Profilparameter definieren, um Kennwörter und Anmeldungen zu sichern

Objectives

After completing this lesson, you will be able to:
  • Identifizieren Sie Profilparameter, um Benutzerkennwörter und Benutzeranmeldungen zu sichern.
  • Sicherheitsrichtlinien implementieren
  • Geben Sie an, wie Benutzeranmeldungen während der Wartungsarbeiten eingeschränkt werden sollen.
  • Standardbenutzer im SAP-System benennen

Anmeldeparameter

Dieser Abschnitt behandelt Berechtigungen im SAP-System aus operativer Sicht. Unter anderem geht es dabei um folgende Fragen:

  • Mit welchen Systemeinstellungen kann das Anmeldeverhalten beeinflusst werden?

  • Wie können Störungen und Probleme analysiert werden?

Wie in der Abbildung Profilparameter für Benutzerkennwörter dargestellt, wird die Mindestlänge für Kennwörter mit dem Parameter login/min_password_lng definiert. Mit den Parametern login/min_password_digits, login/min_password_letters, login/min_password_lowercase, login/min_password_uppercase und login/min_password_specials wird angegeben, wie viele Ziffern, Buchstaben (Anzahl der Groß- und Kleinbuchstaben) oder Sonderzeichen mindestens in den Kennwörtern vorkommen müssen.

Der Parameter login/password_expiration_time gibt die Anzahl der Tage an, nach denen Benutzer ein neues Kennwort setzen müssen. Wenn der Parameter auf 0 gesetzt ist, müssen die Benutzer ihr Kennwort nicht ändern.

Die folgenden Regeln gelten für alle Kennwörter:

  • Kennwörter dürfen nicht mit „?" oder „!" beginnen.

  • Kennwörter dürfen nicht „pass" lauten.

Hinweis

Die Einstellung, dass ein vom Benutzer neu angelegtes Kennwort nicht mit den letzten 5 Kennwörtern übereinstimmen darf, ist nicht mehr zwingend. Über den Parameter login/password_history_size kann die Historie zwischen 1 und 100 eingestellt werden. Der Vorschlag für den Standardwert ist weiterhin 5.

Weitere Kennworteinschränkungen können in der Tabelle USR40 definiert werden.

Der Parameter login/password_max_idle_initial gibt die maximale Frist an, in der ein Initialkennwort (vom Benutzeradministrator gewähltes Kennwort) gültig bleibt, wenn es nicht benutzt wird. Nachdem diese Frist abgelaufen ist, kann das Kennwort nicht mehr zur Authentifizierung verwendet werden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren.

Der Parameter login/password_max_idle_production gibt an, wie lange ein Produktivkennwort (ein vom Benutzer gewähltes Kennwort) maximal gültig bleibt, wenn es nicht verwendet wird. Nachdem diese Frist abgelaufen ist, kann das Kennwort nicht mehr zur Authentifizierung verwendet werden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren.

Über den Parameter login/min_password_diff kann der Administrator festlegen, in wie vielen Zeichen sich ein neues Kennwort vom alten Kennwort mindestens unterscheiden muss, wenn der Benutzer sein Kennwort ändert. Dieser Parameter wirkt nicht beim Anlegen neuer Benutzer bzw. beim Zurücksetzen von Kennwörtern (für Letzteres gelten die Parameter für Initialkennwörter).

Wie in der Abbildung „Profilparameter für Benutzeranmeldungen" dargestellt, können Sie mit dem Parameter login/fails_to_session_end die Anzahl der fehlgeschlagenen Anmeldeversuche festlegen, nach denen SAP GUI beendet wird. Wenn Benutzer die Anmeldung erneut versuchen möchten, müssen sie SAP GUI neu starten.

Mit dem Parameter login/fails_to_user_lock können Sie einstellen, nach wie vielen fehlgeschlagenen Anmeldeversuchen der Benutzer im SAP-System gesperrt wird. Nach einem erfolgreichen Anmeldeversuch wird der Zähler für die fehlgeschlagenen Anmeldeversuche wieder zurückgesetzt.

