Authentification et gestion des utilisateurs

Si un utilisateur non autorisé peut accéder au système SAP sous un utilisateur autorisé connu et peut apporter des modifications de configuration et manipuler la configuration du système et les politiques clés. Si un utilisateur autorisé a accès aux données et informations importantes d'un système, cet utilisateur peut également accéder à d'autres informations critiques. Cela améliore l'utilisation de l'authentification sécurisée pour protéger la disponibilité, l'intégrité et la confidentialité d'un système utilisateur.

Mécanisme d'authentification dans un système SAP

Le mécanisme d'authentification définit la manière dont vous accédez à votre système SAP. Il existe différentes méthodes d'authentification fournies -

  • ID utilisateur et outils de gestion des utilisateurs
  • Communication réseau sécurisée
  • Billets de connexion SAP
  • Certificats clients X.509

ID utilisateur et outils de gestion des utilisateurs

La méthode d'authentification la plus courante dans un système SAP consiste à utiliser le nom d'utilisateur et le mot de passe pour se connecter. Les ID utilisateur pour se connecter sont créés par l'administrateur SAP. Pour fournir un mécanisme d'authentification sécurisé via le nom d'utilisateur et le mot de passe, il est nécessaire de définir des politiques de mot de passe qui ne permettent pas aux utilisateurs de définir un mot de passe facile à prévoir.

SAP fournit divers paramètres par défaut que vous devez définir pour définir les politiques de mot de passe: longueur du mot de passe, complexité du mot de passe, changement de mot de passe par défaut, etc.

Outils de gestion des utilisateurs dans un système SAP

SAP NetWeaver Systemfournit divers outils de gestion des utilisateurs qui peuvent être utilisés pour gérer efficacement les utilisateurs de votre environnement. Ils fournissent une méthode d'authentification très forte pour les deux types de serveurs d'applications NetWeaver - Java et ABAP.

Certains des outils de gestion des utilisateurs les plus courants sont:

Gestion des utilisateurs pour le serveur d'applications ABAP (code de transaction: SU01)

Vous pouvez utiliser le code de transaction SU01 de gestion des utilisateurs pour gérer les utilisateurs dans vos serveurs d'applications ABAP.

Gestion des identités SAP NetWeaver

Vous pouvez utiliser SAP NetWeaver Identity Management pour la gestion des utilisateurs ainsi que pour la gestion des rôles et des attributions de rôles dans votre environnement SAP.

Rôles PFCG

Vous pouvez utiliser le générateur de profils PFCG pour créer des rôles et attribuer des autorisations aux utilisateurs dans les systèmes ABAP.

Transaction Code - PFCG

Administration centrale des utilisateurs

Vous pouvez utiliser CUA pour gérer les utilisateurs de plusieurs systèmes ABAP. Vous pouvez également le synchroniser avec vos serveurs d'annuaire. À l'aide de cet outil, vous pouvez gérer toutes les fiches utilisateur de manière centralisée à partir du client du système.

Transaction Code - SCUA et créer un modèle de distribution.

Moteur de gestion des utilisateurs UME

Vous pouvez utiliser les rôles UME pour contrôler l'autorisation utilisateur dans le système. Un administrateur peut utiliser des actions qui représentent la plus petite entité du rôle UME qu'un utilisateur peut utiliser pour créer des droits d'accès.

Vous pouvez ouvrir la console d'administration UME à l'aide de l'option Administrateur SAP NetWeaver.

Politique de mot de passe

Une stratégie de mot de passe est définie comme un ensemble d'instructions qu'un utilisateur doit suivre pour améliorer la sécurité du système en utilisant des mots de passe forts et en les utilisant correctement. Dans de nombreuses organisations, la politique de mot de passe est partagée dans le cadre de la formation sur la sensibilisation à la sécurité et il est obligatoire pour les utilisateurs de maintenir la politique de sécurité des systèmes et informations critiques dans une organisation.

En utilisant la politique de mot de passe dans un système SAP, un administrateur peut configurer les utilisateurs du système pour déployer des mots de passe forts qui ne sont pas faciles à casser. Cela permet également de changer le mot de passe à intervalles réguliers pour la sécurité du système.

Les stratégies de mot de passe suivantes sont couramment utilisées dans un système SAP -

Changement de mot de passe par défaut / initial

Cela permet aux utilisateurs de changer le mot de passe initial immédiatement lors de la première utilisation.

Longueur du mot de passe

Dans un système SAP, la longueur minimale des mots de passe dans les systèmes SAP est de 3 par défaut. Cette valeur peut être modifiée à l'aide du paramètre de profil et la longueur maximale autorisée est de 8.

Transaction Code - RZ11

Parameter Name - login / min_password_lng

Vous pouvez cliquer sur la documentation du paramètre de profil pour cette politique et vous pouvez voir la documentation détaillée à partir de SAP comme suit -

Parameter - login / min_password_lng

Short text - Longueur minimale du mot de passe

Parameter Description- Ce paramètre spécifie la longueur minimale du mot de passe de connexion. Le mot de passe doit comporter au moins trois caractères. Cependant, l'administrateur peut spécifier une longueur minimale plus élevée. Ce paramètre s'applique lorsque de nouveaux mots de passe sont attribués et lorsque les mots de passe existants sont modifiés ou réinitialisés.

