Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-05

Nouveautés relatives à la sécurité dans NetWeaver

SAP élargit régulièrement l'étendue des fonctions de ses produits, y compris en ce qui concerne les composants de sécurité. Il est essentiel de rester "à jour" dans ce domaine, car la sécurité de base des systèmes SAP en dépend.
Thomas Tiede, IBS
4 mai 2017
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Un nouveau Security Audit Log (SAL) a été livré avec NetWeaver 7.50, SP3. La note SAP 2191612 décrit les nouvelles fonctions du journal d'audit.

Le journal d'audit utilisé jusqu'à présent présente de nombreux points faibles, comme le nombre limité de filtres, l'absence de détection des manipulations, l'impossibilité d'archiver et les possibilités insuffisantes d'indiquer les utilisateurs à surveiller.

Le nouveau Security Audit Log (transactions RSAU_*) offre désormais plusieurs nouvelles fonctionnalités :

  • Les protocoles peuvent être partiellement ou totalement stockés et gérés dans la base de données.
  • Le nombre maximal de filtres par profil est passé de 10 à 90.
  • Il est également possible d'indiquer des groupes d'utilisateurs pour la journalisation ou de les exclure explicitement.
  • Une protection de l'intégrité peut être mise en place pour détecter les manipulations des fichiers journaux.
  • Les configurations des journaux d'audit peuvent être exportées et importées afin d'être échangées entre différents systèmes.

Les anciennes fonctionnalités (transactions SM18, SM19, SM20, SM20N) ne seront plus développées. Pendant une période de transition, elles restent encore disponibles avec les fonctionnalités actuelles. SAP recommande toutefois de passer au nouveau journal d'audit.

Une autre nouvelle fonctionnalité offre une protection contre les manipulations de rôles dans les systèmes productifs. Jusqu'à présent, la gestion des rôles était limitée par le fait que les autorisations correspondantes n'étaient pas attribuées pour cela.

Grâce au commutateur CLIENT_SET_FOR_ROLES dans la table PRGN_CUST, la gestion des rôles peut désormais être liée au blocage du Customizing qui peut être activé pour des mandants individuels via la table T000 (note SAP 1723881).

La gestion des affectations d'utilisateurs reste alors possible, mais la gestion des valeurs d'autorisation ne l'est plus. Il y a également quelques nouveautés pour la gestion des rôles. Ainsi, des modifications en masse sont possibles avec la transaction PFCGMASSVAL ou le programme PFCG_MASS_VAL (note 2177996).

Cela comprend la modification des niveaux d'organisation ainsi que des valeurs de champ dans un objet d'autorisation ou un champ d'autorisation (pour différents objets).

Une trace longue durée est également disponible pour déterminer les autorisations requises (note 2220030 : transaction STUSERTRACE). Contrairement à la trace d'autorisation traditionnelle, les protocoles sont comprimés, ce qui signifie qu'un contrôle d'autorisation consigné une fois n'est pas enregistré une deuxième fois pour l'utilisateur concerné.

Cet enregistrement convient également pour consigner les contrôles d'autorisation des utilisateurs d'interface et d'arrière-plan. Ceux-ci peuvent être enregistrés sur une longue période et ensuite transférés automatiquement dans un rôle à l'aide de la transaction PFCG.

Une nouveauté à partir de NetWeaver 7.50, SP3, est la possibilité de bloquer les transactions en fonction du mandant (note 2234192). Jusqu'à présent, les blocages de transactions étaient toujours valables pour l'ensemble du système. Avec la transaction SM01_CUS, les transactions peuvent désormais être bloquées pour des mandants individuels. De nouveaux contrôles d'autorisation sont également régulièrement mis en œuvre.

Z. Par exemple, les autorisations dans le domaine du transport peuvent également être attribuées en fonction du système (objets d'autorisation S_CTS_SADM et S_SYS_RWBO). Pour les autorisations dites critiques d'un point de vue légal, il faut tenir compte des objets d'autorisation S_RFCRAIAR (autorisation pour le module fonction RFC_ABAP_INSTALL_AND_RUN) et S_SCD0_OBJ (autorisation pour les objets document de modification).

Les exemples montrent la nécessité d'intégrer les nouveautés respectives de NetWeaver dans les concepts de sécurité existants. En outre, il faut tenir compte des patches de sécurité qui sont publiés chaque deuxième mardi du mois dans le cadre du SAP Security Patchday (support.sap.com/securitynotes). Les notes de sécurité concernant les composants utilisés en production doivent être mises en œuvre rapidement.

avatar
Thomas Tiede, IBS

Thomas Tiede est directeur général d'IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

L'archivage : plus que le classement et l'élimination

Evolution du client avec des charges héritées du passé

L'IA fait partie intégrante de la vie quotidienne

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.