Hinweis

Um Mitternacht (Serverzeit) werden die durch fehlerhafte Anmeldeversuche gesperrten Benutzer nicht mehr automatisch vom System entsperrt (Standardwert seit ABAP 7.0). Das automatische Entsperren kann mit dem Parameter login/failed_user_auto_unlock = 1 wieder aktiviert werden.

Der Administrator kann Benutzer in der Benutzerpflege (Transaktion SU01) entsperren, sperren oder ihnen ein neues Kennwort zuweisen.

Wird der Parameter login/disable_multi_gui_login auf 1 gesetzt, kann sich ein Benutzer nicht mehrfach an einem Mandanten anmelden. Dies kann aus Gründen der Systemsicherheit gewünscht sein. Wenn der Parameter auf 1 gesetzt ist und Benutzer versuchen, sich in einer neuen Anmeldesitzung am System anzumelden, können sie entweder mit der neuen Sitzung fortfahren, indem sie die vorherige beenden oder den Anmeldeversuch beenden. Benutzer, für die dies nicht gelten soll, sollten im Parameter login/multi_login_users durch Kommas getrennt und ohne Leerzeichen angegeben werden.

Sicherheitsrichtlinien

Zusätzlich zu den Anmeldeparametern können Sie Sicherheitsrichtlinien anlegen, um das Anmeldeverhalten und das Systemverhalten für Kennwortregeln und -änderungen zu steuern. Sicherheitsrichtlinien ersetzen das Verhalten, das durch Profilparameter definiert wird.

Einzelne Benutzer benötigen manchmal eine nicht standardmäßige Sicherheitsrichtlinie in Bezug auf Anmeldeverhalten und Kennwörter. Beispielsweise sollte für Benutzer mit umfangreichen Berechtigungen (z.B. mit Administratorkennwörtern) eine höhere Sicherheitsstufe festgelegt werden als für Standardbenutzer. Solche Benutzer sollten häufiger zum Ändern ihres Kennworts aufgefordert werden und komplexeren Kennwortregeln unterliegen. Wenn solche Anforderungen jedoch auch für Standardbenutzer gelten, kann dies zu einer Zunahme der Helpdesk-Anfragen führen.

Eine Sicherheitsrichtlinie ist eine Sammlung von Sicherheitsattributen und deren Werten. Sie legen Sicherheitsrichtlinien in der Transaktion SECPOL an, in der Sie die Attribute mit bestimmten Werten für ein gewünschtes Anmelde- und Systemverhalten definieren. Der Vorteil von Sicherheitsrichtlinien besteht darin, dass Sie diese benutzer- und mandantenabhängig zuordnen können.

Notiz

Das Anlegen von Sicherheitsrichtlinien ist eine Customizing-Operation. Aus diesem Grund benötigen Sie einen Customizing-Transportauftrag.

Wie in der Abbildung „Sicherheitsrichtlinie definieren und zuordnen" dargestellt, müssen Sie die folgenden Schritte ausführen, um eine Sicherheitsrichtlinie anzulegen und zuzuordnen:

  1. In der Transaktion SECPOL legen Sie über Neue Einträge eine neue Sicherheitsrichtlinie an.
  2. Geben Sie die Attribute für die Sicherheitsrichtlinie an, indem Sie den Knoten Attribute wählen.
  3. Ordnen Sie die Sicherheitsrichtlinie in der Benutzerpflege (Transaktion SU01) einem Benutzer zu.

    Geben Sie auf der Registerkarte Anmeldedaten das angelegte Sicherheitskonzept in das Feld Sicherheitsrichtlinie ein.

    Sie können es auch über die Massenbenutzerpflege (Transaktion SU10) mehreren Benutzern zuordnen.

Wie in der Abbildung „Sicherheitsrichtlinie definieren und zuordnen" dargestellt, müssen Sie die folgenden Schritte ausführen, um eine Sicherheitsrichtlinie anzulegen und zuzuordnen:

Sobald Sie einem Benutzerstammsatz eine Sicherheitsrichtlinie zuordnen, definiert sie das gewünschte Verhalten. Wenn Sie das Feld leer lassen, gilt das mit Profilparametern definierte Standardverhalten.

