In einem SAP-System gibt es verschiedene Arten von SAP Benutzersperren. Wichtig ist, dass nicht alle Benutzersperren auch tatsächlich die Anmeldung verhindern.
Benutzersperren verhindern Anmeldung?
Es gibt verschiedene Sperrgründe für Benutzer und für gewöhnlich gehen Administratoren wie User davon aus, dass sie sich mit einem gesperrten Benutzer nicht mehr anmelden können. Doch erst neulich hatte ich einen Fall, wo ein Benutzer trotz Sperre Zugang zu einem System hatte. Wie kann das sein?
Gründe für Benutzersperren in SAP Systemen
a) Kennwortanmeldung nicht möglich (zu viele Falschmeldungen) Der Maximalwert für Fehlerversuche bei der Passwortanmeldung wurde erreicht. Dieser Maximalwert wird mithilfe des Profilparameters login/fails_to_user_lock gesteuert. Bei jedem fehlerhaften Anmeldeversuch eines Users wird ein individueller Falschanmeldezähler im jeweiligen Benutzerstamm erhöht. Wird der Maximalwert dieses Fehlers erreicht, wird der User für weitere Anmeldungen im System gesperrt.
ÜBRIGENS: Mithilfe des Parameters login/failed_user_auto_unlock können Sie festlegen, ob durch Fehlanmeldungen gesperrte User automatisch wieder entsperrt werden. Das heißt, wenn Sie den Wert des Parameters auf 1 festlegen, werden wegen Falschanmeldungen gesperrte User automatisch am nächsten Tag entsperrt!
b) Kennwortanmeldung nicht möglich (Initialkennwort ist abgelaufen) Einem User (vom Benutzertyp Dialog oder Kommunikation) wurde ein neues Initialkennwort gesetzt. Dieses Initialkennwort wird gesperrt, sofern sich der User nicht innerhalb eines konfigurierten Zeitspanne anmeldet und das Initialkennwort somit seine Gültigkeit verliert. Die Zeitspanne der Gültigkeit von Initialkennwörtern wird mithilfe des Profilparameters login/password_max_idle_initial festgelegt.
c) Benutzer ist gesperrt („Gültig bis“-Datum überschritten) Jeder Benutzer sollte ein „Gültig von“- und „Gültig bis“-Datum hinterlegt werden. Wenn das „Gültig bis“-Datum überschritten wird, wird der Benutzer automatisch vom System gesperrt und eine Anmeldung ist dann nicht mehr möglich.
d) Benutzer manuell gesperrt (Administratorsperre) Zudem ist es jederzeit möglich, dass ein Benutzer vom Benutzeradministrator manuell gesperrt wird. In diesem Fall wird von der Administratorsperre gesprochen. Eine Anmeldung des Users ist dann nicht mehr möglich.
Anmeldung am System trotz SAP Benutzersperren?
In welchem Fall ist es nun möglich, dass sich ein User – wie eingangs erwähnt – trotz SAP Benutzersperre in einem System anmelden kann? Die Antwort ist einfach: Nur dann, wenn nicht der Benutzer an sich (Fall c & d), sondern nur das Kennwort des Benutzer gesperrt ist (Fall a & b) und keine Anmeldung mittels Passwort erfolgt. Eine reguläre Anmeldung am System ist also nicht möglich. Allerdings gibt es noch andere Authentifizierungsverfahren, wie bspw. Single Sign-On oder auch interne Abläufe (wie zum Beispiel Hintergrundjobs). Diese Authentifizierungsverfahren sind nicht von der Passwortsperre betroffen, da keine Passwortanmeldung notwendig ist. Eine Ausnahme gibt es jedoch: Bei allen Anmeldeverfahren wird geprüft, ob das Passwort eines Benutzers geändert werden muss. Ist dies aktuell der Fall, wird der Benutzer auch bei anderen Authentifizierungsverfahren aufgefordert, dass aktuelle Passwort zu ändern.
ÜBRIGENS: Diese Aufforderung zum Ändern des Passwortes bei anderen Authentifizierungsverfahren können Sie mithilfe des Profilparameters login/password_change_for_SSO ein- und ausschalten.
Und was ist nun Best Practice in Bezug auf SAP Benutzersperren?
Ich empfehle Ihnen ausdrücklich, den Zugang von Benutzer zum System via Gültigkeiten oder manueller Administratorsperre zu steuern. In diesem Fall ist der Benutzer wirklich gesperrt und kann sich über kein Authentifizierungsverfahren am SAP System anmelden. Denn nur Sperren und Gültigkeiten des Benutzerkontos betreffen auch andere Anmeldeverfahren, wie bspw. SSO. Um einen User also endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen Zeitpunkt in der Vergangenheit.
Ich hoffe, dass ich Ihnen mit meinem Blogbeitrag die SAP Benutzersperren in SAP Systemen verständlich machen konnte. Welche Erfahrungen haben Sie mit den verschiedenen Benutzersperren auf Ihren SAP Systemen gemacht? Ich freue mich schon auf Ihre Kommentare, Anregungen und Fragen direkt unterhalb dieses Blogbeitrags.
The post SAP Benutzersperren verstehen und Best Practice appeared first on rz10.de - die SAP Basis und Security Experten.