✒️SAP BASIS Los parámetros de logon y los usuarios estándar

Una contraseña: Al menos 6 caracteres de largo./ No puede comenzar con? O ! / No puede ser pass. / La nueva contraseña debe cambiar al menos un dígito. /Para definir restricciones adicionales en la tabla USR40.

Borrando el usuario SAP* de la base de datos y cambiando manualmente el archivo profile, el valor login/noautomaticuser.... colocando el valor 0 y reiniciando sap el usuario se creara nuevamente.

Parámetros del sistema para Logon de Usuarios

-La longitud mínima de la contraseña es de 6 dígitos (rango 1-40)

-El parámetro login/password_expiration_time especifica numero de días para cambiar contraseña (parámetro configurado en 0, no se necesita cambiar contraseña)

-El parámetro login/password_history_size determina que la nueva contraseña difiera de las 5 ultimas (rango 1-100)

-Tabla USR40: definir restricciones adicionales de logon

-login/password_max_idle_initial, indica tiempo de validez de una contraseña nueva si no es utilizada

-login/password_max_idle_productive, indica tiempo máximo de contraseña valida en productivo sin uso

-login/fails_to_session_end, configurar numero de intento fallidos

-login/failed_user_auto_unlock=1, desbloqueo automático de usuarios bloqueados x intentos fallidos

-login/disable_multi_gui_login =1, el usuario no puede ingresar a un cliente con mas de una sesión

-login/no_automatic_user_sapstar = 1, usuario SAP* desactivado

------------------------------------------------------

Usuarios estándar :

-hay 2 tipos, los creados x la instalación del SAP y los creados durante la copia de un cliente.

-son predefinidos en los clientes (nombres de usuarios y contraseñas son estándar)

-Cliente (mandante) 000 y 066 son creados durante la instalación de SAP. El cliente 001 generalmente es creado durante la instalación de un sistema ERP 6.0)

-SAP*: es el único usuario que no requiere registro maestro ya que está definido en el Kernel del sist. SAP. Se crea automáticamente al instalar SAP en el cliente 000 y 001 si existe. Requiere contraseña durante el proceso de instalación del sistema

-DDIC: es responsable de mantener el diccionario ABAP y la logística de software. Se crea automáticamente al instalar SAP en el cliente 000 (y 001 si aplica); requiere cambio de contraseña estándar durante proceso de instalación del sistema; Solo este usuario puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade)

-EarlyWatch: se crea en el cliente 066 con contraseña support. Es utilizados x los expertos de SAP del servicio EarlyWatch (para monitoreo y performance). Este usuario no debe ser borrado ni la contraseña ser cambiada

-trx RZ10: desactiva la creación automática del usuarios SAP*

-----------------------------------------------------

arámetros del Sistema para Logon de Usuarios

Parámetros del sistema de perfiles

Defecto Rango de valores

Longitud mínima de la contraseña

login/min_password_Ing

6* 1-40 caracteres*

Período de validez de la contraseña

login/password_expiration_time

0* 0-1000 días*

Dity período de contraseña iniciales no utilizados

login/password_max_idle_initial

0* 0-24000 días*

Dity período de contraseñas de usuarios no utilizadas

login/password_max_idle_productive

0* 0-24000 días*

Imum diferencia de caracteres de ka contraseña

login/min_password_diff

1* 1-40 caracteres*

Especificaciones el número dígitos, letras(mayúsculas y minúsculas) o caracter especiales

lodin/min_password_digits

login/min_password_letters

login/min_password_lowercase

login/min_password_uppercase

1-40 caracteres*

Números de días que un usuario debe cambiar la contraseña

login/password_expiration

Si se configura en 0 la contraseña no se debe cambiar.

