l'écran frontal de tout accès non autorisé. Ces économiseurs d'écran peuvent être protégés par mot de passe.
Surveillance des tentatives de connexion infructueuses et enregistrement des tentatives de connexion
Dans un système SAP, vous pouvez utiliser le rapport RSUSR006pour vérifier si des utilisateurs ont tenté des tentatives de connexion infructueuses dans le système. Ce rapport contient des détails sur le nombre de tentatives de connexion incorrectes par un utilisateur et les verrous de l'utilisateur et vous pouvez planifier ce rapport selon vos besoins.
Aller à ABAP Editor SE38 et entrez le nom du rapport puis cliquez sur EXECUTE.
Dans ce rapport, vous avez différents détails tels que Nom d'utilisateur, Type, Créé le, Créateur, Mot de passe, Verrouillage et Détails de connexion incorrects.
Dans un système SAP, il est également possible que vous utilisiez Security Audit Log (transactions SM18, SM19 et SM20) pour enregistrer toutes les tentatives de connexion réussies et infructueuses. Vous pouvez analyser les journaux d'audit de sécurité à l'aide de la transaction SM20, mais l'audit de sécurité doit être activé dans le système pour surveiller les journaux d'audit de sécurité.
Déconnexion des utilisateurs inactifs
Lorsqu'un utilisateur est déjà connecté à un système SAP et que la session est inactive pendant une période spécifique, vous pouvez également le configurer pour qu'il se déconnecte pour éviter tout accès non autorisé.
Pour activer ce paramètre, vous devez spécifier cette valeur dans le paramètre de profil: rdisp/gui_auto_logout.
Parameter Description- Vous pouvez définir que les utilisateurs SAP GUI inactifs sont automatiquement déconnectés d'un système SAP après une période prédéfinie. Le paramètre configure cette fois. La déconnexion automatique dans le système SAP est désactivée par défaut (valeur 0), c'est-à-dire que les utilisateurs ne sont pas déconnectés même s'ils n'exécutent aucune action pendant une période plus longue.
Values allowed- n [unité], où n> = 0 et Unité = S | M | H | ré
Pour voir la valeur actuelle du paramètre, exécutez T-Code: RZ11.
Le tableau suivant présente la liste des paramètres clés, leur valeur par défaut et leur valeur autorisée dans un système SAP -
| Paramètre | La description | Défaut | Valeur autorisée |
|---|---|---|---|
| Connexion / échecs_à_session_end | Nombre de tentatives de connexion non valides jusqu'à la fin de la session | 3 | 1 à 99 |
| Login / fail_to_user_lock | Nombre de tentatives de connexion non valides jusqu'au verrouillage de l'utilisateur | 12 | 1 à 99 |
| Login / failed_user_auto_unlock | Lorsque les valeurs t 1: les verrous s'appliquent le jour de leur activation et sont supprimés le jour suivant lorsque l'utilisateur se connecte | 1 | 0 ou 1 |
| rdisp / gui_auto_output | Temps d'inactivité maximal pour un utilisateur en nombre de secondes | 0 (pas de limite) | libre |