Sap-security-quick-guide
SAPセキュリティ-概要
SAP分散環境では、重要な情報とデータを不正アクセスから保護する必要が常にあります。 人的エラー、不正アクセスプロビジョニングは、システムへの不正アクセスを許可すべきではありません。SAP環境のプロファイルポリシーとシステムセキュリティポリシーを維持および確認する必要があります。
システムを安全にするには、システムで使用されるユーザーアクセスプロファイル、パスワードポリシー、データ暗号化、および承認方法を十分に理解する必要があります。 * SAPシステムランドスケープ*を定期的にチェックし、構成およびアクセスプロファイルで行われたすべての変更を監視する必要があります。
標準のスーパーユーザーは十分に保護し、ユーザープロファイルのパラメーターと値はシステムのセキュリティ要件を満たすように慎重に設定する必要があります。
ネットワークを介して通信する際には、ネットワークトポロジを理解する必要があります。ネットワークサービスは、十分なチェックの後に確認して有効にする必要があります。 ネットワーク上のデータは、秘密鍵を使用して十分に保護する必要があります。
セキュリティが必要な理由
分散環境で情報にアクセスするには、重要な情報とデータが不正アクセスに漏洩し、パスワードポリシーの欠如、標準のスーパーユーザーのメンテナンス不足、またはその他の理由によりシステムセキュリティが破損する可能性があります。
SAPシステムのアクセス違反の主な理由は次のとおりです-
- 強力なパスワードポリシーは維持されません。
- 標準ユーザー、スーパーユーザー、DBユーザーは適切に管理されておらず、パスワードは定期的に変更されていません。
- プロファイルパラメータが正しく定義されていません。
- 失敗したログオン試行は監視されず、アイドルユーザーセッションの終了ポリシーは定義されません。
- インターネット経由でデータを送信し、暗号化キーを使用しない場合、ネットワーク通信のセキュリティは考慮されません。
- データベースユーザーは適切に維持されず、情報データベースのセットアップ中にセキュリティ対策は考慮されません。
- シングルサインオンは、SAP環境で適切に構成および維持されていません。
上記のすべての理由を克服するには、SAP環境でセキュリティポリシーを定義する必要があります。 セキュリティパラメータを定義し、パスワードポリシーを定期的に確認する必要があります。
データベースセキュリティは、SAP環境を保護する重要なコンポーネントの1つです。 そのため、データベースユーザーを管理し、パスワードが適切に保護されていることを確認する必要があります。
次のセキュリティメカニズムをシステムに適用して、不正アクセスからSAP環境を保護する必要があります-
- ユーザー認証と管理
- ネットワーク通信セキュリティ
- 標準ユーザーとスーパーユーザーの保護
- ログオン保護の失敗
- プロファイルパラメータとパスワードポリシー
- UnixおよびWindowsプラットフォームのSAPシステムセキュリティ
- シングルサインオンの概念
そのため、分散環境ではSAPシステムのセキュリティが必要であり、重要な情報への不正アクセスを許可することなく、データとプロセスがビジネスニーズをサポートしていることを確認する必要があります。 SAPシステムでは、人為的ミス、過失、またはシステムでの操作の試行により、重要な情報が失われる可能性があります。
ユーザー認証と管理
許可されていないユーザーが既知の許可されたユーザーの下でSAPシステムにアクセスでき、構成を変更し、システム構成とキーポリシーを操作できる場合。 承認されたユーザーがシステムの重要なデータと情報にアクセスできる場合、そのユーザーは他の重要な情報にもアクセスできます。 これにより、安全な認証の使用が強化され、ユーザーシステムの可用性、整合性、プライバシーが保護されます。
SAPシステムの認証メカニズム
認証メカニズムは、SAPシステムへのアクセス方法を定義します。 提供されているさまざまな認証方法があります-
- ユーザーIDとユーザー管理ツール
- 安全なネットワーク通信
- SAPログオンチケット
- X.509クライアント証明書
ユーザーIDとユーザー管理ツール
SAPシステムでの最も一般的な認証方法は、ユーザー名とパスワードを使用してログインすることです。 ログインするユーザーIDは、SAP管理者によって作成されます。 ユーザー名とパスワードを介して安全な認証メカニズムを提供するには、ユーザーが簡単に予測できるパスワードを設定できないようにするパスワードポリシーを定義する必要があります。
SAPは、パスワードポリシー-パスワードの長さ、パスワードの複雑さ、デフォルトのパスワード変更などを定義するために設定する必要があるさまざまなデフォルトパラメータを提供します
SAPシステムのユーザー管理ツール
*SAP NetWeaver System* は、環境内のユーザーを効果的に管理するために使用できるさまざまなユーザー管理ツールを提供します。 これらは、JavaとABAPの両方のタイプのNetWeaverアプリケーションサーバーに非常に強力な認証方法を提供します。
最も一般的なユーザー管理ツールのいくつかは-
ABAPアプリケーションサーバーのユーザー管理(トランザクションコード:SU01)
ユーザー管理Transaction-Code SU01を使用して、ABAPベースのアプリケーションサーバーでユーザーを管理できます。
SAP NetWeaver Identity Management
SAP NetWeaver Identity Managementを使用して、ユーザー環境の管理だけでなく、SAP環境のロールとロールの割り当てを管理できます。
PFCGの役割
プロファイルジェネレータPFCGを使用して、ロールを作成し、ABAPベースのシステムのユーザーに権限を割り当てることができます。
トランザクションコード-PFCG
集中ユーザー管理
CUAを使用して、複数のABAPベースのシステムのユーザーを管理できます。 ディレクトリサーバーと同期することもできます。 このツールを使用すると、システムのクライアントからすべてのユーザーマスタレコードを一元管理できます。
トランザクションコード-SCUAおよび配布モデルを作成します。
ユーザー管理エンジンUME
UMEロールを使用して、システム内のユーザー認証を制御できます。 管理者は、ユーザーがアクセス権を構築するために使用できるUMEロールの最小のエンティティを表すアクションを使用できます。
SAP NetWeaver Administratorオプションを使用してUME管理コンソールを開くことができます。
パスワードポリシー
パスワードポリシーは、強力なパスワードを使用して適切に使用することにより、システムのセキュリティを向上させるために従う必要がある一連の指示として定義されます。 多くの組織では、パスワードポリシーはセキュリティ意識向上トレーニングの一環として共有されており、ユーザーが組織内の重要なシステムおよび情報のセキュリティポリシーを維持することは必須です。
管理者は、SAPシステムでパスワードポリシーを使用して、簡単に解読できない強力なパスワードを展開するようにシステムユーザーをセットアップできます。 これは、システムセキュリティのために定期的にパスワードを変更するのにも役立ちます。
次のパスワードポリシーは、SAPシステムで一般的に使用されています-
デフォルト/初期パスワード変更
これにより、ユーザーは最初に使用するときにすぐに初期パスワードを変更できます。
パスワードの長さ
SAPシステムでは、SAPシステムのパスワードの最小長はデフォルトで3です。 この値は、プロファイルパラメーターを使用して変更でき、許可される最大長は8です。
トランザクションコード-RZ11
パラメータ名-login/min_password_lng
このポリシーのプロファイルパラメータのドキュメントをクリックすると、次のようにSAPから詳細なドキュメントを見ることができます-
パラメータ-login/min_password_lng
短いテキスト-パスワードの最小の長さ
パラメータの説明-このパラメータは、ログオンパスワードの最小長を指定します。 パスワードには少なくとも3文字が必要です。 ただし、管理者はより長い最小長を指定できます。 この設定は、新しいパスワードが割り当てられたとき、および既存のパスワードが変更またはリセットされたときに適用されます。
アプリケーションエリア-ログオン
パラメータ単位-文字数(英数字)
デフォルト値-6
- 誰が変更を加えることができますか?*顧客
オペレーティングシステムの制限-なし
データベースシステムの制限-なし
不正なパスワード
パスワードの最初の文字を疑問符(?)または感嘆符(!)として選択することはできません。 無効なパスワードテーブルに制限する他の文字を追加することもできます。
トランザクションコード-SM30テーブル名:USR40。
*USR40* の表を入力し、上部の[表示]をクリックすると、許可されていないすべてのパスワードのリストが表示されます。
[新しいエントリ]をクリックすると、このテーブルに新しい値を入力し、大文字と小文字を区別するチェックボックスを選択できます。
パスワードパターン
パスワードの最初の3文字をユーザー名の一部と同じ順序で表示できないように設定することもできます。 パスワードポリシーを使用して制限できるさまざまなパスワードパターンには、次のものがあります-
- 最初の3文字をすべて同じにすることはできません。
- 最初の3文字にスペース文字を含めることはできません。
- パスワードをPASSまたはSAPにすることはできません。
パスワードの変更
このポリシーでは、ユーザーは1日にほぼ1回パスワードを変更できますが、管理者は必要に応じて何度でもユーザーのパスワードをリセットできます。
ユーザーが最後の5つのパスワードを再利用することを許可しないでください。 ただし、管理者は以前にユーザーが使用したパスワードをリセットできます。
