Visit us at - Elsevier · The IT Administrator’s Guide to Best Practices ... UME Installation...

w w w. s y n g re s s . c o m

Syngress is committed to publishing high-quality books for IT Professionals and delivering those books in media and formats that fi t the demands of our customers. We are also committed to extending the utility of the book you purchase via additional materials available from our Web site.

SOLUTIONS WEB SITETo register your book, please visit www.syngress.com. Once registered, you can access your e-book with print, copy, and comment features enabled.

ULTIMATE CDsOur Ultimate CD product line offers our readers budget-conscious compilations of some of our best-selling backlist titles in Adobe PDF form. These CDs are the perfect way to extend your reference library on key topics pertaining to your area of expertise, including Cisco Engineering, Microsoft Windows System Administration, CyberCrime Investigation, Open Source Security, and Firewall Confi guration, to name a few.

DOWNLOADABLE E-BOOKSFor readers who can’t wait for hard copy, we offer most of our titles in downloadable e-book format. These are available at www.syngress.com.

SITE LICENSINGSyngress has a well-established program for site licensing our e-books onto servers in corporations, educational institutions, and large organizations. Please contact our corporate sales department at [email protected] for more information.

CUSTOM PUBLISHINGMany organizations welcome the ability to combine parts of multiple Syngress books, as well as their own content, into a single volume for their own internal use. Please contact our corporate sales department at [email protected] for more information.

Visit us at

0000868298.INDD i0000868298.INDD i 9/29/2008 9:34:14 AM9/29/2008 9:34:14 AM

0000868298.INDD ii0000868298.INDD ii 9/29/2008 9:34:14 AM9/29/2008 9:34:14 AM

Leslie Wun-Young Technical Editor Joey Hirao

Jeanmarie Hirao Mimi Choi Perry Cox Steven L. Passer

0000867881.INDD iii0000867881.INDD iii 10/3/2008 4:20:52 PM10/3/2008 4:20:52 PM

Elsevier, Inc., the author(s), and any person or fi rm involved in the writing, editing, or production (collectively “Makers”) of this book (“the Work”) do not guarantee or warrant the results to be obtained from the Work.

There is no guarantee of any kind, expressed or implied, regarding the Work or its contents. The Work is sold AS IS and WITHOUT WARRANTY. You may have other legal rights, which vary from state to state.

In no event will Makers be liable to you for damages, including any loss of profi ts, lost savings, or other incidental or consequential damages arising out from the Work or its contents. Because some states do not allow the exclusion or limitation of liability for consequential or incidental damages, the above limitation may not apply to you.

You should always use reasonable care, including backup and other appropriate precautions, when working with computers, networks, data, and fi les.

Syngress Media®, Syngress®, “Career Advancement Through Skill Enhancement®,” “Ask the Author UPDATE®,” and “Hack Proofi ng®,” are registered trademarks of Elsevier, Inc. “Syngress: The Defi nition of a Serious Security Library”™, “Mission Critical™,” and “The Only Way to Stop a Hacker is to Think Like One™” are trademarks of Elsevier, Inc. Brands and product names mentioned in this book are trademarks or service marks of their respective companies.

Unique Passcode

84730685

PUBLISHED BY Syngress Publishing, Inc. Elsevier, Inc. 30 Corporate Drive Burlington, MA 01803

SAP Security Confi guration and Deployment The IT Administrator’s Guide to Best Practices Copyright © 2009 by Elsevier, Inc. All rights reserved. Printed in the United States of America. Except as permitted under the Copyright Act of 1976, no part of this publication may be reproduced or distributed in any form or by any means, or stored in s database or retrieval system, without the prior written permission of the publisher, with the exception that the program listings may be entered, stored, and executed in a computer system, but they may not be reproduced for publication.

Printed in the United States of America 1 2 3 4 5 6 7 8 9 0

ISBN 13: 978-1-59-749-284-3

Publisher: Laura Colantoni Page Layout and Art: SPI Acquisitions Editor: Andrew Williams Copy Editor: Christina Solstad Technical Editor: Leslie Wun-Young Indexer: SPI Developmental Editor: Gary Byrne Cover Designer: Michael Kavish

For information on rights, translations, and bulk sales, contact Matt Pedersen, Commercial Sales Director and Rights, at Syngress Publishing; email [email protected].

