SAP 用户访问控制系统
SAP Authorization、Access Control 、AMS-U
AMS-U SAP 用户访问控制系统
- AMS-U 系统支持用户在线会话操作的侦听和权限控制,提供SAP系统权限体系外的用户操作控制配置策略,保障SAP系统安全和数据安全。
- 基于AMS安全网关对SAP终端业务用户会话网络报文的侦听和解析,实现了面向SAP用户业务行为的在线操作控制。
- 系统支持用户数据层面的权限控制以及审计日志记录,依据预制策略模型介入管理用户事务代码执行、特殊凭证的操作等。
AMS-U 自定义权限管理策略
- 限制 SE38 只能修改 ZFI001程序,限制查看其它程序源代码(禁用按钮,提示无权限) 。
限制 SE16 查询数据库表,只能查看 BSEG,BSAK,其它输入直接提示无权限。 - 限制 V/LD 可查询物料价格范围,限制查询条件屏幕和数据导出功能。
- 限制 FIBLFFP 任意形式支付、 FIBLAROP 客户支付请求中的金额限制等。
SAP Authorization、Access Control 、AMS-U
AMS-U 应用场景:数据权限控制
用户具有SAP_ALL权限,查询操作:
- 事务代码 V/LD 查询物料价格,角色权限可控制到销售组织,分销渠道,条件类型,产品组,但控制不到物料。
- AMS-U 实现 1020销售组织,22分销渠道,限制用户 只能查询350-100的物料价格;也可进一步限制查询条件屏幕。
AMS-U 应用场景:开发账号权限控制
- 限制 SE38 只能修改 ZFI001程序,限制查看其它程序源代码(禁用按钮,提示无权限) 。
- 限制 SE16 查询数据库表,只能查看 BSEG,BSAK,其它输入直接提示无权限。
AMS-U 策略:管理、配置、解析
- 限制 FIBLFFP 任意形式支付、 FIBLAROP 客户支付请求中的金额限制等。
- 控制登录选择屏,不允许重复登录。非SAP参数login/disable_multi_gui_login配置,可以限定特定账号。
- 控制用户超时时间,可个性化设置用户超时时间。
- 限定用户终端登录,指定的MAC地址或IP来源连接SAP系统;非许可终端来源用户禁止登录系统。