プロファイルパラメータ
ユーザー管理とパスワードポリシーのためにSAPシステムで定義できるさまざまなプロファイルパラメータがあります。
SAPシステムでは、ツール→CCMS→設定→プロファイル更新(トランザクション:RZ11)に移動して、各プロファイルパラメータのドキュメントを表示できます。 パラメータ名を入力し、*表示*をクリックします。
表示される次のウィンドウでは、パラメータ名を入力する必要があります、あなたは2つのオプションを見ることができます-
表示-SAPシステムのパラメータの値を表示します。
*Display Docu* -そのパラメーターのSAPドキュメントを表示します。
[表示]ボタンをクリックすると、[プロファイルパラメータの維持]画面に移動します。 あなたは次の詳細を見ることができます-
- Name
- Type
- 選択基準
- パラメータグループ
- パラメータの説明など
下部には、パラメータ login/min_password_lng の現在の値があります
[*ドキュメントの表示]オプションをクリックすると、パラメータのSAPドキュメントが表示されます。
パラメータ説明
このパラメーターは、ログオンパスワードの最小長を指定します。 パスワードには少なくとも3文字が必要です。 ただし、管理者はより長い最小長を指定できます。 この設定は、新しいパスワードが割り当てられたとき、および既存のパスワードが変更またはリセットされたときに適用されます。
各パラメータにはデフォルト値があり、許容値は以下のとおりです-
SAPシステムには、さまざまなパスワードパラメータがあります。 RZ11 トランザクションで各パラメーターを入力し、ドキュメントを表示できます。
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
パラメーター値を変更するには、 Transaction RZ10 を実行し、以下に示すようにプロファイルを選択します-
複数のアプリケーションサーバー-デフォルトプロファイルを使用します。
シングルアプリケーションサーバー-インスタンスプロファイルを使用します。
*Extended Maintenance* を選択し、 *Display* をクリックします。
変更するパラメーターを選択し、上部の[パラメーター]をクリックします。
[パラメータ]タブをクリックすると、新しいウィンドウでパラメータの値を変更できます。 * Create(F5)*をクリックして、新しいパラメーターを作成することもできます。
このウィンドウでパラメータのステータスを確認することもできます。 パラメータ値を入力し、[コピー]をクリックします。
画面を終了すると、保存するように求められます。 [はい]をクリックして、パラメーター値を保存します。
SAPセキュリティ-ネットワーク通信
- Secure Network Communication(SNC)*は、安全な認証方法を使用してアプリケーションサーバーにログインするためにも使用できます。 Windows用のSAP GUIを介して、またはRFC接続を使用して、ユーザー認証にSNCを使用できます。
SNCは外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。 公開キーインフラストラクチャPKIなどのセキュリティ対策、およびキーペアを生成および配布する手順を使用できます。
脅威を排除し、ネットワーク攻撃を防ぐことができるネットワークトポロジを定義する必要があります。 ユーザーがアプリケーションまたはデータベースレイヤーにログインできない場合、攻撃者はSAPシステムまたはデータベースシステムにアクセスして重要な情報にアクセスできません。
明確に定義されたネットワークトポロジでは、侵入者が会社のLANに接続できないため、ネットワークサービスまたはSAPシステムのセキュリティループホールにアクセスできません。
SAPシステムのネットワークトポロジ
物理ネットワークアーキテクチャは、SAPシステムのサイズに完全に依存します。 SAPシステムは一般にクライアント/サーバーアーキテクチャで実装され、各システムは一般に次の3つの層に分割されます-
- データベース層
- アプリケーション層
- プレゼンテーション層
SAPシステムが小さい場合、アプリケーションとデータベースサーバーが別々にならない場合があります。 ただし、大規模なシステムでは、多くのアプリケーションサーバーがデータベースサーバーおよび複数のフロントエンドと通信します。 これにより、システムのネットワークトポロジが単純なものから複雑なものまで定義され、ネットワークトポロジを整理する際にさまざまなシナリオを検討する必要があります。
大規模な組織では、アプリケーションとデータベースサーバーを異なるマシンにインストールし、フロントエンドシステムとは別のLANに配置することをお勧めします。
次の図では、SAPシステムの優先ネットワークトポロジを確認できます-
データベースとアプリケーションサーバーをフロントエンドVLANとは別のVLANに配置すると、アクセス制御システムを改善できるため、SAPシステムのセキュリティが向上します。 フロントエンドシステムは異なるVLANにあるため、サーバーVLANにアクセスしてSAPシステムのセキュリティをバイパスすることは簡単ではありません。
SAPネットワークサービス
SAPシステムにはさまざまなサービスが有効になっていますが、SAPシステムの実行に必要なサービスはごくわずかです。 SAPシステムでは、 Landscape 、 Database 、および Application Servers がネットワーク攻撃の最も一般的な標的です。 これらのサーバーへのアクセスを許可する多くのネットワークサービスがランドスケープで実行されており、これらのサービスは慎重に監視する必要があります。
Window/UNIXマシンでは、これらのサービスは /etc/services で維持されます。 次のパスに移動することにより、Windowsマシンでこのファイルを開くことができます-
*system32/drivers/etc/services*
このファイルをメモ帳で開き、サーバーでアクティブになっているすべてのサービスを確認できます-
ランドスケープサーバー上の不要なサービスをすべて無効にすることをお勧めします。 これらのサービスには、不正なアクセスを取得するために侵入者が使用できるいくつかのエラーが含まれることがあります。 これらのサービスを無効にすると、ネットワークが攻撃される可能性が低くなります。
高レベルのセキュリティを確保するには、SAP環境で静的パスワードファイルを使用することもお勧めします。
秘密鍵
SNCは外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。 *公開キーインフラストラクチャ(PKI)*などのセキュリティ対策やその他の手順を使用して、キーペアを生成および配布し、ユーザーの秘密キーが適切に保護されるようにします。
ネットワーク認証のために秘密鍵を保護するさまざまな方法があります-
- ハードウェアソリューション
- ソフトウェアソリューション
それらについて詳しく説明しましょう。
ハードウェアソリューション
個々のユーザーにスマートカードを発行するハードウェアソリューションを使用して、ユーザーの秘密キーを保護できます。 すべてのキーはスマートカードに保存され、ユーザーは指紋またはPINパスワードを使用して、生体認証を介してスマートカードに対して認証する必要があります。
これらのスマートカードは、個々のユーザーごとに盗難や紛失から保護する必要があり、ユーザーはそのカードを使用してドキュメントを暗号化できます。
ユーザーは、スマートカードを共有したり、他のユーザーに提供したりすることはできません。
ソフトウェアソリューション
ソフトウェアソリューションを使用して、個々のユーザーの秘密キーを保存することもできます。 ソフトウェアソリューションは、ハードウェアソリューションと比較して安価なソリューションですが、安全性も劣ります。
ユーザーがファイルおよびユーザーの詳細に秘密鍵を保存する場合、不正アクセスのためにそれらのファイルを保護する必要があります。
SAPセキュリティ-標準ユーザーの保護
SAPシステムを初めてインストールするとき、管理タスクを実行するために作成されるいくつかのデフォルトユーザーがいます。 デフォルトでは、SAP環境に3つのクライアントを作成します。
- クライアント000-SAP Reference Client
- クライアント001-SAPのテンプレートクライアント
- クライアント066-SAP Early Watch Client
SAPは、システム内の上記のクライアントに標準ユーザーを作成します。 各標準ユーザーには、最初のインストール時に独自のデフォルトパスワードがあります。
SAPシステムの標準ユーザーには、デフォルトクライアントの下に次のユーザーが含まれます-
User
詳細
クライアント
デフォルトのパスワード
SAP
SAPシステムのスーパーユーザー
000、001、066
6071992
すべての新規クライアント
PASS
DDIC
ABAP辞書スーパーユーザー
000、001
19920706
SAPCPIC
SAPのCPI-Cユーザー
000、001
管理者
アーリーウォッチ
早期監視ユーザー
66
サポート
これらは、SAPシステムで管理タスクと構成タスクを実行するSAPデフォルトクライアントの下の標準ユーザーです。 SAPシステムのセキュリティを維持するには、これらのユーザーを保護する必要があります-
- これらのユーザーをグループSUPERに追加して、ユーザーをグループSUPERに追加/変更する権限を持つ管理者のみが変更できるようにする必要があります。
- 標準ユーザーのデフォルトパスワードは変更する必要があります。
SAPシステムでクライアントのリストを表示する方法は?