Configurar la cantidad de contraseña en el historial

login/password_history_size

5* 1-100 registros*

Parámetros del sistema de perfiles

Defecto Rango de valores

Finalizar el procedimiento de inicio de sesión

login/fails_to_sesion_end

3 1-99

Para ingresar nuevamente tendrá que reiniciar SAP GUI

El número máximo de intentos de inicio de sesión fallidos

login/fails_to user_lock

5* 1-99*

El usuario se bloquea.

Desactivación del desbloqueo automático

login/failed_user_auto_unlock

0* 0-1*

La cuenta no se desbloquea sola, se requiere activar esta opción. Estar en 1.

Desactivación de diálogo. Inicio de sesión múltiple

login/disable_multi_gui_login

0 0-1

Si esta en 1, no puede ingresar con mas de una sesión.

Usuarios especiales (inicio de sesión multiple)

login/multi_login_users

Alfanumérico

Excluir usuarios que se especifiquen en el parámetro, separados por comas y sin espacios.

Transacción SU01 se puede cambiar la contraseña de los usuarios.

Usuarios estándar

Dos tipos de usuarios estándar:

1. Creados por la instalación del sistema SAP.

2. Creados durante la copia de un cliente.

Usuarios estándar son predefinidos en los clientes. Usuarios y contraseñas son estándar y se deben proteger de accesos no autorizados.

El usuario estándar del sistema SAP*

SAP* es el único usuario para el cual no se requiere registro maestro de usuario, ya que esta definido en el kernel del sistema SAP*, contraseña pass y autorización de acceso irrestricto para el sistema. Este usuario se crea al instalar el sistema SAP.

El usuario DDIC

Usuario responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logística de Software. Al instalar el sistema se genera automáticamente en el registro maestro en el cliente 000 y 001 (si aplica). Se requiere cambiar la contraseña estándar durante la instalación. Ciertas autorizaciones son predefinidas en el código deñ sistema para el usuario DDIC, como, solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade).

Versiones anteriores, contraseñas de usuario SAP* y DDIC eran 06071992 y 19920706.

El usuario EarlyWatch

Se crea en el cliente 066 y está protegido con la contraseña support. Los expectos de SAP del servicio EarlyEWatch utilizan este usuario. No se debe borrar ni cambiar la contraseña. Las autorizaciones son creadas durante la instalación.

Servicio EarlyWatch : Herramientas de SAP que permite mantener el sistema permitiendo un buen funcionamiento. Entrega informe como: estado de los componentes, la configuración del sistema, recursos del HW, gestión de base de datos, mensajes de error críticos, mejora del rendimiento, promedio de tiempo de respuesta y carga de trabajo actual.

Características especiales de SAP*

Si se copia un cliente, el usuario SAP* siempre está disponible, no tiene un registro maestro y está programado en código del sistema (Kernel). Para proteger el sistema de los accesos no autorizados, se debe crear un registro de usuario para este usuario estándar.

Perfil SAP_ALL crea un usuario SAP* con autorizaciones totales en el sistema.

Si se borra el registro de usuarios SAP* (tabla USR02), la contraseña estándar pass el valida nuevamente y vuelve a tener el control total ya que no verifica la contraseña.

Como proteger el sistema contra el acceso no autorizado

Se puede desactivar el usuario SAP* del sistema configurando el parámetro del sistema

login/no_automatic_user_sapstar con el valor 1

Para cambiar a la configuración anterior se debe cambiar al 0 y reiniciar el equipo.

Es conveniente activar el parámetro en eñ perfil global del sistema DEFAILT.PFL para que tenga el efecto en todo el sistema (si una instancia tiene el valor 0, este se sobrescribe en que está en el perfil global).

También crear un maestro de usuario SAP en todas las instancias desactivando con el valor 0.

Si no se cuenta con el parámetro de auto-desbloqueo se debe eliminar el usuario SAP* de la base de dato y cambiando el archivo DEFAILT.PFL, cambiando el parámetro login/no_automatic_user_sapstar (valor 0) después que se cambie los datos, se debe cambiar la contraseña de SAP* por seguridad.