M 4.267 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der SAP Java-Stack besitzt eine eigene Benutzerverwaltung, die unabhängig vom ABAP -Stack eingesetzt werden kann. Folgendes ist dabei zu beachten:

Benutzer-Speicher konfigurieren

Der Java-Stack verwaltet seine Benutzer in einem Benutzer-Speicher, der ab Version 6.30 konfiguriert werden kann. Zur Auswahl stehen im Wesentlichen die Java-Stack Datenbank oder die User Management Engine (UME). Wird die UME eingesetzt, kann als Benutzer-Speicher auch ein LDAP -Verzeichnis oder ein ABAP-Stack genutzt werden.

In der Regel empfiehlt es sich, als Benutzer-Speicher den ABAP-Stack über die UME zu nutzen. Auf diese Weise können die Benutzer im ABAP-Stack verwaltet werden. Der Zugriff auf den ABAP-Stack erfolgt über den JavaConnector (JCo) unter den Berechtigungen des ABAP-Stack-Benutzers SAPJSF.

Im Rahmen der Einsatz-Planung ist zu entscheiden, welcher Benutzer-Speicher zum Einsatz kommen soll.

Notfall-Administrator anlegen

Wie für den ABAP-Stack muss auch für den Java-Stack ein Notfall-Administrator angelegt werden. Für diesen müssen die gleichen organisatorischen Schutzmechanismen gelten wie für den Notfall-Administrator des ABAP-Stack (siehe M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung ).

Standardbenutzer absichern

Die Java-Stack Standardbenutzer Administrator, System und Guest müssen wie folgt abgesichert werden:

Konzeption zur Benutzerverwaltung

Im Rahmen der Planung ist ein Konzept zur Benutzerverwaltung zu erstellen, das auch den Java-Stack berücksichtigt. Dabei ist unter anderem zu bedenken, dass die Benutzer in der Regel nur über das Werkzeug Visual-Admin verwaltet werden. Standardmäßig muss dabei die Anmeldung unter Administrator-Rechten (Mitgliedschaft in der Gruppe "Administrators") erfolgen. Dies bedeutet, dass sich beispielsweise Help-Desk-Mitarbeiter unter administrativen Berechtigungen verbinden. Dies kann zwar durch Rekonfiguration der internen Berechtigungsstrukturen eingeschränkt werden, diese ist jedoch aufwendig und verhindert nicht alle administrativen Tätigkeiten.

Alternativ kann die Benutzerverwaltung auch über die Web-Schnittstelle der UME erfolgen, falls diese zum Einsatz kommt.

Der Java-Stack erlaubt es, dass sich unbekannte Benutzer selbst registrieren können. Im Rahmen der Konzeption ist zu entscheiden, ob diese Funktion eingesetzt werden soll. Dabei ist eine sorgfältige Risikobetrachtung durchzuführen, da sich selbstregistrierte Benutzer nach der Registrierung gegenüber dem Java-Stack authentisieren können. Zwar besitzen die Benutzer dann in der Regel noch keine weiteren Berechtigungen, sind jedoch Applikationen mit Sicherheitsschwächen installiert (z. B. keine Berechtigungsprüfung beim Zugriff über bestimmte URLs), so können diese unter Umständen durch selbstregistrierte Benutzer ausgenutzt werden. Insbesondere im Internet-Einsatz ist diese Funktion kritisch zu bewerten. Um die Selbstregistrierung zu unterbinden, muss die UME Eigenschaft "ume.logon.selfreg" auf den Wert "FALSE" gesetzt werden. Die Konfiguration erfolgt über die Properties-Datei im Dateisystem oder über das Java Stack Werkzeug "Configtool". Generell muss der Einsatz der Selbstregistrierung sorgfältig geplant werden, von einer standardmäßigen Nutzung muss daher abgesehen werden. Es wird empfohlen, dass der Einsatz der Selbstregistrierung durch das Sicherheitsmanagement genehmigt werden muss.

Zugriff auf UME Web-Schnittstelle

Die UME Web-Schnittstelle erlaubt die Benutzerverwaltung über einen Browser. Wird diese Funktion eingesetzt, ist Folgendes zu berücksichtigen:

Ob und unter welchen sicherheitsrelevanten Randbedingungen die UME Web-Schnittstelle eingesetzt werden soll, ist in der Planungsphase zu entscheiden.

Prüffragen: