Welche Passwörter dürfen in SAP ERP bzw. SAP S/4HANA verwendet werden? Welche Richtlinien gibt es? Kennwörter sind eine der wichtigsten Maßnahmen für die Sicherheit eines SAP-Systems. Es gibt eine Vielzahl von Profilparametern, mit denen Du Einfluss auf die Vergabe von Kennwörtern nehmen kannst. Welche SAP-Passwortregeln es gibt und wie man diese einfach und schnell im SAP-System einrichtet, erfährst du in diesem Artikel.
Im Artikel „Passwort eines SAP-Benutzers einfach ändern“ wird im Detail beschrieben, wie man einfach und schnell das Passwort eines SAP-Benutzers ändern kann.
SAP-Kennwortregeln
Im Folgenden werden die wichtigsten SAP-Kennwortregeln als Profilparameter aufgelistet. In der Transaktion RZ10 kann man diese pflegen.
Profilparameter | Beschreibung |
---|---|
login/min_password_lng | Minimale Kennwortlänge (mindestens 3 Zeichen) |
login/min_password_letters | Mindest Anzahl von Buchstaben in Kennwörtern |
login/min_password_digits | Mindest Anzahl von Ziffern in Kennwörtern |
login/min_password_specials | Mindest Anzahl von Sonderzeichen in Kennwörtern |
login/password_charset | Zeichenmenge für Kennwörter (Dieser Parameter wird nur ausgewertet, wenn der Profilparameter login/password_downwards_compatibility auf den Wert 5 gesetzt ist. Andernfalls sind generell alle Unicode-Zeichen zulässig.) |
login/password_history_size | Größe der Kennworthistorie |
login/password_change_waittime | Wartezeit zwischen zwei Kennwortänderungen |
login/min_password_lowercase | Mindest Anzahl von Kleinbuchstaben in Kennwörtern |
login/min_password_uppercase | Mindest Anzahl von Großbuchstaben in Kennwörtern |
login/min_password_diff | Anzahl unterschiedliche Zeichen: altes/neues Kennwort |
login/password_compliance_to_current_policy | Kennwort muss aktuellen Kennwortregeln genügen |
login/password_max_idle_productive | Gültigkeitsdauer ungenutzter Produktivkennwörter |
login/password_max_idle_initial | Gültigkeitsdauer ungenutzter Initialkennwörter |
login/password_max_new_valid | Gültigkeitsdauer für neu angelegte Benutzer (Nur in SAP Web Application Server 6.20 und 6.40 verfügbar) |
login/password_max_reset_valid | Gültigkeitsdauer zurückgesetzter Kennwörter (Nur in SAP Web Application Server 6.20 und 6.40 verfügbar) |
login/password_downwards_compatibility | Abwärtskompatibilität von Kennwörtern |
login/password_hash_algorithm | Format und Hash-Algorithmus für neue Kennwörter |
login/disable_multi_gui_login | Deaktivierung der mehrfachen Dialoganmeldung |
login/multi_login_users | Liste von Ausnahmebenutzern (Mehrfachanmeldung) |
login/fails_to_session_end | Anzahl der Falschanmeldungen bis das Anmeldeverfahren abgebrochen wird |
login/accept_sso2_ticket | Anmeldung per SSO-Ticket zulassen / sperren |
login/create_sso2_ticket | Erzeugung von SSO-Tickets zulassen |
login/ticket_expiration_time | Gültigkeitsdauer eines SSO-Tickets (Erzeugung) |
login/ticket_only_by_https | Erzeugung von SSO-Tickets nur über HTTPS |
login/ticket_only_to_host | Ticket wird nur an den erstellenden Host zurückgeschickt |
login/disable_cpic | Eingehende CPIC-Kommunikation deaktivieren |
login/no_automatic_user_sapstar | Steuerung des automatischen Login-Benutzers SAP* |
login/system_client | Standardmandant des Systems |
login/update_logon_timestamp | Genauigkeit des Anmeldezeitstempels |
rdisp/gui_auto_logout | Maximale Leerlaufzeit für eine SAP-GUI-Verbindung |
Einige Profilparameter wurden durch Sicherheitsrichtlinienattribute ersetzt. Einen Überblick über die Sicherheitsrichtlinienattribute und die abgelösten Profilparameter findest Du auf der unter Sicherheitsrichtlinienattribute zu Anmeldung und Kennwort.
