Show TOC

Integration des UME-Sicherheitskonzepts mit externen DatenquellenLocate this document in the navigation structure

Verwendung

Sie konfigurieren das Sicherheitskonzept der User Management Engine (UME) unabhängig vom Sicherheitskonzept der ABAP- oder LDAP-Server-Datenquelle. Die UME berücksichtigt keine Sonderfunktionen des Sicherheitskonzepts der Datenquelle. Wenn die Datenquelle ein eigenes Sicherheitskonzept definiert hat, gibt es keine Standardschnittstelle, um Fehlermeldungen von der Datenquelle an den UME-Benutzer mit demselben Detaillierungsgrad und in der richtigen Sprache weiterzuleiten. Der Benutzer erhält nur eine generische Fehlermeldung.

Beispiel

Das UME-Sicherheitskonzept gibt eine Mindestkennwortlänge von 6 Zeichen vor, während der Verzeichnisserver eine Mindestkennwortlänge von 8 Zeichen festlegt. Wenn ein Administrator einen Benutzer anlegt und ein Kennwort mit einer Länge von 6 Zeichen für den Benutzer eingibt, entspricht das Kennwort dem UME-Konzept, aber nicht dem Konzept des Verzeichnisservers. In der Folge erhält der Administrator eine generische Fehlermeldung, die zwar mitteilt, dass das Kennwort ungültig ist, aber nicht warum es ungültig ist.

ABAP-Datenquelle und LDAP-Datenquelle

Um zu verhindern, dass die UME-Konzepte den ABAP-Konzepten in die Quere kommen, ignoriert die UME ihr eigenes Sicherheitskonzept, wenn Sie eine ABAP-Datenquelle verwenden, mit folgenden Ausnahmen:

  • Wenn Sie einen neuen Benutzer anlegen, prüft die UME den Benutzernamen gegen ihre eigenen Sicherheitskonzepte.

  • Falls Sie der UME erlauben, automatisch ein Kennwort zu erzeugen, erzeugt die UME das Kennwort gemäß ihres eigenen Sicherheitskonzepts.

  • Wenn ein Benutzer ein neues Kennwort anlegt, muss das neue Kennwort den UME-Kennwortregeln entsprechen, z.B. hinsichtlich der Anzahl der Großbuchstaben oder der Länge. Allerdings führt das System die Prüfung der Kennworthistorie in dem System durch, in dem das Kennwort abgelegt ist. Bei einem im ABAP-System abgelegten Benutzer findet die Prüfung der Kennworthistorie im AS ABAP statt.

Im Gegensatz zur Verwendung des AS ABAP als Datenquelle gelten die UME-Sicherheitskonzepte ohne Ausnahme, wenn Sie die Java-Datenbank oder einen LDAP-Verzeichnisserver als Datenquelle verwenden.

UME-Konfigurationsoptionen für externe Datenquellen

Sie haben folgende Optionen für die Konfiguration des Sicherheitskonzepts auf der UME, mit jeweils unterschiedlichen Auswirkungen:

  • Option 1: Same or stronger policy

  • Option 2: Weniger strenges Konzept

  • Option 3: Kombination aus Option 1 und 2

Option 1: Dasselbe oder ein strengeres Konzept

Definieren Sie ein Sicherheitskonzept für die UME, das genauso streng oder strenger ist, als das entsprechende Sicherheitskonzept im Backend-System.

Ergebnis

Benutzer und Administratoren erhalten detaillierte Fehlermeldungen.

Auswirkung

Fehlersuche ist leichter, da Sie nur in den Protokolldateien der UME nachzusehen brauchen. Nur in seltenen Fällen werden Sie in die Protokolldateien der Datenquelle (ABAP oder Verzeichnisserver) sehen müssen.

Nachteil

Benutzer und Administratoren könnten unterschiedliche Reaktionen bei verschiedenen Zugriffspfaden erhalten, falls das Sicherheitskonzept nicht dasselbe ist wie in den folgenden Fällen:

  • Auf das Backend-System kann direkt zugegriffen werden (z.B. ein ABAP-System).

  • Das Backend-System dient als Datenquelle für andere Systeme, die eine UME mit anderen Sicherheitskonzepteinstellungen verwendet.

Option 2: Weniger strenges Konzept

Definieren Sie ein weniger strenges Sicherheitskonzept für die UME.

Ergebnis

Das UME-Sicherheitskonzept ist so wenig streng, dass nur die Datenquelle Verstöße gegen das Sicherheitskonzept abfängt. Die UME kann nicht den gesamten Detailumfang der Fehlermeldungen aus dem Backend weiterleiten. In der Folge erhalten die Benutzer und Administratoren generische Fehlermeldungen.

Auswirkung

Nicht erklärte Konzeptverstöße verwirren Benutzer und Administratoren, da sie nicht wissen, wie sie gegen das Sicherheitskonzept verstoßen haben. Die Fehlersuche wird schwieriger, da sie an zwei Stellen nach der Ursache suchen müssen, sowohl in den UME-Protokolldateien als auch in den Protokolldateien des Backends.
Hinweis

Selbst wenn keine detaillierten Fehlermeldungen in der Benutzungsoberfläche der UME angezeigt werden, schreibt die UME Fehlermeldungen der Datenquelle in die Protokolldateien des AS Java. Wo sie die Fehlermeldung hinschreibt, hängt von der Datenquelle ab.

  • Falls die UME die ABAP-Benutzerverwaltung als Datenquelle verwendet, werden die detaillierten Fehlermeldungen in die Datei security. <n>.log geschrieben.

  • Falls die UME einen Verzeichnisserver als Datenquelle verwendet, hängen die Fehlermeldungen vom verwendeten Verzeichnisserver ab und werden als Fehlercodes in das Standard-Trace geschrieben.

    Weitere Informationen finden Sie unter Protokollierung und Tracing.

Option 3: Kombination

Option 1 und 2 kombinieren. Das erschwert die Fehlersuche.

Beispiel

Definieren Sie die Mindest- und Höchstkennwortlänge gleich streng wie oder strenger als in der Backend-Datenquelle, damit die Benutzer detaillierte Fehlermeldungen erhalten. Sie definieren alle anderen Sicherheitskonzepteinstellungen in der UME sehr schwach. Das bedeutet, dass alle anderen Einstellungen von der Backend-Datenquelle geprüft werden.

Empfohlene Konfiguration

Wir empfehlen Option 1. Konfigurieren Sie die Sicherheitskonzepte der UME und ihrer Datenquelle, sofern möglich, gleich. In der Folge bemerkt die UME alle Verstöße gegen das Konzept. Dies hat folgende Vorteile:

  • Benutzer erhalten aussagekräftige Fehlermeldungen.

  • Die Fehlersuche ist für den Systemadministrator einfacher.

  • Sie erhalten ein homogenes Sicherheitskonzept, ungeachtet dessen, ob Sie die Benutzer in der Datenquelle mit UME-Werkzeugen oder mit anderen Mitteln angelegt haben.

Wir empfehlen die folgenden Ausnahmen zur empfohlenen Konfiguration:

  • Setzen Sie die automatische Sperrfunktion der UME, um Benutzer zu sperren, die sich mehrmals erfolglos anmelden wollten, je nachdem, ob die Datenquelle diese Funktion auch bietet.

    • Falls die UME-Datenquelle diese automatische Sperrfunktion auch bietet, sollten Sie die Prüfung in der UME deaktivieren. Die ABAP-Benutzerverwaltung bietet z.B. diese Funktion. Falls Sie also die ABAP-Benutzerverwaltung als Datenquelle verwenden, sollten Sie die automatische Sperrfunktion in der UME deaktivieren.

      Um die automatische Sperrfunktion in der UME zu deaktivieren, setzen Sie die Sicherheitskonzepteinstellung Kennwort sperren bei Anzahl misslungener Anmeldeversuche auf 0.

    • Falls die UME-Datenquelle die automatische Sperrfunktion nicht bietet, können Sie sie in der UME aktivieren. In diesem Fall gilt sie nur für Anmeldungen über die UME.

  • Falls sich alle Ihre Benutzer in der Benutzerverwaltung eines AS ABAP befinden, deaktivieren Sie die Kennworthistorie in der UME.