(Optional) Sicherheitsrichtlinie verwenden

Voraussetzungen

Unternehmensszenario

Als SAP-Systemadministrator möchten Sie ein dediziertes Sicherheitskonzept anlegen und es ausgewählten Benutzern zuordnen.

Notiz

Wenn ein Wert oder Objektname in dieser Übung ## enthält, ersetzen Sie ## durch die Zahl, die Ihnen Ihr Referent angibt.

Schritte

  1. Legen Sie eine Sicherheitsrichtlinie LOWSEC## an, die eine Mindestlänge des Kennworts von 6 Zeichen zulässt.

    1. Sie arbeiten als Benutzer TRAIN-## in Ihrem SAP-System.

    2. Rufen Sie die Transaktion SECPOL AUF.

    3. Wählen Sie Bearbeiten, um vom Anzeige- in den Änderungsmodus zu wechseln.

    4. Wählen Sie Neue Einträge (F5).

    5. Geben Sie im Feld SicherheitsrichtlinieLOWSEC## ein. Geben Sie im Feld Kurztext eine beliebige Kurzbeschreibung ein. Wenn Sie fertig sind, wählen Sie Sichern (Strg+S).

    6. Geben Sie bei Bedarf einen Customizing-Auftrag an, oder legen Sie einen an.

    7. Markieren Sie im Änderungsmodus das Ankreuzfeld links neben Ihrer LOWSEC##-Sicherheitsrichtlinie.

    8. Doppelklicken Sie auf Attribute (im Bereich Dialogstruktur auf der linken Seite).

    9. Wählen Sie Neue Einträge (F5).

    10. Verwenden Sie im Feld Richtlinienattributname die Eingabehilfe, um MIN_PASSWORD_LENGTH auszuwählen. Geben Sie im Feld Attributwert den Wert 6 ein.

    11. Wenn Sie fertig sind, wählen Sie Sichern (Strg+S). Bestätigen Sie ggf. den Customizing-Auftrag.

  2. Ordnen Sie Ihr Sicherheitskonzept LOWSEC## Ihrem Benutzer ADMIN-## zu.

    1. Fahren Sie mit der Arbeit in Ihrem SAP-System fort.

    2. Rufen Sie die Transaktion SU01 AUF.

    3. Geben Sie im Feld BenutzerADMIN-## ein.

    4. Wählen Sie Ändern (Umsch+F6).

    5. Wählen Sie die Registerkarte Logondaten.

    6. Verwenden Sie im Feld Sicherheitsrichtlinie die Eingabehilfe, um LOWSEC## auszuwählen.

    7. Wählen Sie Sichern (Strg+S).

  3. Ändern Sie als Benutzer TRAIN-## das Kennwort des Benutzers ADMIN-##. Wählen Sie für das neue Kennwort eine Länge von 6 bis 9 Zeichen.

    1. Starten Sie das Einstiegsbild der Transaktion SU01, und vergewissern Sie sich, dass im Feld Benutzer weiterhin der Benutzer ADMIN-## angezeigt wird.

    2. Wählen Sie Kennwort ändern (Umsch+F8).

    3. Geben Sie ein neues Initialkennwort (zweimal) ein, das für die aktuellen Sicherheitseinstellungen gilt. Stellen Sie eine Länge von 6 bis 9 Zeichen sicher.

Ergebnis

Obwohl der Profilparameter login/min_password_lng noch auf dem (Standard-)Wert 10 steht, akzeptiert Ihr SAP-System kürzere Kennwörter für Benutzer mit der Sicherheitsrichtlinie LOWSEC##.

Notiz

Sicherheitsrichtlinien sind mandantenabhängig und können transportiert werden.

Benutzeranmeldungen während der Ausführung von Wartungsarbeiten einschränken

Der SAP-Systemadministrator muss die Systemausfallzeit manuell verwalten. Das bedeutet, dass es in der Verantwortung des Administrators liegt, das SAP-System zu sperren, die Benutzer abzumelden, die Batch-Verarbeitung zu stoppen, RFC-Verbindungen sowie jegliche andere Schnittstellenkommunikation zu unterbrechen usw.

