Show TOC

HintergrundIntegration des UME-Sicherheitskonzepts mit externen Datenquellen Dieses Dokument in der Navigationsstruktur finden

 

Sie konfigurieren das Sicherheitskonzept der User Management Engine (UME) unabhängig vom Sicherheitskonzept der ABAP- oder LDAP-Server-Datenquelle. Die UME berücksichtigt keine Sonderfunktionen des Sicherheitskonzepts der Datenquelle. Wenn die Datenquelle ein eigenes Sicherheitskonzept definiert hat, gibt es keine Standardschnittstelle, um Fehlermeldungen von der Datenquelle an den UME-Benutzer mit demselben Detaillierungsgrad und in der richtigen Sprache weiterzuleiten. Der Benutzer erhält nur eine generische Fehlermeldung.

Beispiel Beispiel

Das UME-Sicherheitskonzept gibt eine Mindestkennwortlänge von 6 vor, während der Verzeichnisserver eine Mindestkennwortlänge von 8 festlegt. Wenn der Administrator einen Benutzer anlegt und ein Kennwort mit der Länge sechs für den Benutzer eingibt, entspricht das Kennwort dem UME-Konzept, aber nicht dem Verzeichnisserverkonzept. In der Folge erhält der Administrator eine generische Fehlermeldung, die zwar mitteilt, dass das Kennwort ungültig ist, aber nicht warum es ungültig ist.

Ende des Beispiels.
ABAP-Datenquelle und LDAP-Datenquelle

Um zu verhindern, dass die UME-Konzepte den ABAP-Konzepten in die Quere kommen, ignoriert die UME ihr eigenes Sicherheitskonzept, wenn Sie eine ABAP-Datenquelle verwenden, mit folgenden Ausnahmen:

  • Wenn Sie einen neuen Benutzer anlegen, prüft die UME den Benutzernamen gegen ihre eigenen Sicherheitskonzepte.

  • Falls Sie der UME erlauben, automatisch ein Kennwort zu erzeugen, erzeugt die UME das Kennwort gemäß ihres eigenen Sicherheitskonzepts.

  • Wenn ein Benutzer ein neues Kennwort anlegt, muss das neue Kennwort den UME-Kennwortregeln entsprechen, z.B. bei der Anzahl der Großbuchstaben oder der Länge. Allerdings führt das System die Prüfung der Kennworthistorie in dem System durch, in dem das Kennwort abgelegt ist. Bei einem im ABAP-System abgelegten Benutzer, findet die Prüfung der Kennworthistorie im AS ABAP statt.

Im Gegensatz zur Verwendung des AS ABAP als Datenquelle, gelten die UME-Sicherheitskonzepte ohne Ausnahme, wenn Sie die Java-Datenbank oder einen LDAP-Verzeichnisserver als Datenquelle verwenden.

UME-Konfigurationsoptionen für externe Datenquellen

Sie haben folgende Optionen für die Konfiguration des Sicherheitskonzepts auf der UME, mit jeweils unterschiedlichen Auswirkungen:

  • Option 1: Dasselbe oder ein strengeres Konzept

  • Option 2: Weniger strenges Konzept

  • Option 3: Kombination aus Option 1 und 2

Option 1: Dasselbe oder ein strengeres Konzept

Definieren Sie ein Sicherheitskonzept für die UME, das genauso streng oder strenger ist, als das entsprechende Sicherheitskonzept im Backend-System.

Beurteilung desselben oder strengeren Konzepts

Ergebnis

Benutzer und Administratoren erhalten detaillierte Fehlermeldungen.

Auswirkung

Fehlersuche ist leichter, da Sie nur in den Protokolldateien der UME nachzusehen brauchen. Nur in seltenen Fällen werden Sie in die Protokolldateien der Datenquelle (ABAP oder Verzeichnisserver) sehen müssen.

Nachteil

Benutzer und Administratoren könnten unterschiedliche Reaktionen bei verschiedenen Zugriffspfaden erhalten, falls das Sicherheitskonzept nicht dasselbe ist wie in den folgenden Fällen:

  • Auf das Backend-System kann direkt zugegriffen werden (z.B. ein ABAP-System).