トランザクション SM30 を使用してSAP環境のすべてのクライアントのリストを表示し、テーブル T000 を表示できます。
テーブルを入力して*表示*をクリックすると、SAPシステム内のすべてのクライアントのリストが表示されます。 この表には、すべてのデフォルトクライアントと、リソースを共有する環境で作成する新しいクライアントの詳細が含まれています。
レポート RSUSR003 を使用して、ユーザーSAPがすべてのクライアントで作成され、SAP、DDIC、およびSAPCPICの標準パスワードが変更されていることを確認できます。
*ABAP Editor SE38* に移動し、レポート名を入力して、EXECUTEをクリックします。
レポートのタイトルを入力し、[実行]ボタンをクリックします。 SAPシステム内のすべてのクライアントと標準ユーザー、パスワードステータス、使用理由ロック、有効開始日と有効終了日などが表示されます。
SAPシステムのスーパーユーザーの保護
SAPシステムスーパーユーザー「SAP」を保護するために、システムで次の手順を実行できます-
ステップ1 *-SAPシステムで新しいスーパーユーザーを定義し、SAPユーザーを無効にする必要があります。 システム内のユーザーSAPを削除しないでください。 ハードコーディングされたユーザーを無効にするには、プロファイルパラメータ login/no_automatic_user_sapstar。*を使用できます。
ユーザーSAP *のユーザーマスタレコードが削除された場合、「SAP」と初期パスワードPASSでログオンできます。
「SAP」ユーザーには次のプロパティがあります-
許可検査は実行されないため、ユーザーには完全な許可があります。
- デフォルトのパスワードPASSは変更できません。
- プロファイルパラメータ login/no_automatic_user_sapstar を使用して、SAPのこれらの特別なプロパティを無効にし、ユーザーSAP *の自動ログインを制御できます。
ステップ2 *-このパラメーターの値を確認するには、トランザクション *RZ11 を実行し、パラメーター名を入力します。
許可される値-0、1、ここで-
- 0 -自動ユーザーSAP *は許可されます。
- 1 -自動ユーザーSAP *は無効化されています。
- ステップ3 *-次のシステムでは、このパラメーターの値が1に設定されていることがわかります。 これは、スーパーユーザー「SAP」がシステムで非アクティブ化されていることを示しています。
- ステップ4 *-*表示*をクリックすると、このパラメーターの現在の値が表示されます。
システムに新しいスーパーユーザーを作成するには、新しいユーザーマスターレコードを定義し、このスーパーユーザーにプロファイル SAP_ALL を割り当てます。
DDICユーザー保護
ソフトウェアロジスティクス、ABAPディクショナリに関連する特定のタスク、およびインストールとアップグレードに関連するタスクには、DDICユーザーが必要です。 このユーザーを保護するには、SAPシステムでこのユーザーをロックすることをお勧めします。 将来使用するためにいくつかの機能を実行するために、このユーザーを削除しないでください。
ユーザーをロックするには、トランザクションコード: SU01 を使用します。
このユーザーを保護する場合は、インストール時にこのユーザーに SAP_ALL 許可を割り当て、後でロックすることができます。
SAPCPICユーザーの保護
SAPCPICユーザーは、SAPシステムで特定のプログラムおよび機能モジュールを呼び出すために使用され、非ダイアログユーザーです。
このユーザーをロックし、このユーザーのパスワードを変更して保護する必要があります。 以前のリリースでは、SAPCPICユーザーをロックするか、パスワードを変更すると、追加プログラムRSCOLL00、RSCOLL30、およびLSYPGU01に影響します。
アーリーウォッチの保護
066クライアント-これはSAPアーリーウォッチと呼ばれ、SAPシステムの診断スキャンと監視サービスに使用されます。ユーザーEARLYWATCHは、クライアント066のアーリーウォッチサービスのインタラクティブユーザーです。 このユーザーを保護するために、次のアクションを実行できます-
- SAP環境で不要になるまでEARLYWATCHユーザーをロックします。
- このユーザーのデフォルトのパスワードを変更します。
キーポイント
SAP標準ユーザーを保護し、SAPランドスケープのクライアントを保護するには、次の重要な点を考慮する必要があります-
- SAPシステムでクライアントを適切に管理し、未知のクライアントが存在しないことを確認する必要があります。
- SAPスーパーユーザー「SAP」が存在し、すべてのクライアントで非アクティブ化されていることを確認する必要があります。
- すべてのSAP標準ユーザーSAP、DDIC、EARLYWATCHユーザーのデフォルトパスワードが変更されていることを確認する必要があります。
- すべての標準ユーザーがSAPシステムのSUPERグループに追加されており、SUPERグループに変更を加える権限を持つ唯一のユーザーがこれらのユーザーのみを編集できることを確認する必要があります。
- SAPCPICのデフォルトのパスワードが変更され、このユーザーがロックされており、必要に応じてロックが解除されていることを確認する必要があります。
- すべてのSAP標準ユーザーはロックする必要があり、必要な場合にのみロック解除できます。 これらのすべてのユーザーに対してパスワードを十分に保護する必要があります。
標準ユーザーのパスワードを変更するには?
*Table T000* で管理されているすべてのクライアントですべてのSAP標準ユーザーのパスワードを変更し、すべてのクライアントにユーザー「SAP」が存在することを確認する必要があります。
パスワードを変更するには、スーパーユーザーでログインします。 パスワードを変更する[ユーザー名]フィールドにユーザーIDを入力します。 次のスクリーンショットに示すように、[パスワードの変更]オプションをクリックします-
新しいパスワードを入力し、パスワードを繰り返して、[適用]をクリックします。 すべての標準ユーザーに対して同じプロセスを繰り返す必要があります。
ログオン保護の認証解除
SAPシステムにセキュリティを実装するには、SAP環境での失敗したログインを監視する必要があります。 誰かが間違ったパスワードを使用してシステムにログインしようとすると、システムはユーザー名をしばらくロックするか、定義された試行回数後にセッションを終了する必要があります。
さまざまなセキュリティパラメータを不正なログオン試行に対して設定できます-
- セッションを終了する
- ユーザーのロック
- スクリーンセーバーの有効化
- ログオン試行の失敗の監視
- ログオン試行の記録
次に、これらのそれぞれについて詳しく説明します。
セッションを終了する
単一のユーザーIDでログイン試行が複数回失敗すると、システムはそのユーザーのセッションを終了します。 これは、Profileパラメーターを使用して送信する必要があります-* login/fails_to_session_end。*
パラメータ値を変更するには、トランザクション RZ10 を実行し、次のスクリーンショットに示すようにプロファイルを選択します。 Extended Maintenanceを選択し、 Display をクリックします。
変更するパラメーターを選択し、下に示すように上部の[パラメーター]ボタンをクリックします。
[パラメータ]タブをクリックすると、新しいウィンドウでパラメータの値を変更できます。 * Create(F5)*ボタンをクリックして、新しいパラメーターを作成することもできます。
このパラメーターの詳細を表示するには、トランザクションコード: RZ11 を実行し、プロファイル名- login/fails_to_session_end を入力して、 Display Document をクリックします。
- パラメータ-login/fails_to_session_end
- ショートテキスト-セッションが終了するまでの無効なログイン試行回数。
- パラメータの説明-ログオン手順が終了するまで、ユーザーマスタレコードで実行できる無効なログイン試行の回数。
- アプリケーションエリア-ログオン
- デフォルト値-3
- *誰が変更を加えることができますか?-顧客
- オペレーティングシステムの制限-なし
- データベースシステムの制限-なし
- *他のパラメーターは影響を受けていますか?