Wenn beispielsweise Wartungsarbeiten am System durchgeführt werden, sollten sich nur bestimmte Administratoren am System anmelden können.

Optionen zum Einschränken der Benutzeranmeldungen am Anwendungsserver

  • Setzen des Profilparameters login/server_logon_restriktion
  • Definieren einer Wartungsperiode mit der Transaktion SMAINTENANCE

Mit einer dieser Optionen können Sie die Anmeldung am Anwendungsserver einschränken. Im Allgemeinen sind Benutzer nicht berechtigt, sich am System anzumelden. Nur Benutzer mit einer bestimmten Sicherheitsrichtlinie können sich am System anmelden.

Die Sicherheitsrichtlinie muss entweder das Attribut SERVER_LOGON_PRIVILEGE mit dem Wert 1 oder das Attribut TENANT_RUNLEVEL_PRIVILEGE mit dem Wert 1 enthalten.

Einschränken von Benutzeranmeldungen durch Setzen des Parameters login/server_logon_Restriction

. Der Parameter login/server_logon_Restriction kann in RZ11 dynamisch geändert werden, ohne das SAP-System neu zu starten.

Mögliche Werte für Parameter login/server_logon_Restriction

  • 0: keine Einschränkung

  • 1: Anmeldung am Applikationsserver nur mit spezieller Berechtigung erlaubt

  • 2: Keine Anmeldung am Applikationsserver erlaubt

  • 3: Eine externe Anmeldung am Applikationsserver ist nur mit Sonderrechten erlaubt

  • 4: Keine externe Anmeldung am Applikationsserver erlaubt

Folgende Werte sind möglich:

  • 0: keine Einschränkung

    Sämtliche Benutzer können sich am Anwendungsserver anmelden.

  • 1: Anmeldung am Applikationsserver nur mit spezieller Berechtigung erlaubt

    Nur Benutzer, denen eine bestimmte Sicherheitsrichtlinie zugeordnet ist, können sich am System anmelden. Die Sicherheitsrichtlinie muss das Attribut SERVER_LOGON_PRIVILEGE mit dem Wert 1 enthalten. Benutzer, die versuchen, sich ohne diese spezielle Berechtigung am System anzumelden, erhalten eine Fehlermeldung, die besagt, dass der Server derzeit nicht allgemein verfügbar ist (eingeschränkte Anmeldung).

  • 2: Keine Anmeldung am Applikationsserver erlaubt

    Benutzer, die versuchen, sich am System anzumelden, erhalten eine Fehlermeldung, die besagt, dass der Server derzeit nicht allgemein verfügbar ist (Anmeldung nicht möglich).

  • 3: Eine externe Anmeldung am Applikationsserver ist nur mit Sonderrechten erlaubt

    Es können sich nur diejenigen Benutzer extern am System anmelden, denen eine Sicherheitsrichtlinie zugeordnet ist, die das Attribut SERVER_LOGON_PRIVILEGE mit dem Wert 1 enthält. Benutzer, die versuchen, sich ohne spezielle Berechtigung extern am System anzumelden, sehen folgende Fehlermeldung: Server ist derzeit nicht allgemein verfügbar (eingeschränkte Anmeldung).

    Im SAP-Hinweis 2065596 – Externe Anmeldungen am Anwendungsserver einschränken wird beschrieben, bei welchen Anmeldungsarten es sich um externe Anmeldungen handelt.

  • 4: Keine externe Anmeldung am Applikationsserver erlaubt

    Benutzer, die versuchen, sich ohne Sonderrechte extern am System anzumelden, sehen folgende Fehlermeldung: Server ist derzeit nicht verfügbar (Anmeldung nicht erlaubt).

Hinweis

Wenn dieser dynamische Profilparameter gesetzt wird, werden aktive Benutzer nicht vom Anwendungsserver abgemeldet. Verwenden Sie die Transaktion RZ10, um diesen Wert dauerhaft zu sichern. Über den Verwendungsnachweis im Benutzerinformationssystem (Transaktion SUIM) können Sie herausfinden, welchen Benutzern die Sicherheitsrichtlinie mit dem Attribut SERVER_LOGON_PRIVILEGE zugeordnet wurde. Starten Sie dazu die Transaktion SUIM und wählen Sie VerwendungsnachweisSicherheitsrichtlinienIn Benutzern.

Wenn Sie den Notfallbenutzer SAP* aktiviert haben, ist eine Anmeldung am System mit dem SAP*-Benutzer immer möglich. Der Notfallbenutzer ist aktiv, wenn der Profilparameter login/no_automatic_user_sapstar auf 0 gesetzt und für den Benutzer SAP* kein Benutzerstammsatz in der Transaktion SU01 definiert ist.

Definieren eines Wartungszeitraums mit der Transaktion SMAINTENANCE

Mit der Transaktion SMAINTENANCE können Sie einen Wartungszeitraum definieren. Während dieses Wartungszeitraums können sich normale Benutzer nicht anmelden.

Nur Benutzer, denen eine bestimmte Sicherheitsrichtlinie zugeordnet ist, können sich am System anmelden. Die Sicherheitsrichtlinie muss das Attribut TENANT_RUNLEVEL_PRIVILEGE mit dem Wert 1 enthalten.

Benutzer, die versuchen, sich ohne Sonderrechte extern am System anzumelden, sehen die folgende Fehlermeldung: Server ist zu diesem Zeitpunkt im Allgemeinen nicht verfügbar (nur Wartung).

Außerdem werden nur Admin-Batch-Jobs ausgeführt (alle anderen Jobs werden zurückgestellt). Weitere Informationen finden Sie in der SAP-Online-Dokumentation für SAP S/4HANA (Product Assistance) im Bereich UnternehmenstechnologieABAP-PlattformABAP-Plattform verwaltenAdministrationskonzepte und WerkzeugeAdministration des Application Server ABAPWartungsmodus.

Inaktive Benutzer sperren

Mit dem Bericht RSUSR_LOCK_USERS können Sie inaktive Benutzer sperren. Mithilfe des Berichts können Sie die Benutzer automatisch auswählen und sperren. Wählen Sie die Kriterien zum Sperren der Benutzer auf dem Selektionsbild des Berichts RSUSR_LOCK_USERS aus. Sie können das Ergebnis der Selektion zunächst prüfen und die Benutzer anzeigen. Sie können die entsprechenden Benutzer jedoch auch sofort sperren. Beachten Sie, dass hierbei nur eine lokale Benutzersperre gesetzt wird. Sie können den Bericht online und im Hintergrund ausführen.

Initialkennwörter der Standardbenutzer

Es gibt zwei grundlegende Arten von Standardbenutzern: diejenigen, die durch die Installation des SAP-Systems angelegt wurden, und solche, die beim Kopieren von Mandanten angelegt wurden.

Wie in der Abbildung „Standardbenutzer" dargestellt, werden während der Installation des SAP-Systems die Mandanten 000 und (abhängig vom System/Release) 066 angelegt. Der Mandant 001 wird nicht immer während einer SAP-Installation angelegt, sondern kann auch anderweitig hinzukommen, z.B. bei einer SAP-ECC-Installation. In den Mandanten sind Standardbenutzer vordefiniert. Die Standardnamen und Standardkennwörter dieser Benutzer sind eventuell Dritten bekannt. Daher müssen Sie sie vor unberechtigtem Zugriff schützen.

  • Der Standardbenutzer des SAP-Systems, SAP*

    SAP* ist im Systemcode definiert. Daher ist dies der einzige Benutzer im SAP-System, für den kein Benutzerstammsatz erforderlich ist. SAP* hat standardmäßig das Kennwort PASS sowie uneingeschränkte Zugriffsberechtigungen auf das System.

    Bei der Installation des SAP-Systems wird automatisch ein Benutzerstammsatz für SAP* im Mandanten 000 (und 001, falls vorhanden) angelegt. Während des Installationsprozesses wird der Administrator aufgefordert, ein Kennwort einzugeben (in der Eingabeaufforderung für das Master-Kennwort). Der Installationsprozess wird fortgesetzt, sobald das Kennwort eingegeben wurde. Durch diesen angelegten Stammsatz werden die besonderen Eigenschaften von SAP* deaktiviert, sodass nur noch die im Benutzerstammsatz festgelegten Berechtigungen sowie das dort festgelegte Kennwort gültig sind.

    Hinweis

    Besonderheiten des Benutzers SAP*.

    Wenn Sie proaktiv sicherstellen möchten, dass der Benutzer SAP* für die meisten Notfallsituationen nicht mehr benötigt wird und dem Notfallbenutzer nicht mehr das allgemeine Profil SAP_ALL zugeordnet werden muss, lesen Sie den SAP-Hinweis 76829Notfallrolle für Benutzerverwaltung.

    Notiz

    Ab SAP_BASIS 754 wurden die Mandantenkopierverfahren geändert und erweitert. Weitere Informationen finden Sie im SAP-Hinweis 2962811New Client Copy Tool: General Information. Dieses neue Werkzeug umfasst eine verbesserte Sicherheit und einen geringeren manuellen Aufwand, d.h. der Benutzer SAP* wird nicht mehr benötigt, um Mandantenkopien durchzuführen, da das SAP-System nicht neu gestartet werden muss. Darüber hinaus wird sie zur besseren Prozessautomatisierung über Aufgabenlisten in den ABAP-Task-Manager integriert.

  • Der DDIC-Benutzer

    Dieser Benutzer ist für die Pflege des ABAP Dictionary und der Software-Logistik zuständig.

    Bei der Installation des SAP-Systems wird für den Benutzer DDIC automatisch ein Benutzerstammsatz im Mandanten 000 (und 001, falls vorhanden) angelegt. Während der Installation werden Sie aufgefordert, ein Kennwort für diesen Benutzer einzugeben, ähnlich der Master-Kennwortabfrage für den SAP*-Benutzer. Für den Benutzer DDIC wurden im Systemcode bestimmte Berechtigungen vordefiniert, sodass er sich beispielsweise als einziger Benutzer während der Installation eines Upgrades am SAP-System anmelden kann.

  • Der Benutzer EarlyWatch

    Abhängig vom System/Release wird der Benutzer EarlyWatch im Mandanten 066 ausgeliefert und ist mit dem Kennwort SUPPORT geschützt. Mit diesem Benutzer arbeiteten die EarlyWatch-Experten von SAP. Dieser Benutzer sollte nicht gelöscht werden. Ändern Sie das Kennwort. Dieser Benutzer sollte nur für EarlyWatch-Funktionen (Monitoring und Performance) verwendet werden.

    Mandant 066 wird nicht mehr verwendet und kann gelöscht werden. Weitere Informationen finden Sie im SAP-Hinweis 1749142 – Entfernen ungenutzter Mandanten wie Mandant 001 und 066.

Achtung

Um das System vor unberechtigtem Zugriff zu schützen, empfiehlt SAP, diese Benutzer im Mandanten 000 [001] der Benutzergruppe SUPER zuzuordnen. Diese Benutzergruppe wird nur Superusern zugeordnet.

Sie können dieses Problem lösen, um das System gegen Missbrauch zu schützen, indem Sie die besonderen Eigenschaften von SAP* deaktivieren. Um SAP* zu deaktivieren, setzen Sie den Systemprofilparameter login/no_automatic_user_sapstar auf einen Wert > 0. Ist der Parameter aktiv, hat SAP* keine besonderen Eigenschaften mehr. Wenn Sie jetzt den Benutzerstammsatz „SAP*" löschen, funktioniert die Anmeldung mit PASS nicht mehr.

Zur Wiederherstellung der früheren Eigenschaften von SAP* müssen Sie den Parameter zurücksetzen und das System neu starten.

Learning

SAP FacebookSAP YoutubeSAP LinkedIn