Sap-security-unauthorizing-logons-protections
ログオン保護の認証解除
SAPシステムにセキュリティを実装するには、SAP環境での失敗したログインを監視する必要があります。 誰かが間違ったパスワードを使用してシステムにログインしようとすると、システムはユーザー名をしばらくロックするか、定義された試行回数後にセッションを終了する必要があります。
さまざまなセキュリティパラメータを不正なログオン試行に対して設定できます-
- セッションを終了する
- ユーザーのロック
- スクリーンセーバーの有効化
- ログオン試行の失敗の監視
- ログオン試行の記録
次に、これらのそれぞれについて詳しく説明します。
セッションを終了する
単一のユーザーIDでログイン試行が複数回失敗すると、システムはそのユーザーのセッションを終了します。 これは、Profileパラメーターを使用して送信する必要があります-* login/fails_to_session_end。*
パラメータ値を変更するには、トランザクション RZ10 を実行し、次のスクリーンショットに示すようにプロファイルを選択します。 Extended Maintenanceを選択し、 Display をクリックします。
変更するパラメーターを選択し、下に示すように上部の[パラメーター]ボタンをクリックします。
[パラメータ]タブをクリックすると、新しいウィンドウでパラメータの値を変更できます。 * Create(F5)*ボタンをクリックして、新しいパラメーターを作成することもできます。
このパラメーターの詳細を表示するには、トランザクションコード: RZ11 を実行し、プロファイル名- login/fails_to_session_end を入力して、 Display Document をクリックします。
- パラメータ-login/fails_to_session_end
- ショートテキスト-セッションが終了するまでの無効なログイン試行回数。
- パラメータの説明-ログオン手順が終了するまで、ユーザーマスタレコードで実行できる無効なログイン試行の回数。
- アプリケーションエリア-ログオン
- デフォルト値-3
- *誰が変更を加えることができますか?-顧客
- オペレーティングシステムの制限-なし
- データベースシステムの制限-なし
- *他のパラメーターは影響を受けていますか?
- 許可される値-1-99
上記のスクリーンショットでは、このパラメーターの値が3に設定されていることがわかります。 デフォルト値も。 3回ログインに失敗すると、1人のユーザーのセッションが終了します。
ユーザーのロック
また、単一のユーザーIDでログオン試行の連続した失敗回数が設定された回数を超えた場合、特定のユーザーIDにチェックを入れることもできます。 プロファイルパラメータ login/fails_to_user_lock で許可される無効なログオン試行回数を設定します。
- 特定のユーザーIDにロックを設定することができます。
- ロックは深夜までユーザーIDに適用されます。 ただし、システム管理者がいつでも手動で削除することもできます。
- SAPシステムでは、ユーザーIDが手動で削除されるまでユーザーIDにロックを許可するパラメーター値を設定することもできます。 パラメーター名: login/failed_user_auto_unlock 。
- プロファイルパラメータ:login/fails_to_user_lock *
誤ったログオンパスワードが入力されるたびに、関連するユーザーマスタレコードの失敗したログオンカウンターが増加します。 ログオンの試行は、セキュリティ監査ログに記録できます。 このパラメーターで指定された制限を超えると、関連するユーザーがロックされます。 このプロセスはSyslogにも記録されます。
現在の日が過ぎると、ロックは無効になります。 (その他の条件-login/failed_user_auto_unlock)
ユーザーが正しいパスワードを使用してログオンすると、失敗したログオンカウンターはリセットされます。 パスワードベースではないログオンは、失敗したログオンカウンターには影響しません。 ただし、ログオンごとにアクティブなログオンロックがチェックされます。
- 許可される値-1 – 99
このパラメーターの現在の値を確認するには、 T-Code:RZ11 を使用します。
- パラメータ名-login/failed_user_auto_unlock
- 短いテキスト-真夜中にロックされたユーザーの自動ロック解除を無効にします。
- パラメータの説明-誤ってログオンしてロックされたユーザーのロック解除を制御します。 パラメーターが1に設定されている場合、パスワードログオン試行の失敗により設定されたロックは、同じ日にのみ(ロックとして)適用されます。 パラメータが0に設定されている場合、ロックは有効なままです。
- アプリケーションエリア-ログオン。
- デフォルト値-0。
スクリーンセーバーの有効化
システム管理者は、スクリーンセーバーを有効にして、フロントエンド画面を不正アクセスから保護することもできます。 これらのスクリーンセーバーはパスワードで保護できます。
失敗したログオン試行の監視とログオン試行の記録
SAPシステムでは、レポート RSUSR006 を使用して、システムでログオンに失敗したユーザーがいるかどうかを確認できます。 このレポートには、ユーザーによる不正なログイン試行回数とユーザーロックに関する詳細が含まれており、要件に従ってこのレポートをスケジュールできます。
*ABAP Editor SE38* に移動してレポート名を入力し、 *EXECUTE* をクリックします。
このレポートには、ユーザー名、タイプ、作成者、作成者、パスワード、ロック、不正なログインの詳細など、さまざまな詳細があります。
SAPシステムでは、セキュリティ監査ログ(トランザクションSM18、SM19、SM20)を使用して、成功したログオン試行と失敗したログオン試行をすべて記録することもできます。 SM20トランザクションを使用してセキュリティ監査ログを分析できますが、セキュリティ監査ログを監視するには、システムでセキュリティ監査をアクティブにする必要があります。
アイドルユーザーのログオフ
ユーザーがすでにSAPシステムにログインしていて、セッションが特定の期間アクティブでない場合、ユーザーをログオフに設定して不正アクセスを回避することもできます。
この設定を有効にするには、プロファイルパラメータ rdisp/gui_auto_logout でこの値を指定する必要があります。
- パラメータの説明-事前定義された期間が経過すると、非アクティブなSAP GUIユーザーがSAPシステムから自動的にログオフされるように定義できます。 パラメータはこの時間を設定します。 SAPシステムの自動ログオフはデフォルトで無効になっています(値0)。つまり、ユーザーが長時間アクションを実行しなくてもログオフされません。
- 許可される値-n [単位]、ここでn> = 0および単位= S | M | H | D
パラメータの現在の値を確認するには、T-Code: RZ11 を実行します。
次の表は、主要なパラメータのリスト、SAPシステムでのデフォルト値および許可値を示しています-
Parameter | Description | Default | Permitted Value |
---|---|---|---|
Login/fails_to_session_end | Number of invalid login attempts until session end | 3 | 1-99 |
Login/fails_to_user_lock | Number of invalid login attempts until user lock | 12 | 1-99 |
Login/failed_user_auto_unlock | When sets t 1: Locks apply on the day that they are set.They are removed the next day when the user logs on | 1 | 0 or 1 |
rdisp/gui_auto_output | Maximum idle time for a user in number of seconds | 0(no limit) | unrestricted |