Sap-security-system-authorization-concept
SAPセキュリティ-システム認証の概念
SAP System Authorization Conceptは、不正なアクセスからトランザクションやプログラムを実行することからSAPシステムを保護します。 ユーザーがこのアクティビティの承認を定義するまで、SAPシステムでトランザクションとプログラムを実行することを許可しないでください。
システムのセキュリティを強化し、強力な承認を実装するには、承認計画を確認して、会社のセキュリティ要件を満たし、セキュリティ違反がないことを確認する必要があります。
ユーザータイプ
SAPシステムの以前のリリースでは、ユーザータイプは2つのカテゴリ(ダイアログユーザーと非ダイアログユーザーのみ)に分けられ、2つのシステム間の通信には非ダイアログユーザーのみが推奨されていました。 SAP 4.6Cでは、ユーザータイプは次のカテゴリに分類されています-
- ダイアログユーザー-このユーザーは個々のインタラクティブなシステムアクセスに使用され、クライアントの作業のほとんどはダイアログユーザーを使用して実行されます。 パスワードはユーザー自身が変更できます。 ダイアログユーザーでは、複数のダイアログログオンを防止できます。
- サービスユーザー-これは、製品カタログの表示などの所定のタスクを実行するためのインタラクティブなシステムアクセスを実行するために使用されます。 このユーザーには複数のログインが許可され、このユーザーのパスワードを変更できるのは管理者のみです。
- システムユーザー-このユーザーIDは、システム関連タスクのほとんどを実行するために使用されます-トランスポート管理システム、ワークフローおよびALEの定義。 対話型のシステム依存ユーザーではなく、このユーザーに対して複数のログインが許可されています。
- 参照ユーザー-参照ユーザーは、SAPシステムへのログインには使用されません。 このユーザーは、内部ユーザーに追加の承認を提供するために使用されます。 SAPシステムでは、[ロール]タブに移動して、ダイアログユーザーの追加権限の参照ユーザーを指定できます。
- 通信ユーザー-このユーザータイプは、RFC接続、CPICなどの異なるシステム間でダイアログなしのログインを維持するために使用されます。 SAP GUIを使用したダイアログログオンは、コミュニケーションユーザーには使用できません。 ユーザータイプは、コモンダイアログユーザーのようにパスワードを変更できます。 RFC機能モジュールを使用して、パスワードを変更できます。
トランザクションコード: SU01 は、SAPシステムでのユーザー作成に使用されます。 次の画面では、SAPシステムのSU01トランザクションの下にさまざまなユーザータイプが表示されます。
ユーザーを作成する
SAPシステムで異なるアクセス権を持つユーザーまたは複数のユーザーを作成するには、以下の手順に従う必要があります。
ステップ1 *-トランザクションコードを使用します— *SU01 。
- ステップ2 *-作成するユーザー名を入力し、次のスクリーンショットに示すように作成アイコンをクリックします。
- ステップ3 *-次のタブ-[アドレス]タブに移動します。 ここでは、名、姓、電話番号、電子メールIDなどの詳細を入力する必要があります。
ステップ4 *-次のタブ- *Logon Data に進みます。 [ログオンデータ]タブでユーザータイプを入力します。 5種類のユーザータイプがあります。
- ステップ5 *-最初のログインパスワード→新しいパスワード→パスワードの繰り返しを入力します。
- ステップ6 *-次のタブに移動します—役割-役割をユーザーに割り当てます。
- ステップ7 *-次のタブに移動します-プロファイル-ユーザーにプロファイルを割り当てます。
- ステップ8 *-[保存]をクリックして確認を受け取ります。
集中ユーザー管理(CUA)
中央ユーザー管理は、中央システムを使用してSAPシステムランドスケープ内のすべてのユーザーを管理できる重要な概念の1つです。 このツールを使用すると、すべてのユーザーマスタレコードを1つのシステムで一元管理できます。 中央ユーザー管理者を使用すると、1つのシステムランドスケープで同様のユーザーを管理するための費用とリソースを節約できます。
集中ユーザー管理の利点は次のとおりです-