Prüfung eines Kennworts auf formale Korrektheit
Ab SAP Web AS 6.10 kann der Funktionsbaustein „PASSWORD_FORMAL_CHECK“ feststellen, ob ein Passwort den aktuellen Kennwortrichtlinien entspricht. Dabei berücksichtigt der Funktionsbaustein PASSWORD_FORMAL_CHECK nicht die folgenden Regeln:
- Das Kennwort darf nicht eines der letzten fünf vom Benutzer verwendeten Kennwörter sein.
- Der Benutzer darf das Kennwort nur nach Eingabe des korrekten alten Kennworts ändern.
- Der Benutzer darf das Kennwort nur einmal pro Tag ändern.
- Das Kennwort muss sich um mindestens „x“ Zeichen vom alten Kennwort unterscheiden.
Im Function Builder (Transaktion SE37) kannst Du den Funktionsbaustein im Detail analysieren und testen.
Neue Kennwortregeln (Groß- / Kleinschreibung wird unterschieden)
Ältere ABAP-Systeme (vor Kernel Release 7.0) akzeptieren nur Passwörter mit maximal 8 Zeichen, wobei Kleinbuchstaben automatisch in Großbuchstaben umgewandelt werden.
Neuere ABAP-Systeme (ab Kernel-Release 7.0) erlauben Passwörter mit bis zu 40 Zeichen, einschließlich beliebiger Groß- und Kleinschreibung. In Nicht-Unicode-Systemen ist zu beachten, dass Benutzeradministratoren je nach Anmeldesprache unterschiedliche Codepages verwenden können, was die Eingabe von Passwörtern beeinflussen kann. In solchen Fällen wird empfohlen, nur ASCII-Zeichen zu verwenden. Dies wird bei der Generierung der Passwörter berücksichtigt.
Passwörter, die mehr als 8 Zeichen oder mindestens einen Kleinbuchstaben enthalten (in neueren Systemen werden Kleinbuchstaben nicht mehr automatisch in Großbuchstaben umgewandelt), sind nicht abwärtskompatibel:
Bei Verbindungen von älteren Systemen zu neueren Systemen, die eine Anmeldung mit Passwort erfordern, treten Probleme auf, wenn nicht abwärtskompatible Passwörter verwendet werden.
Je nach konfigurierbaren Profilparametern können in neueren Systemen entweder abwärtskompatible oder nur nicht abwärtskompatible Kennwörter vergeben werden.
Das Verhalten des Systems kann über den Profilparameter „login/password_downwards_compatibility“ eingestellt werden:
- Bei einem Wert von 0 gelten die Kennwortregeln für alle Benutzer, einschließlich Service- und Systembenutzer. Wenn die Regeln nicht rückwärtskompatible Kennwörter erfordern, betrifft dies auch Service- und Systembenutzer.
- Bei Werten von 1 bis 4 (Standardwert 1) können für Service- und Systembenutzer nicht rückwärtskompatible Kennwörter vergeben werden, unabhängig von den Kennwortregeln. Für andere Benutzer gelten die Kennwortregeln jedoch weiterhin.
- Bei einem Wert von 5 werden generell nur nicht rückwärtskompatible Kennwörter für alle Benutzer vergeben.
Wenn die Kennwortregeln für Service- und Systembenutzer gelockert werden, um die Vergabe von rückwärtskompatiblen Kennwörtern zu ermöglichen, geschieht dies folgendermaßen:
- Die Profilparameter „login/min_password_lowercase“ und „login/min_password_uppercase“ werden ignoriert.