Library of Congress Cataloging-in-Publication DataApplication Submitted

0000867878.INDD iv0000867878.INDD iv 9/29/2008 9:37:31 AM9/29/2008 9:37:31 AM

Leslie Wun-Young is a senior SAP security specialist. She has conducted several SAP full life-cycle implementations and delivered superior solutions in high-pressure environments with tight timelines for companies such as the Walt Disney Company, IBM, and NBC Universal. Her specialties include security architecture, strategy, and design, plus SOD evaluation and GRC management. Leslie’s background includes positions as a senior developer for the American International Group, Inc. (AIG) and as a technical team lead for the Science Applications International Corporation (SAIC).

Leslie holds a master’s degree in computer science and information systems from City College of New York/CUNY, and she is a member of the Multicultural Radio Broadcasting Association.

Technical Editor

v

0000867882.INDD v0000867882.INDD v 9/29/2008 9:41:02 AM9/29/2008 9:41:02 AM

Joey Hirao (SAP Technical Certifi ed Consultant; SAP NetWeaver Certifi ed Consultant Enterprise Portals; Oracle OCP 8i,9i,10g; SUN Certifi ed Solaris Administrator, Microsoft MCSE) is a senior Basis consultant for Group Basis ( www.groupbasis.com ), a fi rm specializing in SAP Basis and security solutions. He has over 11 years’ experience providing SAP Basis solutions for customers worldwide. Joey is the author of SAP R/3 Administration for Dummies (IDG Books Worldwide Inc., 1999). He has also presented at SAPAdmin and written many articles for SAPtips.com.

I dedicate this book to my fabulous duo, Julianna and Sofi a. They make every day brighter and more beautiful.

Lead Author

vi

0000867882.INDD vi0000867882.INDD vi 9/29/2008 9:41:02 AM9/29/2008 9:41:02 AM

Jeanmarie Hirao (CPA) is a senior SAP consultant with Group Basis. She has over 10 years of SAP experience, ranging from system auditor to project management. Her background includes positions as an external auditor for a Big Four accounting fi rm, an internal auditor for a multinational computer distribution company, and a consultant on SAP internal audits and FICO projects. She holds a master’s degree in accountancy from San Diego State University, California.

I dedicate this book to my amazing husband, who is the reason for my happiness.

Mimi Choi is a Basis consultant with over 7 years’ experience in SAP Basis. She currently works as a freelance consultant and provides technical consulting to a variety of large enterprise customers. Mimi previously worked as an advisory SAP technical consultant within the IBM Business Consulting Services team in Sydney, Australia. She is a certifi ed SAP technology consultant. Mimi holds a bachelor’s degree in commerce from the University of New South Wales, Australia. She is currently based in London, U.K.

Perry Cox is the managing partner of P. W. Cox Consulting, L.P. with over 25 years’ experience in the IT industry, including three years as an adjunct faculty member teaching both undergraduate and graduate business students about IT. He has specialized in SAP security solutions for the past 12 years, implementing SAP for clients and instructing them on how to maintain their own SAP security environment.

He is currently associated with Group Basis as a senior security consultant and holds an MBA from Indiana Wesleyan University.

Steven L. Passer is a senior manager in Accenture’s SAP Consulting Practice. He recently joined Accenture from NASA, where he was the lead SAP systems architect responsible for operations and engineering

Contributing Authors

vii

0000867877.INDD vii0000867877.INDD vii 9/29/2008 9:40:02 AM9/29/2008 9:40:02 AM

on the program. While with NASA Steve was responsible for the technical services revolving around NASA’s implementation, including SAP NetWeaver, new releases, landscape, capacity planning, performance, and operations across all NASA instances, including SAP NetWeaver Portal, SAP Contract Management, SAP Business Information Warehouse, SAP Service and Asset Management, and SAP Solution Manager. Steven has over 14 years of SAP implementation experience in pharmaceutical, automotive, and federal organizations.

viii

0000867877.INDD viii0000867877.INDD viii 9/29/2008 9:40:02 AM9/29/2008 9:40:02 AM

Chapter 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

The SAP NetWeaver Technology Map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

NetWeaver Web Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7ABAP WEB AS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9J2EE WEB AS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

UME Installation Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Backend: UNIX/Oracle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Governance, Risk, and Compliance (GRC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Chapter 2 Concepts and Security Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30ABAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Authenticating Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Using Secure Network Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Using Secure Sockets Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Using User ID and Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Using X.509 Client Certifi cate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Using SAP Logon Tickets and Single Sign-on . . . . . . . . . . . . . . . . . . . . . 34