Application Area - Connexion

Parameter Unit - Nombre de caractères (alphanumériques)

Default Value - 6

Who is permitted to make changes? Client

Operating System Restrictions - Aucun

Database System Restrictions - Aucun

Mots de passe illégaux

Vous ne pouvez pas sélectionner le premier caractère d'un mot de passe comme point d'interrogation (?) Ou point d'exclamation (!). Vous pouvez également ajouter les autres caractères que vous souhaitez restreindre dans la table des mots de passe illégaux.

Transaction Code - Nom de la table SM30: USR40.

Une fois que vous entrez dans la table - USR40 et cliquez sur Display en haut, il vous montrera la liste de tous les mots de passe non autorisés.

Une fois que vous cliquez sur New Entries, vous pouvez entrer les nouvelles valeurs dans ce tableau et également cocher la case sensible à la casse.

Modèle de mot de passe

Vous pouvez également définir que les trois premiers caractères du mot de passe ne peuvent pas apparaître dans le même ordre dans le cadre du nom d'utilisateur. Différents modèles de mot de passe pouvant être restreints à l'aide de la politique de mot de passe comprennent:

  • Les trois premiers caractères ne peuvent pas tous être identiques.
  • Les trois premiers caractères ne peuvent pas inclure de caractères d'espacement.
  • Le mot de passe ne peut pas être PASS ou SAP.

Changement de mot de passe

Dans cette politique, un utilisateur peut être autorisé à changer son mot de passe presque une fois par jour, mais un administrateur peut réinitialiser le mot de passe d'un utilisateur aussi souvent que nécessaire.

Un utilisateur ne devrait pas être autorisé à réutiliser les cinq derniers mots de passe. Cependant, un administrateur peut réinitialiser le mot de passe précédemment utilisé par un utilisateur.

Paramètres de profil

Il existe différents paramètres de profil que vous pouvez définir dans un système SAP pour la gestion des utilisateurs et la politique de mot de passe.

Dans un système SAP, vous pouvez afficher la documentation de chaque paramètre de profil en accédant à Tools → CCMS → Configuration →Profile Maintenance(Transaction: RZ11). Entrez le nom du paramètre et cliquez surDisplay.

Dans la fenêtre suivante qui apparaît, vous devez entrer le nom du paramètre, vous pouvez voir 2 options -

Display - Pour afficher la valeur des paramètres dans le système SAP.

Display Docu - Pour afficher la documentation SAP pour ce paramètre.

Lorsque vous cliquez sur le bouton Afficher, vous serez déplacé vers Maintain Profile Parameterécran. Vous pouvez voir les détails suivants -

  • Name
  • Type
  • Les critères de sélection
  • Groupe de paramètres
  • Description des paramètres et bien d'autres

En bas, vous avez la valeur actuelle du paramètre login/min_password_lng

Lorsque vous cliquez sur Display Doc option, il affichera la documentation SAP pour le paramètre.

Description des paramètres

Ce paramètre spécifie la longueur minimale du mot de passe de connexion. Le mot de passe doit comporter au moins trois caractères. Cependant, l'administrateur peut spécifier une longueur minimale plus élevée. Ce paramètre s'applique lorsque de nouveaux mots de passe sont attribués et lorsque les mots de passe existants sont modifiés ou réinitialisés.

Chaque paramètre a une valeur par défaut, valeur autorisée comme ci-dessous -

Il existe différents paramètres de mot de passe dans un système SAP. Vous pouvez saisir chaque paramètre dans leRZ11 transaction et peut consulter la documentation.

  • login/min_password_diff
  • login/min_password_digits
  • login/min_password_letters
  • login/min_password_specials
  • login/min_password_lowercase
  • login/min_password_uppercase
  • login/disable_password_logon
  • login/password_charset
  • login/password_downwards_compatibility
  • login/password_compliance_to_current_policy

Pour modifier la valeur du paramètre, exécutez Transaction RZ10 et sélectionnez le profil comme indiqué ci-dessous -

  • Multiple application servers - Utilisez le profil DEFAULT.

  • Single Application servers - Utilisez le profil d'instance.

Sélectionner Extended Maintenance et cliquez Display.

Sélectionnez le paramètre que vous souhaitez modifier et cliquez sur Parameter au sommet.

Lorsque vous cliquez sur l'onglet Paramètre, vous pouvez changer la valeur du paramètre dans une nouvelle fenêtre. Vous pouvez également créer le nouveau paramètre en cliquant surCreate (F5).

Vous pouvez également voir l'état du paramètre dans cette fenêtre. Saisissez la valeur du paramètre et cliquez surCopy.

Vous serez invité à enregistrer lorsque vous quitterez l'écran. Cliquez sur Oui pour enregistrer la valeur du paramètre.