Utilizzi la password per autenticarti ai sistemi SAP?
Quali sono le casistiche più banali alle quali dovresti prestare attenzione?
Il processo di gestione delle password per le nuove utenze
Ogni giorno definisci (chi più chi meno) a sistema delle utenze. Ricevi dalle risorse umane una notifica o in altri modi, ad esempio tramite un ticket le utenze che devono essere create.
Mentre se utilizzi sistemi come SAP GRC Access Control oppure Identity Management questo problema potresti non averlo.
In questi casi sia avvia un workflow automatico o manuale di creazione della nuova utenza nei vari sistemi, tra cui anche SAP.
Alla fine del processo, il nuovo utente, per potersi collegare deve conoscere le sue credenziali, quindi una username ed una password.
1) Come gli viene comunicata questa password?
Uno dei primi aspetti sul quale interrogarsi è il come gli viene fornita questa password. Spesso questo aspetto è collegato al punto successivo.
- Tramite mail?
- Tramite telefono?
- Dato che è uguale per tutti, ormai tutti sanno che è sempre quella, almeno quella iniziale?
- Tramite un link temporaneo?
2) Come gestisci la password iniziale?
Ecco, quale scegli come password iniziale? Questo è uno degli aspetti più delicati e che spesso viene molto sottovalutato.
Ma quali sono i casi più comuni? Magari ereditati dal momento di progetto o da altre abitudini:
- Init123a o varianti es. Init00
- Iniziale!
- Nome società ed anno es. Aglea2020 o anche Aglea1
- CambiamiOra! (questa è più in stile anglosassone)
Ecco se anche tu usi questa tecnica o analoga forse dovresti rivedere questo aspetto.
Ma quali potrebbero i rischi?
- Un utente si collega al posto di un altro. Pensi sia davvero così difficile? Se conosco che qualche nuovo collega sta entrando in azienda, magari conosco anche la USERID con la quale sarà creato nei sistemi e quindi, se utilizzo una password comune potrò entrare a nome suo. Chiaramente se il nuovo collega non ha fatto il primo accesso
- Questa operazione potrebbe avvenire anche nei casi in cui un utente non si collega subito, appena gli viene fornito l'accesso. Quante volte capita che una utenza sia definita, magari di un top-manager e questo utente non si è nemmeno collegato a distanza di mesi
Anche per queste ragioni, in caso di tentativi di logon errati SAP ha introdotto un pop-up di avviso durante il logon.
Proprio per vedere se qualcuno ha provato a fare qualche tentativo di accesso (vedi anche nota OSS 2322332 - Number of failed password logon attempts).
Se effettuo un tentativo di logon in SAP, con credenziali non corrette, vedi errore sotto
Al prossimo logon con successo mi comparirà il messaggio di avviso seguente:
3) La password iniziale ha scadenza?
Di default la password iniziale non ha scadenza, tuttavia tramite il profilo d'istanza SAP login/password_max_idle_initial puoi inserire il numero di giorni di validità della password.
Trascorsi i giorni indicati la password sarà disattivata e quindi l'utente (anche conoscendola) non potrà più entrare nel sistema.
4) La password produttiva ha una scadenza?
Anche se non direttamente legato agli aspetti di password iniziale, esiste un modo per far scadere la password, anche produttiva (quindi già cambiata almeno una volta dall'utente) in caso di mancato logon per un determinato periodo.
Questo parametro si chiama login/password_max_idle_productive. In questo caso potrei inserire un valore inferiore al cambio password obbligatorio (se utilizzo questa tecnica)
5) Le utenze hanno password diverse tra i vari sistemi?
Ulteriore aspetto di attenzione riguarda la copia dei sistemi. O se la tua utenza ha la stessa password nei vari sistemi. Ma perché questo potrebbe essere un rischio?
- Se ho accesso al sistema di sviluppo o test, normalmente meno presidiati, da lì potrei recuperare la password ed usarla quindi nel sistema di produzione per accedere a nome tuo. Dato che la password è identica nei vari sistemi
Valuta la generazione automatica della password iniziale
Se non hai strumenti come il SAP GRC Access Control oppure soluzioni di Identity Management, allora puoi utilizzare direttamente la funzionalità standard SAP di generazione automatica della password.
Questo strumento, presente nel tab "Logon Data" della transazione SU01 (la transazione per la gestione degli utenti SAP) ti permette di generare una password.
Di default SAP la genera con la massima complessità possibile quindi 40 caratteri, numeri, lettere (maiuscole e minuscole), e caratteri speciali inclusi.
Puoi personalizzare anche il comportamento della generazione tramite la tabella PRGN_CUST (utilizzando la transazione SM30) usando i seguenti customizing switch:
- GEN_PSW_MAX_LETTERS login/min_password_letters
Maximum number of digits in the generated password
- GEN_PSW_MAX_DIGITS login/min_password_digits
Maximum number of letters in the generated password
- GEN_PSW_MAX_SPECIALS login/min_password_specials
Maximum number of special characters in the generated password
- GEN_PSW_MAX_LENGTH login/min_password_lng
Maximum length of the generated password