课程:登录参数和用户信息
课程概述
在本课中,您将了解在用户管理中很重要的系统参数,例如登录行为。您可以使用信息系统获取有关任何错误登录尝试的信息。使用系统跟踪分析失败的授权检查。本课还将讨论使用中央目录服务来维护用户主记录,例如记录中包含的地址数据。
课程目标
完成本课程后,您将能够:
• 为用户登录设置系统参数
• 在 SAP 系统中命名标准用户
• 定位授权问题
业务示例
用户因缺少授权而遇到问题。管理员可以使用系统工具分析这些。
登录参数
本课从操作的角度处理 SAP 系统中的授权。除其他事项外,还考虑了以下问题: 哪些系统设置可用于影响登录行为?如何分析错误和问题?
图 73:用户登录的系统参数 1/2
您可以使用参数 login/min_password_lng 设置密码的最小长度。 参数 login/min_password_digits,login/min_password_letters、login/min_password_lowercase、login/min_pass-word_uppercase 和 login/min_password_specials 指定密码必须包含的最小数字、字母(大小写数)或特殊字符数。
参数 login/password_expiration_time 指定用户必须设置新密码的天数。如果该参数设置为 0,则用户无需更改密码。
对于不能停用的密码有一般规则。密码
• 不能以“?”开头或者 ”!”
• 不得通过
您可以在表 USR40 中定义其他密码限制。
SAP Web Application Server 6.20 和 6.40 提供了参数login/password_max_new_valid 和 login/password_max_reset_valid。他们指定了新创建用户的初始密码或管理员重置的密码的有效期。在 SAP NetWeaver AS 7.0 中,它们已被参数 login/password_max_idle_initial 取代。
SAP NetWeaver AS 7.0 中的另一个新参数是 login/password_max_idle_productive。这表示生产密码(用户选择的密码)在不使用时保持有效的最长时间。一旦此期限到期,该密码就不能再用于身份验证。用户管理员可以通过分配新的初始密码来重新激活密码登录。
使用参数 login/min_password_diff,管理员可以在用户更改密码时确定新密码与旧密码相比必须具有的不同字符数。此参数在新建用户或重置密码(==> 初始密码)时不生效。
图 74:用户登录的系统参数 2/2
您可以使用参数 login/fails_to_session_end 设置终止 SAP GUI 的登录尝试失败次数。如果用户想再试一次,他或她必须重新启动 SAP GUI。
您可以使用参数 login/fails_to_user_lock 设置用户在 SAP 系统中锁定的失败登录尝试次数。成功登录尝试后,失败的登录计数器被重置。
管理员可以在用户维护(事务 SU01)中为用户解锁、锁定或分配新密码。
如果参数 login/disable_multi_gui_login 设置为 1,则用户不能多次登录客户端。出于系统安全原因,这可能是可取的。如果该参数设置为 1,则用户在再次登录时有以下选项: 继续此登录并结束系统中的任何其他登录或终止此登录。应该在参数 login/multi_login_users 中指定不适用此规则的用户,用逗号分隔,并且没有空格。
标准用户的初始密码
图 75:标准用户
本质上,有两种类型的标准用户:通过安装 SAP 系统创建的用户和复制客户端时创建的用户。
在安装 SAP 系统期间,会创建客户端 000 和 066(客户端 001 并不总是在 SAP 安装期间创建;它也会在例如 SAP ECC 安装期间创建)。标准用户是在客户端中预定义的。由于这些用户有标准名称和标准密码,其他人都知道,因此您必须保护他们免受未经授权的访问。
SAP 系统标准用户,SAP*
SAP* 是 SAP 系统中唯一不需要用户主记录的用户,因为它是在系统代码中定义的。默认情况下,SAP* 具有密码“PASS”和系统的无限制访问权限。
安装 SAP 系统时,会在客户端 000(如果存在,则在 001)中为 SAP* 自动创建用户主记录。起初,这仍然有初始密码“06071992”。安装过程中需要管理员重新设置密码。只有正确更改密码后才能继续安装。此处创建的主记录会停用 SAP* 的特殊属性,因此现在只有在用户主记录中定义的权限和密码适用。
DDIC 用户
该用户负责维护 ABAP 词典和软件后勤。
安装 SAP 系统时,会在客户端 000 [001] 中为用户 DDIC 自动创建用户主记录。对于此用户,在安装过程中也要求您更改标准密码“19920706”(类似于用户 SAP*)。在系统代码中为 DDIC 用户预定义了某些权限,这意味着,例如,在安装新版本期间,它是唯一可以登录 SAP 系统的用户。
EarlyWatch 用户
EarlyWatch 用户在客户端 066 中交付,并使用密码“SUPPORT”进行保护。 SAP 的 EarlyWatch 专家与该用户合作。不应删除此用户。更改密码。此用户应仅用于 EarlyWatch 功能(监控和性能)。
您如何解决这个问题以保护系统不被滥用?
• 您可以停用 SAP* 的特殊属性。为此,您必须将系统配置文件参数 login/no_automatic_user_sapstar 设置为大于零的值。如果该参数处于活动状态,则 SAP* 不再具有任何特殊属性。如果删除用户主记录 SAP*,则使用 PASS 登录将不再有效。
• 如果要恢复SAP* 的旧行为,必须先重置参数并重新启动系统。
确定用户信息
图 76:信息系统
您可以通过选择工具 → 管理 → 用户维护 → 信息系统或在用户维护(事务 SU01)中通过选择信息 → 信息系统来调用 SAP 菜单中的信息系统(事务 SUIM)。
您可以使用信息系统获取用户主记录、权限、配置文件、角色、更改日期等的概览。
您可以显示回答各种问题的列表。例如:
• 哪些用户已被管理员锁定在系统中或登录尝试失败?
• 用户上次登录系统是什么时候?
• 用户的授权配置文件做了哪些更改?
• 某个事务包含在哪些角色中?
图 77:授权的系统跟踪
您可以通过选择系统 → 实用程序 → 显示授权检查来显示上次失败的授权检查(事务 SU53)。系统显示最近检查的授权对象,其授权检查不成功,并带有检查的值。
系统管理员可以使用事务 SU53 检查用户缺少哪些授权以执行他或她的最后(不成功)操作。如果系统管理员也有 S_USER_AUT 的权限,他们还可以显示用户对选中对象的值。
您可以使用系统跟踪功能工具 → 管理 → 监控 → 跟踪 → 系统跟踪(事务 ST01)在您自己的和其他会话中记录授权检查。
所有检查的授权对象包括检查的值都记录在这里。系统跟踪适用于查找多个丢失的授权。系统跟踪被激活以对具有要检查的操作所需的所有权限的特殊用户进行权限检查。操作是由这个特殊用户执行的。跟踪记录所有授权检查。然后可以评估这些。
课程:附录:高级用户管理主题
课程概述
在本课中,您将获得中央用户管理和目录服务连接的概述。 SAP 培训课程 ADM102 和 TZNWIM 详细讨论了这些主题。
课程目标
完成本课程后,您将能够:
• 描述中央用户管理的概念
• 描述与目录服务的连接
业务示例
您希望通过集中化更有效地构建公司中的用户管理。
工作中心:用户管理
工作中心用户管理为 ABAP 和 Java 提供通用的本地代理用户管理功能。它提供了用于 ABAP 和 Java 用户管理的工具列表。例如,ABAP 事务“用户管理”(SU01) 和“角色维护”(PFCG)。对于 AS ABAP+Java 系统或 AS Java 系统,SAP NetWeaver Administrator 的核心管理功能被链接。
图 78:工作中心:用户管理
中央用户管理
图 79:中央用户管理
如果您正在运行具有多个客户端的多个 SAP 系统,并且在不同的客户端中多次创建相同的用户,则可以使用中央用户管理 (CUA) 显着减少用户管理工作。您可以使用 CUA 从一个客户端集中执行用户维护。然后将该客户端描述为中央系统。从中央系统执行用户管理的客户端称为子系统。
您可以为每个用户指定它可以登录的客户端。使用 CUA 并不意味着所有用户都可以在系统架构的所有客户端中使用。
您还可以指定哪些用户数据只能集中维护,哪些数据也可以本地维护。允许用户或管理员在本地维护数据有时很有用。还可以进行本地维护并分发给所有其他客户端(例如,在地址数据更改的情况下)。
使用 ALE 交换用户主数据。 ALE 代表 Application Link Enabling,是一种用于设置和操作分布式 SAP 应用程序的技术。 ALE 允许在松散连接的 SAP 系统之间进行业务消息的流程控制交换。通信的异步处理确保应用程序操作没有错误。
要包含在 CUA 中的系统必须至少具有 SAP Basis 4.5。
图 80:可以分发哪些数据?
可以使用中央用户管理 (CUA) 分发以下数据:
• 用户主记录:地址、登录数据、用户默认值和用户参数
• 为所有子系统为用户分配了相关的单一和复合角色和配置文件。使用 CUA 的优点是您不再需要登录到每个单独的客户端来在本地维护这些分配。
• 初始密码:当新创建用户时,初始密码被传送到子系统。这可以以通常的方式进行更改。
• 锁定状态:除了熟悉的锁定原因(登录尝试失败或被管理员锁定)之外,还有一个新的通用锁定。这在允许受影响用户的所有子系统中生效,可以集中删除,也可以在单个子系统中删除。
您可以从中央系统分配单个或复合角色和授权配置文件。但是,授权配置文件是在本地而不是集中维护的,因为不同的系统设置和发布状态需要本地管理授权配置文件。
SAP 课程 ADM102 -Administration AS ABAP II 中详细讨论了中央用户管理。
目录服务
图 81:与目录服务的连接
目录服务允许 IT 环境中的各种应用程序访问中心位置的共享信息。信息存储在您的 IT 环境中的各种系统都可以访问的中央目录服务器上。这样,目录服务器就充当了“IT 通讯录”的角色,用于存放通常常用的信息,例如人员数据(姓名、部门、组织)、用户数据以及有关系统资源和系统服务的信息。您可以使用目录服务来维护 SAP 系统中与目录兼容的应用程序(例如用户管理或 Business Workplace)的信息。标准化的轻量级目录访问协议 (LDAP) 通常用作访问协议。目录服务提供了一个中央信息和管理点,因此可以在各种应用程序之间简单地共享信息。您的 SAP 系统可以使用 LDAP 协议与目录服务交换数据。您为每个字段指定同步方向,即是 SAP 系统覆盖目录中的数据,还是目录覆盖 SAP 系统中的数据。
SAP 系统可以与来自不同供应商的目录服务交换数据。 SAP 系统可能需要不在目录标准模式中的属性。 SAP 通常为此提供模式扩展。
SAP 课程 ADM102 - Administration AS ABAP II 详细处理了中央目录服务/LDAP 的主题。
SAP NetWeaver 身份管理
图 82:SAP NetWeaver 身份管理
在 SAP NetWeaver Identity Management 7.0 中,SAP 为异构系统环境提供了集成的、业务流程驱动的身份管理功能。 SAP NetWeaver Identity Management 使用中央身份存储来整合和保存来自各种源系统(例如 SAP HCM)的数据。此信息被分发到连接的目标系统。 SAP 和非 SAP 应用程序的用户帐户和角色分配是分布式的。可以使用规则定义自动分配角色。 SAP NetWeaver Identity Management 的一个非常重要的功能是使授权分配工作流受控的选项。与 HCM 集成作为身份信息的可能源系统之一是业务流程驱动的身份管理的关键功能。有关 SAP NetWeaver 身份管理的更多信息,请访问 SAP Developer Network
(https://www.sdn.sap.com/irj/sdn/nw-identitymanagement)。
原文下载:
3160
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