Authorization Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35User Master Record . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Roles and Profi les . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Authorization Objects and Field Values . . . . . . . . . . . . . . . . . . . . . . . . . . 37Authorization Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Authorization Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

User Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Integrating User Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Using Central User Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Using Lightweight Directory Access

Protocol Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Contents

ix

0000867880.INDD ix0000867880.INDD ix 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

x Contents

User Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Role Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Analyzing Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Logging and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Using Security Audit Log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Using Audit Info System (AIS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Security Alerts in Computing Center

Management System (CCMS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Using the User Information System . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Securing Transport Layer for SAP Web AS ABAP . . . . . . . . . . . . . . . . . . . . . 51Using Secure Store and Forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Using Virus Scan Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Enforcing Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

J2EE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57J2EE Application Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Web Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Web Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Web Container . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Remote Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Authentication Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Authentication Approaches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Authentication Schemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Authentication Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Using User ID and Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Using X.509 Certifi cate on SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Using Security Session IDs for SSO . . . . . . . . . . . . . . . . . . . . . . . . . . 68Using Logon Tickets for SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Using Security Assertion Markup

Language (SAML) Assertions for SSO . . . . . . . . . . . . . . . . . . . . . . 70Using Kerberos Authentication SSO . . . . . . . . . . . . . . . . . . . . . . . . . . 72Using Header Variables for SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Authenticating RMI-P4 Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Authorization Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74User Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

UME User Store Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75DBMS User Store Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Authorization Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Roles or Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

J2EE Security Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78UME Roles (or Permissions) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

0000867880.INDD x0000867880.INDD x 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

Contents xi

Access Control List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Portal Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82UME Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Authorization Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83User Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Integrating User Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Using Lightweight Directory Access

Protocol Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Using SAP Web AS ABAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

User Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Role Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Integrating User and Role Administration . . . . . . . . . . . . . . . . . . . . . . . . 86

Securing Transport Layer for SAP J2EE Engine . . . . . . . . . . . . . . . . . . . . . . 87Enforcing Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91SAP GRC Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93SAP GRC Process Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Authorization Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Authorization Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

SAP GRC Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Backend: UNIX/Oracle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Security for UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Installing Latest Security-Related Patches . . . . . . . . . . . . . . . . . . . . . . . 101Restricting Operating System Access . . . . . . . . . . . . . . . . . . . . . . . . . . 102Protecting Operating System Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Protecting Operating System Resources . . . . . . . . . . . . . . . . . . . . . . . . 104Restricting Physical Server Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Protecting Network Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Securing an Oracle Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Installing the Latest Oracle Security Patches . . . . . . . . . . . . . . . . . . . . . 107Protecting Standard Database Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Protecting Database-Related Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Protecting the Oracle Listener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

0000867880.INDD xi0000867880.INDD xi 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

xii Contents

Chapter 3 ABAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Identity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116CUA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118LDAP (Lightweight Directory Access Protocol) . . . . . . . . . . . . . . . . . . . 121

Standard User ID/Pass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Role, Profi le, and Authorization Concepts . . . . . . . . . . . . . . . . . . . . . . . . . 125

What Is a Role? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Defi nition of a Profi le . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126SAP Authorization Concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Single Sign-on and Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Password Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Using Secure Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132SNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Strategy Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Acquire or Develop a Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 134Establish a Core Policy Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Authorization to Corporate Data and Application

Functionality Will Be via Role Assignment to User IDs . . . . . . . . . . 135Establish a Role Ownership Matrix That Will Maintain

Segregation of Duties (SOD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Establish Approval Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Establish a Role Development Methodology . . . . . . . . . . . . . . . . . . . . . 136Establish a Testing Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Establish a Change Management Procedure

for Post-Production Role Changes . . . . . . . . . . . . . . . . . . . . . . . . . . 136Role Documentation Will Use the Security Section

of Role Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Establish Security Administration Procedures . . . . . . . . . . . . . . . . . . . . . 137Custom ABAP Code Will Be Assigned

a Transaction Code and Be Secured via One or More Methods as Deemed Appropriate by Local ABAP Security Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . 137

Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Naming Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Role Naming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

0000867880.INDD xii0000867880.INDD xii 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

Contents xiii

Guiding Principals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Role Development Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Security Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146AL08 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147BDM2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Roles – Building and Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150PFCG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150Security-Related Parameters Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154RZ10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154RZ11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154SCUL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156SE93 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159SM04 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Security Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161SM19 and SM20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161SM58 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168SM59 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Security Trace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170ST01 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170SU01 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175SU02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178SU03 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179SU24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179SU53 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180SUGR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182SUIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182TU02 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185WE05 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186Identity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Setup of CUA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186Setup of LDAP Con . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