- Die Maximalwerte der Profilparameter „login/min_password_lng“, „login/min_password_digits“, „login/min_password_letters“ und „login/min_password_specials“ werden auf 8 reduziert. Wenn diese Parameter höhere Werte haben, wird 8 als wirksamer Parameterwert verwendet.
Dies gilt auch, wenn der Profilparameter „login/password_downwards_compatibility“ auf den Wert 5 gesetzt wird.
Kennwortstatus
Insgesamt gibt es folgende Kennwortstatus:
- Initialkennwort (von Administrator gesetzt)
- Produktivkennwort
- Kennwort deaktiviert
Initialkennwort (von Administrator gesetzt)
Der Kennwortstatus „Initialkennwort (vom Administrator festgelegt)“ bedeutet, dass dieses Kennwort vom Benutzeradministrator und nicht vom Benutzer selbst festgelegt wurde.
Bei der nächsten Anmeldung wird der Benutzer aufgefordert, dieses Kennwort in ein persönliches Produktivkennwort zu ändern.
Die Gültigkeit des Anfangskennworts kann begrenzt werden. Der maximale Zeitraum zwischen der Festlegung und der ersten Verwendung des Anfangskennworts wird durch den Profilparameter „login/password_max_idle_initial“ (in Tagen) festgelegt. Eine Anmeldung nur mit dem Anfangskennwort ist danach nicht mehr möglich.
Der Benutzer muss sich dann an den Benutzerverwalter wenden, um ein neues Kennwort zu erhalten, und die Zeitspanne beginnt erneut.
Eine Kennwortänderung ist auch notwendig, wenn das Kennwort den aktuellen Kennwortrichtlinien nicht mehr entspricht und die sofortige Änderung durch den Profilparameter „login/password_compliance_to_current_policy“ gefordert wird.
Auch bei einer nicht-kennwortbasierten Anmeldung oder bei der Verwendung von SAP GUI kann der Kennwortstatus überprüft werden. Abhängig vom Profilparameter „login/password_change_for_SSO“ stehen folgende Optionen zur Verfügung (Profilparameterwerte in Klammern):
- Keine Überprüfung des Kennwortstatus (0).
- Überprüfung des Kennwortstatus.
- Wenn die Überprüfung ergibt, dass das Kennwort geändert werden muss (weil es abgelaufen ist oder ein Anfangskennwort ist), bietet das System die Optionen, das Kennwort zu deaktivieren (3), zu ändern (2) oder beides (1).
Produktivkennwort
Der Kennwortstatus „Produktivkennwort“ bedeutet, dass dieses Kennwort vom Benutzer selbst und nicht vom Benutzeradministrator festgelegt wurde.
Es sei darauf hingewiesen, dass Benutzer vom Typ „Service“ oder „System“ ihr Kennwort nicht selbst ändern können. In diesen Fällen werden vom Administrator vergebene Kennwörter automatisch als Produktivkennwörter behandelt. Diese Benutzertypen sind außerdem von der in den folgenden Abschnitten beschriebenen Kennwortänderungspflicht ausgenommen (siehe Hinweis 622464).
Die Gültigkeitsdauer des Produktivkennworts hängt von den Profilparametern „login/password_expiration_time“ und „login/password_max_idle_productive“ ab.
Mit dem Profilparameter „login/password_expiration_time“ wird festgelegt, ab welchem Zeitpunkt der Benutzer aufgefordert wird, sein Produktivkennwort zu ändern. Dieser Zeitpunkt ergibt sich aus dem Datum der letzten Kennwortänderung plus der im Profilparameter festgelegten Anzahl von Tagen.
Mit dem Profilparameter „login/password_max_idle_productive“ wird festgelegt, ab welchem Zeitpunkt die Gültigkeit des Produktivkennworts endet. Auch dieser Zeitpunkt ergibt sich aus dem Datum der letzten Kennwortänderung plus der im Profilparameter festgelegten Anzahl von Tagen. Ab diesem Zeitpunkt ist eine kennwortbasierte Anmeldung nicht mehr möglich.
Es ist empfehlenswert, die Zeitspanne der Gültigkeit des Produktivkennworts („login/password_max_idle_productive“) größer zu wählen als die Zeitspanne bis zur automatischen Aufforderung zur Kennwortänderung („login/password_expiration_time“).
Selbst nach Ablauf der Gültigkeit des Produktivkennworts ist eine nicht-kennwortbasierte Anmeldung (z. B. SSO-Verfahren) weiterhin möglich.
Auch bei einer nicht-kennwortbasierten Anmeldung oder bei Verwendung von SAP GUI kann der Kennwortstatus überprüft werden. Abhängig vom Profilparameter „login/password_change_for_SSO“ stehen folgende Optionen zur Verfügung (Profilparameterwerte in Klammern):
- Keine Prüfung des Kennwortstatus (0).
- Prüfung des Kennwortstatus.
- Bei Bedarf, bietet das System die Optionen, das Kennwort zu deaktivieren (3), zu ändern (2) oder beides (1).
Kennwort deaktiviert
Der Kennwortstatus „Kennwort deaktiviert“ bedeutet, dass das Kennwort deaktiviert wurde, d. h. der Benutzer kann sich nicht mit einem Kennwort am System anmelden.
Dies ist sinnvoll, wenn der Benutzer ausschließlich alternative Anmeldeverfahren verwenden möchte, wie beispielsweise:
- SNC (bei SAP GUI und RFC-basierten Frontends)
- X.509-Benutzerzertifikate (bei webbasierten Frontends)
- SAP-Anmeldetickets (bei Einsatz eines Portals / Workplaces)
Eine Kennwortänderung ist auch erforderlich, wenn das aktuelle Kennwort nicht mehr den aktuellen Kennwortrichtlinien entspricht und eine sofortige Änderung gemäß dem Profilparameter „login/password_compliance_to_current_policy“ erforderlich ist.
Anstelle einer individuellen Deaktivierung des Kennworts kann auch die generelle Kennwortanmeldung für alle Benutzer durch Festlegen des Profilparameters „login/disable_password_logon“ deaktiviert werden.
Der Benutzeradministrator kann die individuelle Kennwortdeaktivierung aufheben, indem er dem Benutzer ein neues Anfangskennwort vergibt. Beachten Sie jedoch, dass die allgemeine Deaktivierung der Kennwortanmeldung dadurch nicht aufgehoben wird.
Liste der Benutzer nach Anmeldedatum und Kennwortänderung
Mit der Transaktion RSUSR200 (ABAP-Programm RSUSR200) kann man eine Liste der SAP-Benutzer nach Anmeldedatum und Kennwortänderung erhalten. Ruft man die Transaktion auf, erhält man einen Selektionsbildschirm mit zahlreichen Selektionskriterien. Folgende Bereiche stehen hierbei zur Verfügung:
- Standardselektion (Benutzer, Gruppe für Berechtigung, Sicherheitsrichtlinien, Tage seit letzter Anmeldung, Tage seit Kennwortänderung)
- Selektion nach Gültigkeit des Benutzers
- Selektion nach Sperren
- Selektion nach Anmeldeversuchen
- Selektion nach Benutzertyp
- Selektion nach Status des Kennworts
Im oberen Screenshot ist der Bereich „Selektion nach Status des Kennworts“ nicht zu sehen.
Nach Auswahl der Selektionskriterien werden die SAP-Benutzer übersichtlich in einer Liste angezeigt. Wichtige Informationen wie Anmeldung, Gültigkeit des Passwortes, Sperre und Sperrgrund werden angezeigt.
SAP-Benutzer nach Kennwortstatus selektieren
Die Transaktion RSUSR200 (ABAP-Programm RSUSR200) ermöglicht es, SAP-Benutzer nach verschiedenen Kennwortstatus zu selektieren. Somit kannst Du SAP-Benutzer auswählen, deren Kennwortstatus Produktivkennwort, Initialkennwort oder deaktiviertes Kennwort haben.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.