- 許可される値-1-99
上記のスクリーンショットでは、このパラメーターの値が3に設定されていることがわかります。 デフォルト値も。 3回ログインに失敗すると、1人のユーザーのセッションが終了します。
ユーザーのロック
また、単一のユーザーIDでログオン試行の連続した失敗回数が設定された回数を超えた場合、特定のユーザーIDにチェックを入れることもできます。 プロファイルパラメータ login/fails_to_user_lock で許可される無効なログオン試行回数を設定します。
- 特定のユーザーIDにロックを設定することができます。
- ロックは深夜までユーザーIDに適用されます。 ただし、システム管理者がいつでも手動で削除することもできます。
- SAPシステムでは、ユーザーIDが手動で削除されるまでユーザーIDにロックを許可するパラメーター値を設定することもできます。 パラメーター名: login/failed_user_auto_unlock 。
- プロファイルパラメータ:login/fails_to_user_lock *
誤ったログオンパスワードが入力されるたびに、関連するユーザーマスタレコードの失敗したログオンカウンターが増加します。 ログオンの試行は、セキュリティ監査ログに記録できます。 このパラメーターで指定された制限を超えると、関連するユーザーがロックされます。 このプロセスはSyslogにも記録されます。
現在の日が過ぎると、ロックは無効になります。 (その他の条件-login/failed_user_auto_unlock)
ユーザーが正しいパスワードを使用してログオンすると、失敗したログオンカウンターはリセットされます。 パスワードベースではないログオンは、失敗したログオンカウンターには影響しません。 ただし、ログオンごとにアクティブなログオンロックがチェックされます。
- 許可される値-1 – 99
このパラメーターの現在の値を確認するには、 T-Code:RZ11 を使用します。
- パラメータ名-login/failed_user_auto_unlock
- 短いテキスト-真夜中にロックされたユーザーの自動ロック解除を無効にします。
- パラメータの説明-誤ってログオンしてロックされたユーザーのロック解除を制御します。 パラメーターが1に設定されている場合、パスワードログオン試行の失敗により設定されたロックは、同じ日にのみ(ロックとして)適用されます。 パラメータが0に設定されている場合、ロックは有効なままです。
- アプリケーションエリア-ログオン。
- デフォルト値-0。
スクリーンセーバーの有効化
システム管理者は、スクリーンセーバーを有効にして、フロントエンド画面を不正アクセスから保護することもできます。 これらのスクリーンセーバーはパスワードで保護できます。
失敗したログオン試行の監視とログオン試行の記録
SAPシステムでは、レポート RSUSR006 を使用して、システムでログオンに失敗したユーザーがいるかどうかを確認できます。 このレポートには、ユーザーによる不正なログイン試行回数とユーザーロックに関する詳細が含まれており、要件に従ってこのレポートをスケジュールできます。
*ABAP Editor SE38* に移動してレポート名を入力し、 *EXECUTE* をクリックします。
このレポートには、ユーザー名、タイプ、作成者、作成者、パスワード、ロック、不正なログインの詳細など、さまざまな詳細があります。
SAPシステムでは、セキュリティ監査ログ(トランザクションSM18、SM19、SM20)を使用して、成功したログオン試行と失敗したログオン試行をすべて記録することもできます。 SM20トランザクションを使用してセキュリティ監査ログを分析できますが、セキュリティ監査ログを監視するには、システムでセキュリティ監査をアクティブにする必要があります。
アイドルユーザーのログオフ
ユーザーがすでにSAPシステムにログインしていて、セッションが特定の期間アクティブでない場合、ユーザーをログオフに設定して不正アクセスを回避することもできます。
この設定を有効にするには、プロファイルパラメータ rdisp/gui_auto_logout でこの値を指定する必要があります。
- パラメータの説明-事前定義された期間が経過すると、非アクティブなSAP GUIユーザーがSAPシステムから自動的にログオフされるように定義できます。 パラメータはこの時間を設定します。 SAPシステムの自動ログオフはデフォルトで無効になっています(値0)。つまり、ユーザーが長時間アクションを実行しなくてもログオフされません。
- 許可される値-n [単位]、ここでn> = 0および単位= S | M | H | D
パラメータの現在の値を確認するには、T-Code: RZ11 を実行します。
次の表は、主要なパラメータのリスト、SAPシステムでのデフォルト値および許可値を示しています-
Parameter | Description | Default | Permitted Value |
---|---|---|---|
Login/fails_to_session_end | Number of invalid login attempts until session end | 3 | 1-99 |
Login/fails_to_user_lock | Number of invalid login attempts until user lock | 12 | 1-99 |
Login/failed_user_auto_unlock | When sets t 1: Locks apply on the day that they are set.They are removed the next day when the user logs on | 1 | 0 or 1 |
rdisp/gui_auto_output | Maximum idle time for a user in number of seconds | 0(no limit) | unrestricted |
SAPセキュリティ-システム認証の概念
SAP System Authorization Conceptは、不正なアクセスからトランザクションやプログラムを実行することからSAPシステムを保護します。 ユーザーがこのアクティビティの承認を定義するまで、SAPシステムでトランザクションとプログラムを実行することを許可しないでください。
システムのセキュリティを強化し、強力な承認を実装するには、承認計画を確認して、会社のセキュリティ要件を満たし、セキュリティ違反がないことを確認する必要があります。
ユーザータイプ
SAPシステムの以前のリリースでは、ユーザータイプは2つのカテゴリ(ダイアログユーザーと非ダイアログユーザーのみ)に分けられ、2つのシステム間の通信には非ダイアログユーザーのみが推奨されていました。 SAP 4.6Cでは、ユーザータイプは次のカテゴリに分類されています-
- ダイアログユーザー-このユーザーは個々のインタラクティブなシステムアクセスに使用され、クライアントの作業のほとんどはダイアログユーザーを使用して実行されます。 パスワードはユーザー自身が変更できます。 ダイアログユーザーでは、複数のダイアログログオンを防止できます。
- サービスユーザー-これは、製品カタログの表示などの所定のタスクを実行するためのインタラクティブなシステムアクセスを実行するために使用されます。 このユーザーには複数のログインが許可され、このユーザーのパスワードを変更できるのは管理者のみです。
- システムユーザー-このユーザーIDは、システム関連タスクのほとんどを実行するために使用されます-トランスポート管理システム、ワークフローおよびALEの定義。 対話型のシステム依存ユーザーではなく、このユーザーに対して複数のログインが許可されています。
- 参照ユーザー-参照ユーザーは、SAPシステムへのログインには使用されません。 このユーザーは、内部ユーザーに追加の承認を提供するために使用されます。 SAPシステムでは、[ロール]タブに移動して、ダイアログユーザーの追加権限の参照ユーザーを指定できます。
- 通信ユーザー-このユーザータイプは、RFC接続、CPICなどの異なるシステム間でダイアログなしのログインを維持するために使用されます。 SAP GUIを使用したダイアログログオンは、コミュニケーションユーザーには使用できません。 ユーザータイプは、コモンダイアログユーザーのようにパスワードを変更できます。 RFC機能モジュールを使用して、パスワードを変更できます。
トランザクションコード: SU01 は、SAPシステムでのユーザー作成に使用されます。 次の画面では、SAPシステムのSU01トランザクションの下にさまざまなユーザータイプが表示されます。
ユーザーを作成する
SAPシステムで異なるアクセス権を持つユーザーまたは複数のユーザーを作成するには、以下の手順に従う必要があります。
ステップ1 *-トランザクションコードを使用します— *SU01 。
- ステップ2 *-作成するユーザー名を入力し、次のスクリーンショットに示すように作成アイコンをクリックします。
- ステップ3 *-次のタブ-[アドレス]タブに移動します。 ここでは、名、姓、電話番号、電子メールIDなどの詳細を入力する必要があります。
ステップ4 *-次のタブ- *Logon Data に進みます。 [ログオンデータ]タブでユーザータイプを入力します。 5種類のユーザータイプがあります。
- ステップ5 *-最初のログインパスワード→新しいパスワード→パスワードの繰り返しを入力します。
- ステップ6 *-次のタブに移動します—役割-役割をユーザーに割り当てます。
- ステップ7 *-次のタブに移動します-プロファイル-ユーザーにプロファイルを割り当てます。
- ステップ8 *-[保存]をクリックして確認を受け取ります。
集中ユーザー管理(CUA)
中央ユーザー管理は、中央システムを使用してSAPシステムランドスケープ内のすべてのユーザーを管理できる重要な概念の1つです。 このツールを使用すると、すべてのユーザーマスタレコードを1つのシステムで一元管理できます。 中央ユーザー管理者を使用すると、1つのシステムランドスケープで同様のユーザーを管理するための費用とリソースを節約できます。
集中ユーザー管理の利点は次のとおりです-
- SAPランドスケープでCUAを設定すると、中央システムのみを使用してユーザーを作成または削除できます。
- 必要な役割と承認はすべて、アクティブなフォームの子システムに存在します。
- すべてのユーザーが一元的に監視および管理されるため、複雑なシステムランドスケープ内のすべてのユーザー管理アクティビティを簡単かつ明確に管理することができます。
- 中央ユーザー管理者を使用すると、1つのシステムランドスケープで同様のユーザーを管理するための費用とリソースを節約できます。
制御された方法でデータを交換できるようにする Application Link Enabling と呼ばれる ALE ランドスケープを使用して実行されるデータ交換。 ALEは、SAPシステムランドスケープ内の子システムへのデータ交換のために中央ユーザー管理者によって使用されます。
