È possibile personalizzare le password per categorie di utenti? Dove e come sono gestite in SAP le password?
Come controllare durante un audit questi aspetti?
Le password degli utenti risiedono nella tabella USR02 di SAP. Sono archiviate nel campo BCODE, PASSCODE e PWDSALTEDHASH in modo crittografato. Nel corso delle varie release di SAP l'algoritmo di crittografia delle password ha subito diversi aggiornamenti.
Nelle release più datate la password viene salvata nei campi BCODE e PASSCODE, nelle più recenti release nel campo PWDSALTEDHASH.
Mentre nel campo CODVN è possibile visualizzare la versione dell'algoritmo crittografico utilizzato da SAP. Il campo potrebbe contenere i seguenti valori:
Nel profilo di istanza SAP (visibile tramite transazione RSPFPAR) è possibile, tramite il parametro login/password_hash_algorithm verificare quale sia l'algoritmo di hashing in uso.
Hai letto la pubblicazione del NIST sp800-63b? Il NIST (National Institute of Standards and Technology) è un'agenzia del governo degli Stati Uniti d'America che si occupa della gestione delle tecnologie.
Obbligare a cambiare periodicamente la password non è più considerato necessario.
Il concetto di Security Policy è stato introdotto da SAP nella versione SAP NetWeaver 7 Enhancement Pack 3 (SAP_BASIS 7.03).
Questa funzione può essere utilizzata per:
Tramite la transazione SECPOL Maintain Security Policies è possibile definire le security policy.
Le security policy rappresentano una sorta di "classificazioni" che permettono di creare eccezioni alle policy globali nel sistema.
Tramite i profili di istanza SAP che iniziano con login* (puoi vederli tramite la transazione RSPFPAR) è possibile definire come il sistema deve comportarsi quando viene creata e scelta una password da parte di un amministratore o utente.
In alcuni casi tuttavia è necessario avere delle politiche diverse a seconda dell'utente. Ad esempio, per gli amministratori di sistema la password deve essere almeno di 15 caratteri, mentre per gli utenti finali (quindi impostazione globale di 10 caratteri).
Una volta definita la classificazione, nella parte "Attributes" è possibile definire i criteri di complessità password definiti per quella security policy.
Viene inoltre fornita la possibilità di:
Una volta definite le security policy, queste devono essere assegnate agli utenti. Questa operazione viene fatta direttamente tramite la transazione SU01 (o le analoghe transazioni massive)
Tramite la transazione S_YI3_39000082, disponibile anche nella transazione SUIM -> Where-Used List -> Security Policies -> Users è possibile vedere gli utenti con security policy assegnate o meno.
Tramite la nota OSS 2318872 - SU01 field Security Policy is not available in field mapping è inoltre possibile gestire questo campo nel sistema GRC Access Control Access Request Management
Le security policy possono essere inoltre utilizzate per aspetti di gestione operativa del sistema. Ovvero durante manutenzioni del sistema o momenti particolari, gruppi di utenti non devono accedere al sistema. Ad esempio durante manutenzione, durante upgrade, o chiusure contabili.
Nella security policy è presente un attributo chiamato SERVER_LOGON_PRIVILEGE che permette di restringere l'accesso solo ad alcuni utenti. Il parametro può avere i seguenti valori:
I logon esterni sono ad esempio le destinazioni RFC. Il relativo profilo di istanza è il seguente: login/server_logon_restriction vedi anche OSS note (1891583 - Restricting logon to the application server)
SAP utilizza delle utenze speciali per alcuni scopi, queste utenze hanno password pubblica e nota, ecco quali sono: