Sicherheitskonzept für Benutzer-IDs und Kennwörter konfigurieren
Kontext
Mit der User Management Engine (UME) können Sie Sicherheitskonzepte definieren, die Aspekte wie die Länge und den Inhalt von Benutzer- und Anmelde-IDs steuern oder wie das System Kennwortprüfungen ausführt. Die UME prüft die Einhaltung dieses Konzepts in folgenden Fällen:
Wenn sich Benutzer am SAP NetWeaver Application Server (AS) Java anmelden.
Standardmäßig deaktiviert, aber Sie können diese Einstellung aktivieren.
Wenn sich Benutzer selbst mit den Selbstregistrierungsfunktionen der UME registrieren.
Wenn Benutzer oder Administratoren Benutzerkennwörter mit der UME ändern.
Wenn Administratoren neue Benutzer mit der UME anlegen.
Kann die UME das Sicherheitskonzept nicht ermitteln, verwendet sie ersatzweise das Standardsicherheitskonzept.
Wird das Sicherheitskonzept nicht eingehalten, liefert die UME, wo möglich, detaillierte Fehlermeldungen.
Verwendet die UME ein anderes System als Datenquelle, stellen Sie sicher, dass die hier definierten Sicherheitskonzepte mit denen im anderen System harmonieren. Wenn Sie z.B. hier eine Kennwortlänge festlegen, aber die Benutzer im Backend-System auf kürzere Kennwortlängen beschränkt sind, kann das zu Anmeldeproblemen führen. Wenn Sie die Benutzerverwaltung eines ABAP-Systems als Datenquelle verwenden, gelten diese Einstellungen nicht immer.
Weitere Informationen finden Sie unter Integration des UME-Sicherheitskonzepts mit externen Datenquellen.
Vorgehensweise
Starten Sie die Konfiguration der Benutzerverwaltung.
Weitere Informationen finden Sie unter Benutzerverwaltung konfigurieren.
Wählen Sie die Registerkarte Sicherheitskonzept.
Wählen Sie die Drucktaste Konfiguration ändern.
Wählen Sie ein vorhandenes Sicherheitskonzeptprofil aus, oder erstellen Sie ein neues.
HinweisSie können nur die Default- oder benutzerdefinierte Sicherheitskonzeptprofile in der Benutzeroberfläche der Identity-Management-Anwendung bearbeiten. Das Ändern des Sicherheitsprofils Default schlägt sich auch in den entsprechenden Änderungen im Sicherheitsprofil Technical User nieder. Sie können die Eigenschaften für die Default- und deswegen auch für die Technical User-Sicherheitskonzeptprofile mithilfe der UME-Eigenschaften ändern. Wenn Sie jedoch die Kennwortablaufzeiteigenschaft für das Default Sicherheitsprofil ändern, wird diese Eigenschaft keine Auswirkung auf das Technical User-Sicherheitskonzeptprofil haben (es gibt keine Auflaufzeit für das Technical User-Sicherheitsprofil).
Geben Sie die erforderlichen Daten ein.
Folgende Tabelle gibt Empfehlungen und Erklärungen für einige der Sicherheitskonzepteinstellungen: Die Tabelle ist keine vollständige Liste der Einstellungen.
Einstellung
Zusatzinformationen
Mindest- oder Höchstlänge der Anmelde-ID
Diese Einstellungen werden nur beim Anlegen einer Anmelde-ID geprüft. Anschließend werden sie ignoriert.
Mindestanzahl <Zeichentyp> im Kennwort
Geben Sie 0 ein, um keine Einschränkungen dafür anzugeben, wie viele oder wie wenig spezifische Zeichentypen (z.B. Groß- und Kleinschreibung oder Buchstaben und Zahlen) ein Benutzer eingeben muss.
Größe der Kennworthistorie
Obwohl Sie diese Einstellung frei konfigurieren können, ist 5 wohl ein sinnvoller Wert. Verwenden Sie einen für Ihre Bedürfnisse passenden Wert.
Geben Sie 0 ein, wenn Ihre Datenquelle bereits über einen Prüfmechanismus für die Kennworthistorie verfügt; es sei denn, Sie pflegen Benutzer in der AS-Java-Datenbank, für die Sie eine Kennworthistorie pflegen wollen.
Benutzer das eigene Kennwort ändern lassen
EmpfehlungSAP empfiehlt Ihnen, dieses Ankreuzfeld zu markieren. Sie benötigen diese Einstellung für die Selbstverwaltung von Kennwörtern.
Wenn es nicht markiert ist, kann nur ein Administrator (ein Benutzer mit Änderungsberechtigungen für Benutzer) das Kennwort eines Benutzers ändern. Ein Benutzer, dessen Kennwort abgelaufen ist, kann es nicht ändern. Ein Administrator muss es zurücksetzen.
Lassen Sie dieses Ankreuzfeld leer, wenn Sie einen LDAP-Server mit Schreib-Lese-Zugriff als Datenquelle verwenden und Sie es Benutzern erlauben wollen, ihr Kennwort selbst über das LDAP und nicht über die Selbstverwaltung zu ändern.
Automatische Entsperrzeit (Minuten)
Die automatische Entsperrfunktion setzt den Zähler der fehlgeschlagenen Anmeldeversuche nicht zurück, wenn es einen Benutzer entsperrt. Ein durch diese Funktion entsperrter Benutzer kann bereits eine Anzahl misslungener Anmeldeversuche hinter sich haben, wodurch der Benutzer nach der nächsten misslungenen Anmeldung sofort gesperrt wird.
Geben Sie 0 ein, um diese Option zu deaktivieren. In diesem Fall bleibt der Benutzer gesperrt, bis er von einem Administrator entsperrt wird.
Gültigkeitszeitraum des Kennworts (Tage)
Nachdem ein Benutzer ein Kennwort gesetzt oder erhalten hat, ist es für die angegebene Anzahl an Tagen gültig. Nach diesem Zeitraum muss der Benutzer beim nächsten Anmeldeversuch ein neues Kennwort setzen.
Geben Sie 0 ein, um diese Option zu deaktivieren. In diesem Fall läuft das Kennwort niemals ab.
Kennwortsicherheitskonzept bei Anmeldung umsetzen
Markieren Sie dieses Ankreuzfeld, um sicherzustellen, dass die Benutzer Kennwörter haben, die dem Sicherheitskonzept entsprechen, nachdem Sie dieses geändert haben.
HinweisBevor Sie diese Funktion aktvieren, denken Sie darüber nach, ob Sie die Benutzer in einer vorhandenen Datenquelle dazu zwingen wollen, das aktuelle UME-Sicherheitskonzept zu verwenden. Dies ist besonders wichtig, wenn das UME-Sicherheitskonzept strenger ist, als das einer externen Datenquelle wie einem Verzeichnisserver.
Sichern Sie Ihre Eingaben.
Ergebnisse
Das Konzept gilt jetzt für alle Benutzer, denen dieses Konzept zugeordnet wurde. Falls Sie die Option Kennwort-Sicherheitskonzept bei Anmeldung erzwingen gewählt haben, wird das Konzept bei der nächsten Anmeldung angewendet. Andernfalls wird das Konzept erst geprüft, wenn die Benutzer das nächste Mal ihr Kennwort ändern.