複雑なランドスケープ環境では、1つのシステムをALE環境を備えた中央システムとして定義し、これは双方向データ交換を使用してすべての子システムにリンクされます。 ランドスケープの子システムは相互に接続されていません。
集中ユーザー管理を実装するには、次の点を考慮する必要があります-
- 単一/分散環境に複数のクライアントがあるSAP環境が必要です。
- ユーザーを管理する管理者は、次のトランザクションコードの承認が必要です-
- SU01
- SCC4
- SCUA
- SCUM
- SM59
- BD54
- BD64
- システム間に信頼と信頼の関係を作成する必要があります。
- 中央および子システムでシステムユーザーを作成する必要があります。
- 論理システムを作成し、対応するクライアントに論理システムを割り当てます。
- モデルビューとモデルビューへのBAPIを作成します。
- 中央ユーザー管理者を作成し、フィールドの分布パラメーターを設定します。
- 会社の住所を同期する *転送ユーザー
一元管理された環境では、最初に管理者を作成する必要があります。 将来のCUAのすべての論理システムに、デフォルトのパスワードPASSでユーザーSAP* としてログオンします。
トランザクション SU01 を実行し、管理者ロールが割り当てられたユーザーを作成します。
論理システムを定義するには、トランザクション* BD54。*を使用します。新しいエントリをクリックして、新しい論理システムを作成します。
他のSAPシステムのシステムを含む中央およびすべての子システムの中央ユーザー管理用に、大文字の新しい論理名を作成します。
システムを簡単に識別するために、中央ユーザー管理システムを識別するために使用できる次の命名規則があります-
*<システムID> CLNT <クライアント>*
論理システムの役立つ説明を入力します。 Save ボタンをクリックして、エントリを保存します。 次に、すべての子システムで中央システムの論理システム名を作成します。
論理システムをクライアントに割り当てるには、トランザクション SCC4 を使用して、変更モードに切り替えます。
ダブルクリックするか、[詳細]ボタンをクリックして、論理システムに割り当てるクライアントを開きます。 クライアントは1つの論理システムにのみ割り当てることができます。
クライアントの詳細の論理システムフィールドに、このクライアントを割り当てる論理システム名を入力します。
Central User Administratorに含めるSAP環境のすべてのクライアントに対して上記の手順を実行します。 設定を保存するには、上部にある[保存]ボタンをクリックします。
SAPでの特定のプロファイルの保護
SAPシステムのセキュリティを維持するには、重要な承認を含む特定のプロファイルを維持する必要があります。 完全な許可を持つSAPシステムでは、保護する必要のあるさまざまなSAP許可プロファイルがあります。
SAPシステムで保護する必要があるいくつかのプロファイルは次のとおりです-
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL許可プロファイル
SAP_ALL許可プロファイルにより、ユーザーはSAPシステム内のすべてのタスクを実行できます。 これは、SAPシステムのすべての許可を含む複合プロファイルです。 この権限を持つユーザーはSAPシステムですべてのアクティビティを実行できるため、このプロファイルをシステム内のユーザーに割り当てないでください。
1人のユーザーをプロファイルで管理することをお勧めします。 一方、パスワードはそのユーザーに対して十分に保護する必要があり、必要な場合にのみ使用する必要があります。
SAP_ALL権限を割り当てる代わりに、個々の権限を適切なユーザーに割り当てる必要があります。 システムのスーパーユーザー/システム管理では、SAP_ALL承認を割り当てるのではなく、必要な個別の承認を使用する必要があります。
SAP_NEW認証
SAP_NEW許可には、新しいリリースで必要なすべての許可が含まれています。 システムのアップグレードが完了すると、このプロファイルが使用され、一部のタスクが適切に実行されます。
この承認に関する次の点を覚えておく必要があります-
- システムのアップグレードを実行する場合、これより前のリリースのSAP_NEWプロファイルを削除する必要があります。
- 環境内のさまざまなユーザーに、SAP_NEWプロファイルで個別の承認を割り当てる必要があります。
- このプロファイルを長時間アクティブにしないでください。
- 環境内にSAP_NEWプロファイルの長いリストがある場合、システムで許可ポリシーを確認する必要があることが示されます。
すべてのSAP_NEWプロファイルのリストを表示するには、ダブルクリックしてこのプロファイルを選択し、次に[選択]に移動する必要があります。
P_BAS_ALL承認
この許可により、ユーザーは他のアプリケーションのテーブルのコンテンツを表示できます。 この承認には P_TABU_DIS 承認が含まれます。 この承認により、PAユーザーはグループに属していないテーブルコンテンツを表示できます。
PFCGロールのメンテナンス
PFCGロールメンテナンスを使用して、SAPシステムのロールと承認を管理できます。 PFCGでは、役割は実際のシナリオに関連して人が実行する作業を表します。 PFCGを使用すると、個人に割り当てて日常業務を実行できる一連のトランザクションを定義できます。
ロールがPFCGトランザクションで作成されると、トランザクション SU01 を使用してこれらのロールを個々のユーザーに割り当てることができます。 SAPシステムのユーザーには、複数のロールを割り当てることができます。これらのロールは、実際の日常のタスクに関連しています。
これらの役割は、SAPシステムのユーザーと承認との関係にあります。 実際の承認とプロファイルは、SAPシステムのオブジェクトの形式で保存されます。
PFCGロールメンテナンスを使用して、次の機能を実行できます-
- 役割の変更と割り当て
- ロールを作成する
- 複合ロールの作成
- ロールの移送と配布
これらの機能について詳しく説明します。
役割の変更と割り当て
トランザクションの実行:PFCG
ロールメンテナンスウィンドウが表示されます。 既存の役割を変更するには、提供された役割名をフィールドに入力します。
[ロールのコピー]ボタンをクリックして、標準ロールをコピーします。 名前空間から名前を入力します。 値選択ボタンをクリックして、これをコピーするロールを選択します。
SAPが* SAP _、*で始まる配信済みの役割を選択することもできますが、デフォルトの役割は上書きされます。
ロールを変更するには、ロールメンテナンスの[変更]ボタンをクリックします。
[メニュー]タブに移動して、[メニュー]タブページのユーザーメニューを変更します。 [認証]タブに移動して、そのユーザーの認証データを変更します。
エキスパートモードを使用して、[認証]の下のメニュー変更の認証を調整することもできます。 [生成]ボタンをクリックして、このロールのプロファイルを生成します。
ユーザーをこのロールに割り当てるには、[ロールの変更]オプションの[ユーザー]タブに移動します。 ユーザーをこのロールに割り当てるには、システムに存在する必要があります。
必要に応じて、ユーザー比較を実行することもできます。 [ユーザー比較]オプションをクリックします。 また、情報ボタンをクリックして、単一および複合ロールとユーザー比較オプションの詳細を確認し、マスターレコードを比較することもできます。
PFCGでの役割の作成
PFCGでは、単一の役割と複合役割の両方を作成できます。 以下のスクリーンショットに示すように、ロール名を入力し、「単一または複合ロールの作成」をクリックします。
Y_やZ_などの顧客名前空間から選択できます。 SAPが提供する役割はSAP_で始まり、SAPが提供する役割から名前を取得することはできません。
[ロールの作成]ボタンをクリックしたら、ロール定義の[メニュー]タブにトランザクション、レポート、およびWebアドレスを追加する必要があります。
MENUタブ
[認証]タブに移動してプロファイルを生成し、[認証データの変更]オプションをクリックします。
アクティビティの選択に従って、組織レベルを入力するよう求められます。 ダイアログボックスに特定の値を入力すると、ロールの承認フィールドが自動的に維持されます。
参照をロールに適合させることができます。 役割の定義が完了したら、役割を生成する必要があります。 生成(Shift + F5)をクリックします。
この構造では、赤信号が表示されると、値のない組織レベルが表示されます。 [メンテナンス済み]タブの横の[組織レベル]で組織レベルを入力および変更できます。
プロファイル名を入力し、チェックオプションをクリックして、生成ステップを完了します。
[保存]をクリックして、プロファイルを保存します。 [ユーザー]タブに移動して、このロールをユーザーに直接割り当てることができます。 同様の方法で、PFCG Role Maintenance Optionを使用してCompositeロールを作成できます。
ロールの移送と配布
トランザクション-PFCGを実行し、トランスポートするロール名を入力して、トランスポートロールをクリックします。
ロールトランスポートオプションに到達します。 トランスポートロールには複数のオプションがあります-
- 複合ロールの単一ロールを転送します。
- ロール用に生成されたプロファイルを転送します。
- パーソナライゼーションデータ。
次のダイアログボックスで、ユーザーの割り当てに言及し、パーソナライゼーションデータも転送する必要があります。 ユーザー割り当てもトランスポートされる場合、ターゲットシステムのロールのユーザー割り当て全体を置き換えます。
役割のユーザー割り当てをインポートできないようにシステムをロックするには、トランザクション SM30 を使用してカスタマイズテーブル PRGN_CUST に入力し、値フィールド* USER_REL_IMPORT番号*を選択します。
このロールは、カスタマイズ要求に入力されます。 これは、トランザクション SE10 を使用して表示できます。
カスタマイジング依頼では、ロールとともに権限プロファイルが移送されます。
承認情報システムトランザクション– SUIM
Authorization Managementでは、SUIMは重要なツールであり、これを使用してSAPシステムでユーザープロファイルを検索し、それらのプロファイルをそのユーザーIDに割り当てることもできます。 SUIMは、ユーザー、ロール、プロファイル、承認、トランザクション、および比較の検索オプションを提供する初期画面を提供します。
ユーザー情報システムを開くには、トランザクションを実行します: SUIM 。
ユーザー情報システムには、SAPシステムでさまざまな機能を実行するために使用できるさまざまなノードがあります。 ユーザーノードのように、選択基準に基づいてユーザーの検索を実行できます。 ユーザーのロックされたリスト、特定のトランザクションセットへのアクセス権を持つユーザーなどを取得できます。
各タブを展開すると、異なる選択基準に基づいて異なるレポートを生成するオプションがあります。 あなたがユーザータブを展開するときのように、次のオプションがあります-
複雑な選択基準でユーザーをクリックすると、複数の選択条件を同時に適用できます。 次のスクリーンショットは、さまざまな選択基準を示しています。
役割ノード
同様に、このユーザー情報システムの下で、ロール、プロファイル、承認などのさまざまなノードにアクセスできます。
SUIMツールを使用して、役割とプロファイルを検索することもできます。 SUIMでトランザクションごとの検索と割り当てを実行し、それらのロールをそのユーザーIDに割り当てることで、トランザクションのリストを特定のユーザーIDのセットに割り当てることができます。
ユーザー情報システムを使用すると、SAPシステムでさまざまな検索を実行できます。 さまざまな選択基準を入力し、ユーザー、プロファイル、ロール、トランザクション、およびその他のさまざまな基準に基づいてレポートをプルできます。
*RSUSR002* -複雑な選択基準によるユーザー。
SAPセキュリティ-Unixプラットフォーム
特定のUnixプロパティ、ファイルまたはサービスの使用、パスワードファイルの保護、 rlogin および remsh のBSDリモートサービスの非アクティブ化中に、さまざまなセキュリティ対策を講じる必要があります。
パスワード保護
Unixプラットフォームでは、攻撃者は辞書攻撃プログラムを使用して、Unix OSに保存されているパスワード情報を発見できます。 パスワードをシャドウパスワードファイルに保存できます。システムのセキュリティを向上させるために、rootユーザーのみがこのファイルにアクセスできます。
リモートサービスの無効化
BSD Remoteサービスを使用すると、Unixシステムにリモートアクセスできます。 リモート接続が開始されるとき /etc/host.equiv および $ HOME/.rhosts が使用され、これらのファイルに接続ソースのホスト名とIPアドレスまたはワイルドカード文字に関する情報が含まれる場合、必要はありません。ログイン中にパスワードを入力します。
このシナリオでは、リモートサービスのrloginとremshはセキュリティ上の脅威であり、これらのサービスを非アクティブ化する必要があります。 これらのサービスを無効にするには、Unixシステムの inetd.conf ファイルに移動します。
Unixシステムでは、rloginはリモートシェルクライアント(SSHなど)であり、高速で小さく設計されています。 暗号化されていないため、高度なセキュリティ環境では多少の欠点がありますが、非常に高速に動作できます。 サーバーとクライアントの両方が大量のメモリを使用しません。
UNIXでのネットワークファイルシステムの保護
UNIXプラットフォームでは、ネットワークファイルシステムを使用して、SAPシステムからネットワーク経由でトランスポートディレクトリと作業ディレクトリにアクセスします。 作業ディレクトリにアクセスするには、認証プロセスにネットワークアドレスが含まれます。 IPスプーフィングを使用して、ネットワークファイルシステムを介して攻撃者が不正アクセスを取得する可能性があります。
システムをセキュリティで保護するには、ネットワークファイルシステムを介してホームディレクトリを配布しないでください。これらのディレクトリへの書き込み権限は慎重に割り当ててください。
UNIXのSAPシステムのSAPシステムディレクトリアクセス
UNIXのSAPシステムディレクトリに次のアクセス権を設定する必要があります-
SAP Directory | Octal form Access Privilege | Owner | Group |
---|---|---|---|
/sapmnt/<SID>/exe | 775 | <sid>adm | sapsys |
/sapmnt/<SID>/exe/saposcol | 4755 | root | sapsys |
/sapmnt/<SID>/global | 700 | <sid>adm | sapsys |
/sapmnt/<SID>/profile | 755 | <sid>adm | sapsys |
/usr/sap/<SID> | 751 | <sid>adm | sapsys |
/usr/sap/<SID>/<Instance ID> | 755 | <sid>adm | sapsys |
/usr/sap/<SID>/<Instance ID>/* | 750 | <sid>adm | sapsys |
/usr/sap/<SID>/<Instance ID>/sec | 700 | <sid>adm | sapsys |
/usr/sap/<SID>/SYS | 755 | <sid>adm | sapsys |
/usr/sap/<SID>/SYS/* | 755 | <sid>adm | sapsys |
/usr/sap/trans | 775 | <sid>adm | sapsys |
/usr/sap/trans/* | 770 | <sid>adm | sapsys |
/usr/sap/trans/.sapconf | 775 | <sid>adm | sapsys |
<home directory of <sid>adm> | 700 | <sid>adm | sapsys |
<home directory of <sid>adm>/* | 700 | <sid>adm | sapsys |
SAPセキュリティ-Windowsプラットフォーム
SAPシステムを安全に実行するには、Windowsプラットフォームでさまざまなユーザーとグループを作成する必要があります。 ユーザー管理タスクを簡単にするために、OSレベルで正しいアクセス権を持つすべてのWIN NTユーザーをユーザーグループに追加することをお勧めします。 ウィンドウオペレーティングシステムでは、さまざまなグループレベルがあります-
- グローバルグループ
- ローカルグループ
グローバルグループ
WINのグローバルグループはドメインレベルで使用でき、複数のサーバーからユーザーを割り当てるために使用できます。 グローバルグループは、1つのドメイン内のすべてのサーバーで使用できます。
都合に合わせてグローバルグループの名前を選択できます。 ただし、SAPシステム管理者向けの標準グローバルグループであり、 SAP_ <SID> _GlobalAdmin として定義されている SAP R/3 System Installation に従って命名規則を使用することをお勧めします。
ウィンドウプラットフォームには、SAPシステムを実行するために使用できる一般的に作成されたさまざまなグローバルグループがあります-
- SAPadmin -このグループには、すべてのSAPシステム管理者のリストが含まれています。
- SAPusers -このグループには、すべてのSAPアプリケーションユーザーのリストが含まれます。
- SAPservices -このグループには、すべてのSAPシステムプログラムのリストが含まれています。
- Domain Admin -このグループには、すべてのドメインのすべての管理者のリストが含まれています。
ローカルグループ
Windowsプラットフォームのローカルグループは、ドメイン内の1つのサーバーに制限されています。 インストール中、権限はグループではなく個々のユーザーに割り当てられます。 ただし、単一のユーザーではなくローカルグループにアクセス権を割り当てることをお勧めします。
ローカルグループは、共有ドメインのWindows環境のセキュリティを強化するために使用されます。 さらに、グローバルユーザーとグローバルグループをローカルグループに割り当てることができます。 任意の名前でローカルグループを作成できますが、ローカルグループ名を SAP_ <SID> _LocalAdmin として使用することをお勧めします。
あなたは、ユーザー、ローカルグループ、グローバルグループ間のさまざまな関係を定義することができます-
- 単一のユーザーは、グローバルグループとローカルグループの一部になることもできます。
- グローバルグループをローカルグループに含めることもできます。
Windowsプラットフォームの標準ユーザー
WindowsプラットフォームでSAPシステムを実行する場合、慎重に管理する必要がある標準ユーザーがいます。 以下は、Windowsの標準ユーザーの一部です-
- Window NTユーザー*-
- 管理者-すべてのリソースへのアクセス権を持つ管理者アカウント。
- ゲスト-システム内のすべてのリソースへのゲストアクセスのみ。
- SAPシステムユーザー*-
- <SID> ADM SAP -すべてのSAPリソースに対するフルアクセスを持つシステム管理者。
- SAPService <SID> -SAPサービスの実行を担当する特別なユーザー。
データベースユーザー-
- <DBService> -Windowプラットフォームでデータベース固有のサービスを実行します。
- <DBuser> -一般的なDB操作を実行するデータベースユーザー。
また、管理者およびゲストユーザーはインストールプロセス中に作成され、Windows固有のタスクを実行するために使用されることに注意してください。 これらのユーザーはすべて、Windowsプラットフォームで保護する必要があります。
SAPセキュリティ-データベース
SAPシステムでデータベースユーザーを保護することは非常に重要です。 データベースは、Oracleデータベース、SQL Server、またはMYSQLデータベースにすることができます。 これらのデータベースから標準ユーザーを保護する必要があります。 パスワードは標準ユーザーに対して保護する必要があり、定期的に変更する必要があります。
Oracle標準ユーザー
次の表に、Windows環境の標準ユーザーのリストを示します。 これらすべてのユーザーのパスワードを維持する必要があります。
User Name | Type | Password Change Method |
---|---|---|
<SID>ADM | Operating System User | OPS$ mechanism |
SAPServic<SID> | Operating System User | OPS$ mechanism |
SYS (internal) | Operating System User | SAPDBA |
SYSTEM | Operating System User | SAPDBA |
SAPR3 | Operating System User | SAPDBA |
<SID> ADMのOPS $ユーザーを作成する方法は?
OPS $ユーザーを作成するには、<SID> ADMでログインする必要があります。 SAPシステムが実行中の場合は、まずSAPシステムを停止してから、以下のコマンドを実行する必要があります。
- ユーザーOPS $ <adm_user>のデフォルトのテーブルスペースpsapuseridを作成します。外部で識別される一時テーブルスペースpsaptemp; *
ここで、<adm_user>は次のとおりです-
- 古いOracleリリースの<SID> ADM
- <domain_name> \ <SID> ADM最新リリース
その後、以下に示す手順に従う必要があります-
- 接続、OPS $ <adm_user&gtl;へのリソースを許可します。
- 接続/
- テーブルSAPUSER(USERID Varchar(20)、PASSWD VARCHAR2(20));を作成します。
- SAPUSER値(「SAPR3」、「<password>)」に挿入します。
- 内部接続
- <password>で識別されるユーザーSAPR3を変更します。
同様に、 SAPService <SID> に対して OPS $ を作成できます。 次のコマンドでは、adm_userの代わりにSAP_service_userを使用する必要があります。
外部で識別されるユーザーOPS $ <SAP_service_user>のデフォルトのテーブルスペースpsapuserid一時テーブルスペースpsaptempを作成します。
ここで<SAP_service_user>は次のとおりです-
- 古いOracleリリースのSAPService <SID>
- <domain_name> \ SAPservice <SID>(最新リリースの場合)
DBユーザーのパスワード管理
データベース内の標準ユーザーのパスワードを管理する必要があります。 パスワードの変更に使用できるさまざまなユーティリティがあります。
SAPDBAを使用してDBAユーザーのパスワードを変更する方法
コマンドラインまたはGUIを使用して、DBAユーザーのパスワードを変更できます。 コマンドラインを使用してパスワードを変更するには、次のコマンドを使用する必要があります-
*Sapdba [-u <user1>/<user1_password>] –user2 <user2_password>*
上記のコマンドで、 user1 は、データベースにログオンするためにSAPDBAが使用するデータベースユーザーです。
- <user1_password>は、user1のパスワードのパスワードです。
- <user2>は、パスワードを変更するデータベースユーザーを示します。
- <user2_password>は、同じユーザーの新しいパスワードです。
ユーザー名「SYSTEM」とデフォルトのパスワードを使用してログインする場合は、コマンドから –u を省略できます。
*Sapdba –u system/<system_password>] –sapr3 <sapr3_password>*
SVRMGRLを使用してSAPR3のパスワードを変更する方法
SVRMGRLは、以前のリリースのOracleに同梱されていた古いユーティリティであり、以下で説明するデータベース機能の実行に使用されています。 最新リリースでは、サーバーマネージャーのコマンドが SQL Plus *で使用できるようになりました。
- データベース作成
- データベースの起動とシャットダウン
- データベースの回復
- パスワード管理
パスワードを変更するには、以下の手順に従う必要があります-
- SVRMGRLを開始します。
- connect internalコマンドを使用してデータベースに接続します。
- SVRMGR>内部接続。
- 接続しました。
次のステップは、以下に示すコマンドを入力してSAPUSERテーブルを更新することです-
*OPS $ <SID> ADM.SAPUSERを更新PASSWD = ‘<new_password>’で、USERID = ‘SAPR3’;*
コマンドラインを使用して、データベースの SAPR3 のパスワードを更新する必要があります。
変更ユーザーsapr3は<new_password>で識別されます
ユーザー認証とシングルサインオン
- シングルサインオン(SSO)*は、1つのシステムにログインし、バックエンドで複数のシステムにアクセスできるようにする重要な概念の1つです。 SSOにより、ユーザーはバックエンドでSAPシステム全体のソフトウェアリソースにアクセスできます。
NetWeaver プラットフォームを使用した SSOは、ユーザー認証を提供し、システム管理者が複雑なSAPシステムランドスケープのユーザー負荷を管理するのに役立ちます。 SSO構成は、セキュリティ対策を強化し、複数システムのパスワード管理タスクを削減することにより、ユーザーがランドスケープのSAPシステムおよびアプリケーションにログインするプロセスを簡素化します。
SSOは、パスワードの問題に関連するサービスデスクへの呼び出し回数を減らすことで組織の運用コストを削減し、ビジネスユーザーの生産性を向上させるのに役立ちます。 SAP NetWeaver統合メカニズムを使用すると、SAP NetWeaverシステムをSSOコンセプトに簡単に統合でき、SAP System Landscape Environmentのバックエンドシステムに簡単にアクセスできます。
SAPシングルサインオンの概念
シングルサインオンはmySAP Workplaceで設定できます。これにより、ユーザーは毎日mySAP Workplaceにログインでき、ユーザー名とパスワードを繰り返し入力せずにアプリケーションにアクセスできます。
次の認証方法を使用して、mySAP WorkplaceでSSOを構成できます-
- ユーザー名とパスワード
- SAPログオンチケット
- X.509クライアント証明書
シングルサインオンでの統合
NetWeaverプラットフォームでのSSOは、ユーザー認証を提供し、システム管理者が複雑なSAPシステム環境でユーザーの負荷を管理するのに役立ちます。 SSO構成は、セキュリティ対策を強化し、複数のシステムのパスワード管理タスクを削減することにより、ユーザーがランドスケープのSAPシステムおよびアプリケーションにログインするプロセスを簡素化します。
SAP NetWeaverを使用すると、認証されたユーザーがSSO方式を使用してNetWeaverシステムにアクセスするために使用するさまざまなメカニズムを構成できます。 システムのログインメカニズムは、SAP NetWeaverシステムのテクノロジーと、それらのシステムへのアクセスに使用されるさまざまな通信チャネルに依存します。
SAP GUIでのシングルサインオンの構成
シングルサインオンを設定するには、次のTコードにアクセスする必要があります-
- RZ10
- ストラット
これらのTコードを取得したら、以下の手順に従う必要があります-
ステップ1 *-SAP GUIを使用してSAP ECCシステムにログインし、Tコード *RZ10 に移動します。
- ステップ2 *-その後、デフォルトプロファイルと延長メンテナンスを選択します。
- ステップ3 *-[変更]をクリックすると、プロファイルのパラメーターのリストが表示されます。
- ステップ4 *-次のプロファイルパラメータを変更します-
- login/create_sso2_ticket = 1
- login/accept_sso2_ticket = 1
- ステップ5 *-プロファイルを保存してアクティブにします。 新しいプロファイルが生成されます。
ステップ6 *-Trust Managerから *R3SSO 証明書をエクスポートし、トランザクション STRUST に移動します。
- ステップ7 *-[自分の証明書]の右側のテキストボックスをダブルクリックします。 証明書情報が表示されます。 値を入力する必要があるため、この証明書の値を書き留めます。
- ステップ8 *-アイコンエクスポート証明書をクリックします。
- ステップ9 *-ファイルを<R3_Name>-<Client> .crtとして保存します。
例-EBS-300.crt
- ステップ10 *-チェックボックスをクリックして、親ディレクトリにファイルを作成します。
ステップ11 *-管理者ツールを使用して、Javaエンジンに *R3 SSO 証明書をインポートします。
注-Javaエンジンが起動していることを確認してください。
- ステップ12 *-Java管理ツールを開きます。
- ステップ13 *-Javaエンジン管理者のパスワードを入力し、[接続]をクリックします。
- ステップ14 *-サーバー→サービスキー→ストレージを選択します。
- ステップ15 *-[表示]パネルの[チケットキーストア]をクリックします。
- ステップ16 *-[エントリ]グループボックスで[ロード]をクリックします。 前の手順でエクスポートした.crtファイルを選択します。
- ステップ17 *-Administratorツールを使用して、SAP Javaエンジンでセキュリティプロバイダーサービスを構成します。
- ステップ18 *-サーバーサービスセキュリティプロバイダーを選択します。
- ステップ19 *-[コンポーネント]パネルでチケットを選択し、[認証]タブに移動します。
- ステップ20 *-チケットログインモジュールの評価のオプションを変更し、SSOを構成する各バックエンドシステムに次のプロパティを追加します。
Webベースのアクセスのシングルサインオン
SSOでいくつかのオプションを設定して、SAP NetWeaverシステムにアクセスできます。 Webブラウザまたは他のWebクライアントからSAP NetWeaver Systemにアクセスすることもできます。 ユーザーはSSOを使用して、企業ネットワークにあるバックエンドシステムやその他のセキュリティで保護された情報にアクセスできます。
SSOを使用すると、NetWeaver Applicationサーバー上のWebベースのユーザーアクセスを統合するために、いくつかのセキュリティ認証方法を使用できます。 暗号化などのさまざまなネットワーク通信セキュリティ方式を実装して、ネットワーク経由で情報を送信することもできます。
次の認証方法は、SSOを使用してアプリケーションサーバー経由でデータにアクセスするように構成できます-
- ユーザーIDおよびパスワード認証の使用
- ログオンチケットを使用する
- X.509クライアント証明書の使用
- SAMLブラウザーアーティファクトの使用
- SAML 2.0を使用する
- Kerberos認証を使用する
インターネット経由でデータにアクセスしている間、ネットワーク層とトランスポート層のセキュリティメカニズムを使用することもできます。
SAPセキュリティ-ログオンチケット
デジタル署名されたSAPログオンチケットを構成して、シングルサインオンで構成し、SAP環境の統合アプリケーションにアクセスできます。 ユーザーにSAPログオンチケットを発行するようにポータルを構成できます。ユーザーは初期アクセスのためにこのシステムを認証する必要があります。 SAPログオンチケットがユーザーに発行されると、Webブラウザーに保存され、ユーザーはSSOを使用して異なるシステムにログインできます。
ABAPアプリケーションサーバーでは、設定できるログオンチケットには2種類あります-
- ログオンチケット-これらのチケットは、SSOメソッドを使用したWebベースのアクセスを許可します。
- 認証アサーションチケット-これらのチケットは、システム間通信に使用されます。
SAPログオンチケットを設定するには、ユーザープロファイルで次のパラメーターを設定する必要があります。
login/accept_sso2_ticket
シングルサインオン(SSO)チケットを使用して、SAPシステム間および非SAPシステムを超えてSSOを許可できます。 SSOチケットは、ログオンチケットまたはアサーションチケットにすることができます。 ログオンチケットは、 MYSAPSSO2 という名前のCookieとして転送されます。 アサーションチケットは、MYSAPSSO2という名前のHTTPヘッダー変数として転送されます。
注-これには、システムを発行して受け入れるための追加の構成手順が必要です。 SSOコンポーネントシステムは、SSOチケットによるログオンを許可する必要があります(login/accept_sso2_ticket = 1)。
手順(X.509クライアント証明書)のみがシングルサインオンに使用される場合、またはこのシステムにシングルサインオンを使用しない場合は、SSOチケット(login/accept_sso2_ticket = 0)。
パラメーターを設定するには、トランザクション RZ11 を使用します
許可される値-0/1
login/create_sso2_ticket
シングルサインオン(SSO)チケットを使用して、SAPシステム間および非SAPシステムを超えてSSOを許可できます。 SSOチケットは、ログオンチケットまたはアサーションチケットにすることができます。 ログオンチケットは、MYSAPSSO2という名前のCookieとして転送されます。 アサーションチケットは、MYSAPSSO2という名前のHTTPヘッダー変数として転送されます。
注-これには、システムを発行および受け入れるための追加の構成手順が必要です。
発行システムは、SSOチケットの生成を許可する必要があります-
- login/create_sso2_ticket = 1:証明書を含むSSOチケット
- login/create_sso2_ticket = 2:証明書なしのSSOチケット
- login/create_sso2_ticket = 3:アサーションチケットのみを生成します
許容値 − 0/1/2/3
login/ticket_expiration_time
mySAP.com Workplaceの使用時にシングルサインオン(SSO)を可能にするために、SSOチケットを使用できます。 SSOチケットを作成するときに、有効期間を設定できます。 有効期限が切れると、SSOチケットを使用して職場のコンポーネントシステムにログオンできなくなります。 次に、ユーザーは新しいSSOチケットを取得するために、職場のサーバーに再度ログオンする必要があります。
許可される値-<時間> [:<分>]
誤った値が入力された場合、デフォルト値が使用されます(8時間)。
正しい値は次のようになります-
- 24→24時間
- 1:30→1時間30分
- 0:05→5分
間違った値は次のようになります-
- 40(0:40が正しい)
- 0:60(1が正しい)
- 10:000(10が正しい)
- 24:(24が正しいでしょう)
- 1:A3
X.509クライアント証明書
SSO方式を使用すると、X.509クライアント証明書を使用してNetWeaver Application Serverを認証できます。 クライアント証明書は、非常に強力な暗号化方式を使用して、NetWeaver Application Serverへのユーザーアクセスを保護するため、NetWeaver Application Serverで強力な暗号化技術を有効にする必要があります。
ユーザー名とパスワードを入力せずにSSLプロトコルを使用して認証が行われるため、SAP NetWeaverアプリケーションサーバーでSSLを構成する必要があります。 SSLプロトコルを使用するには、WebブラウザとNetWeaver ABAP Application Server間の通信にHTTPS接続が必要です。
セキュリティアサーションマークアップ言語(SAML2.0)
SAML2.0はシングルサインオンSSOを使用した認証として使用でき、異なるドメイン間でSSOを有効にします。 SAML 2.0は、OASISという組織名で開発されています。 また、シングルログアウトオプションも提供します。つまり、ユーザーがすべてのシステムからログオフすると、SAPシステムのサービスプロバイダーがIDプロバイダーに通知し、IDプロバイダーはすべてのセッションをログオフします。
以下は、SAML2.0認証を使用する利点です-
- 他のシステムへのアプリケーションをホストするシステムの認証を維持するオーバーヘッドを減らすことができます。
- システムのユーザーIDを維持せずに、外部サービスプロバイダーの認証を維持することもできます。
- すべてのシステムのシングルログアウトオプション。
- ユーザーアカウントを自動的にマップします。
Kerberos認証
WebクライアントおよびWebブラウザーを介したアクセスを使用して、SAP NetWeaver ApplicationサーバーのKerberos認証を使用することもできます。 シンプルで保護されたGSS APIネゴシエーションメカニズム SPNego を使用します。これには、この認証を使用するための追加ライセンスを持つシングルサインオンSSO 2.0以上のバージョンも必要です。 SPNego はトランスポート層セキュリティをサポートしていないため、SSLプロトコルを使用してトランスポート層セキュリティを追加し、NetWeaver Application Serverと通信することをお勧めします。
上記のスクリーンショットでは、認証のためにユーザープロファイルで構成できるさまざまな認証方法を確認できます。
SAPの各認証方法には独自の利点があり、さまざまなシナリオで使用できます。