- SAPランドスケープでCUAを設定すると、中央システムのみを使用してユーザーを作成または削除できます。
- 必要な役割と承認はすべて、アクティブなフォームの子システムに存在します。
- すべてのユーザーが一元的に監視および管理されるため、複雑なシステムランドスケープ内のすべてのユーザー管理アクティビティを簡単かつ明確に管理することができます。
- 中央ユーザー管理者を使用すると、1つのシステムランドスケープで同様のユーザーを管理するための費用とリソースを節約できます。
制御された方法でデータを交換できるようにする Application Link Enabling と呼ばれる ALE ランドスケープを使用して実行されるデータ交換。 ALEは、SAPシステムランドスケープ内の子システムへのデータ交換のために中央ユーザー管理者によって使用されます。
複雑なランドスケープ環境では、1つのシステムをALE環境を備えた中央システムとして定義し、これは双方向データ交換を使用してすべての子システムにリンクされます。 ランドスケープの子システムは相互に接続されていません。
集中ユーザー管理を実装するには、次の点を考慮する必要があります-
- 単一/分散環境に複数のクライアントがあるSAP環境が必要です。
- ユーザーを管理する管理者は、次のトランザクションコードの承認が必要です-
- SU01
- SCC4
- SCUA
- SCUM
- SM59
- BD54
- BD64
- システム間に信頼と信頼の関係を作成する必要があります。
- 中央および子システムでシステムユーザーを作成する必要があります。
- 論理システムを作成し、対応するクライアントに論理システムを割り当てます。
- モデルビューとモデルビューへのBAPIを作成します。
- 中央ユーザー管理者を作成し、フィールドの分布パラメーターを設定します。
- 会社の住所を同期する *転送ユーザー
一元管理された環境では、最初に管理者を作成する必要があります。 将来のCUAのすべての論理システムに、デフォルトのパスワードPASSでユーザーSAP* としてログオンします。
トランザクション SU01 を実行し、管理者ロールが割り当てられたユーザーを作成します。
論理システムを定義するには、トランザクション* BD54。*を使用します。新しいエントリをクリックして、新しい論理システムを作成します。
他のSAPシステムのシステムを含む中央およびすべての子システムの中央ユーザー管理用に、大文字の新しい論理名を作成します。
システムを簡単に識別するために、中央ユーザー管理システムを識別するために使用できる次の命名規則があります-
*<システムID> CLNT <クライアント>*論理システムの役立つ説明を入力します。 Save ボタンをクリックして、エントリを保存します。 次に、すべての子システムで中央システムの論理システム名を作成します。
論理システムをクライアントに割り当てるには、トランザクション SCC4 を使用して、変更モードに切り替えます。
ダブルクリックするか、[詳細]ボタンをクリックして、論理システムに割り当てるクライアントを開きます。 クライアントは1つの論理システムにのみ割り当てることができます。
クライアントの詳細の論理システムフィールドに、このクライアントを割り当てる論理システム名を入力します。
Central User Administratorに含めるSAP環境のすべてのクライアントに対して上記の手順を実行します。 設定を保存するには、上部にある[保存]ボタンをクリックします。
SAPでの特定のプロファイルの保護
SAPシステムのセキュリティを維持するには、重要な承認を含む特定のプロファイルを維持する必要があります。 完全な許可を持つSAPシステムでは、保護する必要のあるさまざまなSAP許可プロファイルがあります。
SAPシステムで保護する必要があるいくつかのプロファイルは次のとおりです-
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
SAP_ALL許可プロファイル
SAP_ALL許可プロファイルにより、ユーザーはSAPシステム内のすべてのタスクを実行できます。 これは、SAPシステムのすべての許可を含む複合プロファイルです。 この権限を持つユーザーはSAPシステムですべてのアクティビティを実行できるため、このプロファイルをシステム内のユーザーに割り当てないでください。
1人のユーザーをプロファイルで管理することをお勧めします。 一方、パスワードはそのユーザーに対して十分に保護する必要があり、必要な場合にのみ使用する必要があります。
SAP_ALL権限を割り当てる代わりに、個々の権限を適切なユーザーに割り当てる必要があります。 システムのスーパーユーザー/システム管理では、SAP_ALL承認を割り当てるのではなく、必要な個別の承認を使用する必要があります。
SAP_NEW認証
SAP_NEW許可には、新しいリリースで必要なすべての許可が含まれています。 システムのアップグレードが完了すると、このプロファイルが使用され、一部のタスクが適切に実行されます。
この承認に関する次の点を覚えておく必要があります-
- システムのアップグレードを実行する場合、これより前のリリースのSAP_NEWプロファイルを削除する必要があります。
- 環境内のさまざまなユーザーに、SAP_NEWプロファイルで個別の承認を割り当てる必要があります。
- このプロファイルを長時間アクティブにしないでください。
- 環境内にSAP_NEWプロファイルの長いリストがある場合、システムで許可ポリシーを確認する必要があることが示されます。
すべてのSAP_NEWプロファイルのリストを表示するには、ダブルクリックしてこのプロファイルを選択し、次に[選択]に移動する必要があります。
P_BAS_ALL承認
この許可により、ユーザーは他のアプリケーションのテーブルのコンテンツを表示できます。 この承認には P_TABU_DIS 承認が含まれます。 この承認により、PAユーザーはグループに属していないテーブルコンテンツを表示できます。
PFCGロールのメンテナンス
PFCGロールメンテナンスを使用して、SAPシステムのロールと承認を管理できます。 PFCGでは、役割は実際のシナリオに関連して人が実行する作業を表します。 PFCGを使用すると、個人に割り当てて日常業務を実行できる一連のトランザクションを定義できます。
ロールがPFCGトランザクションで作成されると、トランザクション SU01 を使用してこれらのロールを個々のユーザーに割り当てることができます。 SAPシステムのユーザーには、複数のロールを割り当てることができます。これらのロールは、実際の日常のタスクに関連しています。
これらの役割は、SAPシステムのユーザーと承認との関係にあります。 実際の承認とプロファイルは、SAPシステムのオブジェクトの形式で保存されます。
PFCGロールメンテナンスを使用して、次の機能を実行できます-
- 役割の変更と割り当て
- ロールを作成する
- 複合ロールの作成
- ロールの移送と配布
これらの機能について詳しく説明します。
役割の変更と割り当て
トランザクションの実行:PFCG
ロールメンテナンスウィンドウが表示されます。 既存の役割を変更するには、提供された役割名をフィールドに入力します。
[ロールのコピー]ボタンをクリックして、標準ロールをコピーします。 名前空間から名前を入力します。 値選択ボタンをクリックして、これをコピーするロールを選択します。
SAPが* SAP _、*で始まる配信済みの役割を選択することもできますが、デフォルトの役割は上書きされます。
ロールを変更するには、ロールメンテナンスの[変更]ボタンをクリックします。
[メニュー]タブに移動して、[メニュー]タブページのユーザーメニューを変更します。 [認証]タブに移動して、そのユーザーの認証データを変更します。
エキスパートモードを使用して、[認証]の下のメニュー変更の認証を調整することもできます。 [生成]ボタンをクリックして、このロールのプロファイルを生成します。
ユーザーをこのロールに割り当てるには、[ロールの変更]オプションの[ユーザー]タブに移動します。 ユーザーをこのロールに割り当てるには、システムに存在する必要があります。
必要に応じて、ユーザー比較を実行することもできます。 [ユーザー比較]オプションをクリックします。 また、情報ボタンをクリックして、単一および複合ロールとユーザー比較オプションの詳細を確認し、マスターレコードを比較することもできます。
PFCGでの役割の作成
PFCGでは、単一の役割と複合役割の両方を作成できます。 以下のスクリーンショットに示すように、ロール名を入力し、「単一または複合ロールの作成」をクリックします。
Y_やZ_などの顧客名前空間から選択できます。 SAPが提供する役割はSAP_で始まり、SAPが提供する役割から名前を取得することはできません。