SAP Generic Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Single Sign-on and Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Password Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Authorization Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Defi nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Defi ned Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

0000867880.INDD xiii0000867880.INDD xiii 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

xiv Contents

Defi nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Defi ned Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

Authorization Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Spool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199File System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Securing the Operating System from the SAP Application

with S_DATASET and S_PATH . . . . . . . . . . . . . . . . . . . . . . . . . .203BDC Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Securing the Operating System from the SAP Application

with Logical Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Single Sign-on with SAPGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

Implementing Secure Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . 210HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210SNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Setting Up the PFCG_TIME_DEPENDENCY Job . . . . . . . . . . . . . . . 213Access to TEMSE – Temporary Sequential . . . . . . . . . . . . . . . . . . . . . . 214System Locks (SM12) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Production Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216CUA Monitoring/ Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216RFC Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Daily Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

SM04 – User Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221AL08 – Users Logged On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221SM21 – The System Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222SM19 – AIS Confi guration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222RZ20 – CCMS Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222SUIM – User Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222ST22 – ABAP Dump Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222SA38 – Run Report RSUSR006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Weekly Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222SE16 – Table Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223SCC4 – Client Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223SCU3 – Table History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223PFCG – Role Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Monthly Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224TU02 – Parameter Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

0000867880.INDD xiv0000867880.INDD xiv 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

Contents xv

SUIM – User Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Transaction S_BCE_68002111 or Execute Program

RSUSR008_009_NEW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Run Report RSUSR003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224


Chapter 4 J2EE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Users Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

J2EE Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240The User Management Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241User Self Registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Single Sign-on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Portal Confi guration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244ECC Confi guration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245J2EE Confi guration for SID=DP1 ( J2EE Engine) . . . . . . . . . . . . . . . . . 245

Portal Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Changing Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

Emergency User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Password Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Setting Up SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252Installing the SAP Java Cryptographic Toolkit . . . . . . . . . . . . . . . . . . . . . . 253Creating Server Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Generating Signed Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Implementing Client Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264


Chapter 5 GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Design Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277SAP Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Enterprise Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281Compliance Calibrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Segregation of Duties Report – by User . . . . . . . . . . . . . . . . . . . . . . . . 287

0000867880.INDD xv0000867880.INDD xv 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

xvi Contents

Segregation of Duties Report – by Role . . . . . . . . . . . . . . . . . . . . . . . . 288Comparison Reports between Two Time Frames . . . . . . . . . . . . . . . . . . 288Ad Hoc Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289SAP Process Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

Chapter 6 Back End: UNIX/Oracle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Database Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302

Patches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Patch Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

Patching Procedures: Oracle to 10.2.0.2 . . . . . . . . . . . . . . . . . . . . . . 304Patching Oracle Security Patch CPU . . . . . . . . . . . . . . . . . . . . . . . . 305

Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Default Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Default Privileges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309Password Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Restrict Network Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311

Operating System Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314Changing Some Defaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316


Chapter 7 Overview of Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326SAP Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328Master Record Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Customer Master Record Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Company Code Data Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Reconciliation Account in General Ledger . . . . . . . . . . . . . . . . . . . . 329Tolerance Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Payment History Record . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

General Data Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Street Address Section . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

0000867880.INDD xvi0000867880.INDD xvi 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

Contents xvii

Sales Area Data Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Terms of Payment–Billing Document . . . . . . . . . . . . . . . . . . . . . . . . 330Taxes Sections–Billing Document . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

Customer Credit Management Master Record Settings . . . . . . . . . . . . . . . 330Credit Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

Credit Limit: Total Limit Across All Control Areas . . . . . . . . . . . . . . . 331Risk Category . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

Vendor Master Record Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331General Ledger Account Master Record . . . . . . . . . . . . . . . . . . . . . . . . . . 332Material Master Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Transactions and Confi guration Related to Business Cycles . . . . . . . . . . . . . . . 334Revenue Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

Sales Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Pick, Pack, and Ship . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335Billing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Customer Payment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Expenditure Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Purchase Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Goods Receipt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339Invoice Verifi cation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340Payment to Vendor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

Auditing Confi guration Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341Auditing Customized Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Auditing Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Auditing Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351

Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

0000867880.INDD xvii0000867880.INDD xvii 10/1/2008 7:08:38 PM10/1/2008 7:08:38 PM

Visit us at - Elsevier · The IT Administrator’s Guide to Best Practices ... UME Installation...

Documents

Transcript of Visit us at - Elsevier · The IT Administrator’s Guide to Best Practices ... UME Installation...