Sap-security-user-authentication-management
ユーザー認証と管理
許可されていないユーザーが既知の許可されたユーザーの下でSAPシステムにアクセスでき、構成を変更し、システム構成とキーポリシーを操作できる場合。 承認されたユーザーがシステムの重要なデータと情報にアクセスできる場合、そのユーザーは他の重要な情報にもアクセスできます。 これにより、安全な認証の使用が強化され、ユーザーシステムの可用性、整合性、プライバシーが保護されます。
SAPシステムの認証メカニズム
認証メカニズムは、SAPシステムへのアクセス方法を定義します。 提供されているさまざまな認証方法があります-
- ユーザーIDとユーザー管理ツール
- 安全なネットワーク通信
- SAPログオンチケット
- X.509クライアント証明書
ユーザーIDとユーザー管理ツール
SAPシステムでの最も一般的な認証方法は、ユーザー名とパスワードを使用してログインすることです。 ログインするユーザーIDは、SAP管理者によって作成されます。 ユーザー名とパスワードを介して安全な認証メカニズムを提供するには、ユーザーが簡単に予測できるパスワードを設定できないようにするパスワードポリシーを定義する必要があります。
SAPは、パスワードポリシー-パスワードの長さ、パスワードの複雑さ、デフォルトのパスワード変更などを定義するために設定する必要があるさまざまなデフォルトパラメータを提供します
SAPシステムのユーザー管理ツール
*SAP NetWeaver System* は、環境内のユーザーを効果的に管理するために使用できるさまざまなユーザー管理ツールを提供します。 これらは、JavaとABAPの両方のタイプのNetWeaverアプリケーションサーバーに非常に強力な認証方法を提供します。
最も一般的なユーザー管理ツールのいくつかは-
ABAPアプリケーションサーバーのユーザー管理(トランザクションコード:SU01)
ユーザー管理Transaction-Code SU01を使用して、ABAPベースのアプリケーションサーバーでユーザーを管理できます。
SAP NetWeaver Identity Management
SAP NetWeaver Identity Managementを使用して、ユーザー環境の管理だけでなく、SAP環境のロールとロールの割り当てを管理できます。
PFCGの役割
プロファイルジェネレータPFCGを使用して、ロールを作成し、ABAPベースのシステムのユーザーに権限を割り当てることができます。
トランザクションコード-PFCG
集中ユーザー管理
CUAを使用して、複数のABAPベースのシステムのユーザーを管理できます。 ディレクトリサーバーと同期することもできます。 このツールを使用すると、システムのクライアントからすべてのユーザーマスタレコードを一元管理できます。
トランザクションコード-SCUAおよび配布モデルを作成します。
ユーザー管理エンジンUME
UMEロールを使用して、システム内のユーザー認証を制御できます。 管理者は、ユーザーがアクセス権を構築するために使用できるUMEロールの最小のエンティティを表すアクションを使用できます。
SAP NetWeaver Administratorオプションを使用してUME管理コンソールを開くことができます。
パスワードポリシー
パスワードポリシーは、強力なパスワードを使用して適切に使用することにより、システムのセキュリティを向上させるために従う必要がある一連の指示として定義されます。 多くの組織では、パスワードポリシーはセキュリティ意識向上トレーニングの一環として共有されており、ユーザーが組織内の重要なシステムおよび情報のセキュリティポリシーを維持することは必須です。
管理者は、SAPシステムでパスワードポリシーを使用して、簡単に解読できない強力なパスワードを展開するようにシステムユーザーをセットアップできます。 これは、システムセキュリティのために定期的にパスワードを変更するのにも役立ちます。
次のパスワードポリシーは、SAPシステムで一般的に使用されています-
デフォルト/初期パスワード変更
これにより、ユーザーは最初に使用するときにすぐに初期パスワードを変更できます。
パスワードの長さ
SAPシステムでは、SAPシステムのパスワードの最小長はデフォルトで3です。 この値は、プロファイルパラメーターを使用して変更でき、許可される最大長は8です。
トランザクションコード-RZ11
パラメータ名-login/min_password_lng
このポリシーのプロファイルパラメータのドキュメントをクリックすると、次のようにSAPから詳細なドキュメントを見ることができます-
パラメータ-login/min_password_lng
短いテキスト-パスワードの最小の長さ
パラメータの説明-このパラメータは、ログオンパスワードの最小長を指定します。 パスワードには少なくとも3文字が必要です。 ただし、管理者はより長い最小長を指定できます。 この設定は、新しいパスワードが割り当てられたとき、および既存のパスワードが変更またはリセットされたときに適用されます。
アプリケーションエリア-ログオン
パラメータ単位-文字数(英数字)
デフォルト値-6
- 誰が変更を加えることができますか?*顧客
オペレーティングシステムの制限-なし
データベースシステムの制限-なし
不正なパスワード
パスワードの最初の文字を疑問符(?)または感嘆符(!)として選択することはできません。 無効なパスワードテーブルに制限する他の文字を追加することもできます。
トランザクションコード-SM30テーブル名:USR40。
*USR40* の表を入力し、上部の[表示]をクリックすると、許可されていないすべてのパスワードのリストが表示されます。
[新しいエントリ]をクリックすると、このテーブルに新しい値を入力し、大文字と小文字を区別するチェックボックスを選択できます。
パスワードパターン
パスワードの最初の3文字をユーザー名の一部と同じ順序で表示できないように設定することもできます。 パスワードポリシーを使用して制限できるさまざまなパスワードパターンには、次のものがあります-
- 最初の3文字をすべて同じにすることはできません。
- 最初の3文字にスペース文字を含めることはできません。
- パスワードをPASSまたはSAPにすることはできません。
パスワードの変更
このポリシーでは、ユーザーは1日にほぼ1回パスワードを変更できますが、管理者は必要に応じて何度でもユーザーのパスワードをリセットできます。
ユーザーが最後の5つのパスワードを再利用することを許可しないでください。 ただし、管理者は以前にユーザーが使用したパスワードをリセットできます。
プロファイルパラメータ
ユーザー管理とパスワードポリシーのためにSAPシステムで定義できるさまざまなプロファイルパラメータがあります。
SAPシステムでは、ツール→CCMS→設定→プロファイル更新(トランザクション:RZ11)に移動して、各プロファイルパラメータのドキュメントを表示できます。 パラメータ名を入力し、*表示*をクリックします。
表示される次のウィンドウでは、パラメータ名を入力する必要があります、あなたは2つのオプションを見ることができます-
表示-SAPシステムのパラメータの値を表示します。
*Display Docu* -そのパラメーターのSAPドキュメントを表示します。
[表示]ボタンをクリックすると、[プロファイルパラメータの維持]画面に移動します。 あなたは次の詳細を見ることができます-
- Name
- Type
- 選択基準
- パラメータグループ
- パラメータの説明など
下部には、パラメータ login/min_password_lng の現在の値があります
[*ドキュメントの表示]オプションをクリックすると、パラメータのSAPドキュメントが表示されます。
パラメータ説明
このパラメーターは、ログオンパスワードの最小長を指定します。 パスワードには少なくとも3文字が必要です。 ただし、管理者はより長い最小長を指定できます。 この設定は、新しいパスワードが割り当てられたとき、および既存のパスワードが変更またはリセットされたときに適用されます。
各パラメータにはデフォルト値があり、許容値は以下のとおりです-
SAPシステムには、さまざまなパスワードパラメータがあります。 RZ11 トランザクションで各パラメーターを入力し、ドキュメントを表示できます。
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_specials
- login/min_password_lowercase
- login/min_password_uppercase
- login/disable_password_logon
- login/password_charset
- login/password_downwards_compatibility
- login/password_compliance_to_current_policy
パラメーター値を変更するには、 Transaction RZ10 を実行し、以下に示すようにプロファイルを選択します-
複数のアプリケーションサーバー-デフォルトプロファイルを使用します。
シングルアプリケーションサーバー-インスタンスプロファイルを使用します。
*Extended Maintenance* を選択し、 *Display* をクリックします。
変更するパラメーターを選択し、上部の[パラメーター]をクリックします。
[パラメータ]タブをクリックすると、新しいウィンドウでパラメータの値を変更できます。 * Create(F5)*をクリックして、新しいパラメーターを作成することもできます。
このウィンドウでパラメータのステータスを確認することもできます。 パラメータ値を入力し、[コピー]をクリックします。
画面を終了すると、保存するように求められます。 [はい]をクリックして、パラメーター値を保存します。