Utilizzi la password per autenticarti ai sistemi SAP?
Quali sono le casistiche più banali alle quali dovresti prestare attenzione?
Ogni giorno definisci (chi più chi meno) a sistema delle utenze. Ricevi dalle risorse umane una notifica o in altri modi, ad esempio tramite un ticket le utenze che devono essere create.
Mentre se utilizzi sistemi come SAP GRC Access Control oppure Identity Management questo problema potresti non averlo.
In questi casi sia avvia un workflow automatico o manuale di creazione della nuova utenza nei vari sistemi, tra cui anche SAP.
Alla fine del processo, il nuovo utente, per potersi collegare deve conoscere le sue credenziali, quindi una username ed una password.
Uno dei primi aspetti sul quale interrogarsi è il come gli viene fornita questa password. Spesso questo aspetto è collegato al punto successivo.
Ecco, quale scegli come password iniziale? Questo è uno degli aspetti più delicati e che spesso viene molto sottovalutato.
Ma quali sono i casi più comuni? Magari ereditati dal momento di progetto o da altre abitudini:
Ecco se anche tu usi questa tecnica o analoga forse dovresti rivedere questo aspetto.
Ma quali potrebbero i rischi?
Anche per queste ragioni, in caso di tentativi di logon errati SAP ha introdotto un pop-up di avviso durante il logon.
Proprio per vedere se qualcuno ha provato a fare qualche tentativo di accesso (vedi anche nota OSS 2322332 - Number of failed password logon attempts).
Se effettuo un tentativo di logon in SAP, con credenziali non corrette, vedi errore sotto
Al prossimo logon con successo mi comparirà il messaggio di avviso seguente:
Di default la password iniziale non ha scadenza, tuttavia tramite il profilo d'istanza SAP login/password_max_idle_initial puoi inserire il numero di giorni di validità della password.
Trascorsi i giorni indicati la password sarà disattivata e quindi l'utente (anche conoscendola) non potrà più entrare nel sistema.
Anche se non direttamente legato agli aspetti di password iniziale, esiste un modo per far scadere la password, anche produttiva (quindi già cambiata almeno una volta dall'utente) in caso di mancato logon per un determinato periodo.
Questo parametro si chiama login/password_max_idle_productive. In questo caso potrei inserire un valore inferiore al cambio password obbligatorio (se utilizzo questa tecnica)
Ulteriore aspetto di attenzione riguarda la copia dei sistemi. O se la tua utenza ha la stessa password nei vari sistemi. Ma perché questo potrebbe essere un rischio?
Se non hai strumenti come il SAP GRC Access Control oppure soluzioni di Identity Management, allora puoi utilizzare direttamente la funzionalità standard SAP di generazione automatica della password.
Questo strumento, presente nel tab "Logon Data" della transazione SU01 (la transazione per la gestione degli utenti SAP) ti permette di generare una password.
Di default SAP la genera con la massima complessità possibile quindi 40 caratteri, numeri, lettere (maiuscole e minuscole), e caratteri speciali inclusi.
Puoi personalizzare anche il comportamento della generazione tramite la tabella PRGN_CUST (utilizzando la transazione SM30) usando i seguenti customizing switch:
Maximum number of digits in the generated password
Maximum number of letters in the generated password
Maximum number of special characters in the generated password
Maximum length of the generated password