  • Das Backend-System dient als Datenquelle für andere Systeme, die eine UME mit anderen Sicherheitskonzepteinstellungen verwendet.
Option 2: Weniger strenges Konzept

Definieren Sie ein weniger strenges Sicherheitskonzept für die UME.

Einschätzung des weniger strengen Konzepts

Ergebnis

Das UME-Sicherheitskonzept ist so wenig streng, dass nur die Datenquelle Verstöße gegen das Sicherheitskonzept abfängt. Die UME kann nicht den gesamten Detailumfang der Fehlermeldungen aus dem Backend weiterleiten. In der Folge erhalten die Benutzer und Administratoren generische Fehlermeldungen.

Auswirkung

Nicht erklärte Konzeptverstöße verwirren Benutzer und Administratoren, da sie nicht wissen, wie sie gegen das Sicherheitskonzept verstoßen haben. Die Fehlersuche wird schwieriger, da sie an zwei Stellen nach der Ursache suchen müssen, sowohl in den UME-Protokolldateien als auch in den Protokolldateien des Backends.

Hinweis Hinweis

Selbst wenn keine detaillierten Fehlermeldungen in der Benutzungsoberfläche der UME angezeigt werden, schreibt die UME Fehlermeldungen der Datenquelle in die Protokolldateien des AS Java. Wo sie die Fehlermeldung hinschreibt, hängt von der Datenquelle ab.

  • Falls die UME die ABAP-Benutzerverwaltung als Datenquelle verwendet, werden die detaillierten Fehlermeldungen in die Datei security.<n>.log geschrieben.

  • Falls die UME einen Verzeichnisserver als Datenquelle verwendet, hängen die Fehlermeldungen vom verwendeten Verzeichnisserver ab und werden als Fehlercodes in das Standard-Trace geschrieben.

    Weitere Informationen finden Sie unter Logging and Tracing.

Ende des Hinweises.
Option 3: Kombination

Option 1 und 2 kombinieren. Das erschwert die Fehlersuche.

Beispiel Beispiel

Definieren Sie die Mindest- und Höchstkennwortlänge gleich streng oder strenger wie in der Backend-Datenquelle, damit die Benutzer detaillierte Fehlermeldungen erhalten. Sie definieren alle anderen Sicherheitskonzepteinstellungen in der UME sehr schwach. Das bedeutet, dass alle anderen Einstellungen von der Backend-Datenquelle geprüft werden.

Ende des Beispiels.
Empfohlene Konfiguration

Wir empfehlen Option 1. Konfigurieren Sie die Sicherheitskonzepte der UME und ihrer Datenquelle, sofern möglich, gleich. In der Folge bemerkt die UME alle Verstöße gegen das Konzept. Dies hat folgende Vorteile:

  • Benutzer erhalten aussagekräftige Fehlermeldungen.

  • Die Fehlersuche ist für den Systemadministrator einfacher.

  • Sie erhalten ein homogenes Sicherheitskonzept, ungeachtet dessen, ob Sie die Benutzer in der Datenquelle mit UME-Werkzeugen oder mit anderen Mitteln angelegt haben.

Wir empfehlen die folgenden Ausnahmen zur empfohlenen Konfiguration:

  • Setzen Sie die automatische Sperrfunktion der UME, um Benutzer zu sperren, die sich mehrmals erfolglos anmelden wollten, je nachdem, ob die Datenquelle diese Funktion auch bietet.

    • Falls die UME-Datenquelle diese automatische Sperrfunktion auch bietet, sollten Sie die Prüfung in der UME deaktivieren. Die ABAP-Benutzerverwaltung bietet z.B. diese Funktion. Falls Sie also die ABAP-Benutzerverwaltung als Datenquelle verwenden, sollten Sie die automatische Sperrfunktion in der UME deaktivieren.

      Um die automatische Sperrfunktion in der UME zu deaktivieren, setzen Sie die Sicherheitskonzepteinstellung Kennwort sperren bei Anzahl misslungener Anmeldeversuche auf 0.

    • Falls die UME-Datenquelle die automatische Sperrfunktion nicht bietet, können Sie sie in der UME aktivieren. In diesem Fall gilt sie nur für Anmeldungen über die UME.

  • Falls sich alle Ihre Benutzer in der Benutzerverwaltung eines AS ABAP befinden, deaktivieren Sie die Kennworthistorie in der UME.