[ロールの作成]ボタンをクリックしたら、ロール定義の[メニュー]タブにトランザクション、レポート、およびWebアドレスを追加する必要があります。
MENUタブ
[認証]タブに移動してプロファイルを生成し、[認証データの変更]オプションをクリックします。
アクティビティの選択に従って、組織レベルを入力するよう求められます。 ダイアログボックスに特定の値を入力すると、ロールの承認フィールドが自動的に維持されます。
参照をロールに適合させることができます。 役割の定義が完了したら、役割を生成する必要があります。 生成(Shift + F5)をクリックします。
この構造では、赤信号が表示されると、値のない組織レベルが表示されます。 [メンテナンス済み]タブの横の[組織レベル]で組織レベルを入力および変更できます。
プロファイル名を入力し、チェックオプションをクリックして、生成ステップを完了します。
[保存]をクリックして、プロファイルを保存します。 [ユーザー]タブに移動して、このロールをユーザーに直接割り当てることができます。 同様の方法で、PFCG Role Maintenance Optionを使用してCompositeロールを作成できます。
ロールの移送と配布
トランザクション-PFCGを実行し、トランスポートするロール名を入力して、トランスポートロールをクリックします。
ロールトランスポートオプションに到達します。 トランスポートロールには複数のオプションがあります-
- 複合ロールの単一ロールを転送します。
- ロール用に生成されたプロファイルを転送します。
- パーソナライゼーションデータ。
次のダイアログボックスで、ユーザーの割り当てに言及し、パーソナライゼーションデータも転送する必要があります。 ユーザー割り当てもトランスポートされる場合、ターゲットシステムのロールのユーザー割り当て全体を置き換えます。
役割のユーザー割り当てをインポートできないようにシステムをロックするには、トランザクション SM30 を使用してカスタマイズテーブル PRGN_CUST に入力し、値フィールド* USER_REL_IMPORT番号*を選択します。
このロールは、カスタマイズ要求に入力されます。 これは、トランザクション SE10 を使用して表示できます。
カスタマイジング依頼では、ロールとともに権限プロファイルが移送されます。
承認情報システムトランザクション– SUIM
Authorization Managementでは、SUIMは重要なツールであり、これを使用してSAPシステムでユーザープロファイルを検索し、それらのプロファイルをそのユーザーIDに割り当てることもできます。 SUIMは、ユーザー、ロール、プロファイル、承認、トランザクション、および比較の検索オプションを提供する初期画面を提供します。
ユーザー情報システムを開くには、トランザクションを実行します: SUIM 。
ユーザー情報システムには、SAPシステムでさまざまな機能を実行するために使用できるさまざまなノードがあります。 ユーザーノードのように、選択基準に基づいてユーザーの検索を実行できます。 ユーザーのロックされたリスト、特定のトランザクションセットへのアクセス権を持つユーザーなどを取得できます。
各タブを展開すると、異なる選択基準に基づいて異なるレポートを生成するオプションがあります。 あなたがユーザータブを展開するときのように、次のオプションがあります-
複雑な選択基準でユーザーをクリックすると、複数の選択条件を同時に適用できます。 次のスクリーンショットは、さまざまな選択基準を示しています。
役割ノード
同様に、このユーザー情報システムの下で、ロール、プロファイル、承認などのさまざまなノードにアクセスできます。
SUIMツールを使用して、役割とプロファイルを検索することもできます。 SUIMでトランザクションごとの検索と割り当てを実行し、それらのロールをそのユーザーIDに割り当てることで、トランザクションのリストを特定のユーザーIDのセットに割り当てることができます。
ユーザー情報システムを使用すると、SAPシステムでさまざまな検索を実行できます。 さまざまな選択基準を入力し、ユーザー、プロファイル、ロール、トランザクション、およびその他のさまざまな基準に基づいてレポートをプルできます。
*RSUSR002* -複雑な選択基準によるユーザー。
