Plan de formation Chapitre 1 : Présentation de SAP Chapitre 2 : Arrêt et démarrage d’un système SAP Chapitre 3 : Configuration des paramètres SAP Chapitre 4 : La base de données Chapitre 5 : Les différentes mémoires dans SAP Chapitre 6 : Transport d’OTs Chapitre 7 : Support packages, Plug-Ins et Add-Ons Chapitre 8 : Planification de jobs en arrière plan Chapitre 9 : Les impressions Chapitre 10 : Les connexions RFC Chapitre 11 : ITS et ICM : les Clients légers Chapitre 12 : Administration des utilisateurs Chapitre 13 : Autorisations Chapitre 14 : Gestion des mandants Chapitre 15 : Surveillance du système Chapitre 16 : Monitoring avec CCMS Chapitre 17 : Les transactions utiles Chapitre 18 : Accès à l’aide Chapitre 19 : Documents techniques clés 10h40 – 13h55 (arrêt à 11h40, reprise à 13h15) 1
Chapitre 12 : Administration des utilisateurs Utilisateur SAP La création d’un compte utilisateur SAP ne se fait que dans le système SAP, pas dans la base de données. La base de données est accédée par les processus SAP via des comptes spécifiques. Un utilisateur SAP n’a accès qu’au mandant dans lequel il a été créé L'accès au système R/3 est contrôlé au niveau du mandant. Chaque utilisateur R/3 doit disposer d'une fiche utilisateur dans le mandant sur lequel il doit travailler. Dans R/3, les autorisations servent à limiter l'accès aux programmes et aux données. Ce chapitre porte sur : la création de fiches utilisateur ; les profils d'autorisation ; le contrôle de l'accès aux transactions et aux données dans le système R/3.
Chapitre 12 : Administration des utilisateurs Concepts de l’administration des utilisateurs Adresse Connexion : mot de passe, durée de validité et type, groupe utilisateur Options : imprimante par défaut, langue… Paramètres : valeurs utilisateur pour champs SAP Roles et Profils : autorisations Groupes : pour la gestion en masse (SU10) – Différent du groupe utilisateur de l’onglet connexion qui sert à la délégation de gestion des utilisateurs Données obligatoires : nom, mot de passe initial 3
Chapitre 12 : Administration des utilisateurs Fiche utilisateur Transaction SU01 4
Chapitre 12 : Administration des utilisateurs Fiche utilisateur 5
Chapitre 12 : Administration des utilisateurs Types d’utilisateurs Dialog Correspond à un personne physique. Le mot de passe est soumis aux contrôles de validité. System A utiliser pour les batchs et les connexions RFC au sein d’un système. Pas de connexion GUI possible. Pas de contrôles de validité du mot de passe. Celui-ci ne peut être changé que par un administrateur. Communication A utiliser pour les connexions entre système. Pas de connexion GUI possible. Le mot de passe est soumis aux contrôles de validité. Service Connexion GUI pour un accès anonyme. Restreindre les autorisations au maximum. Pas de contrôle de validité du mot de passe. Plusieurs connexions simultanées possibles. Reference Accès anonyme. Pas de connexion GUI possible. Utilisé uniquement pour allouer des rôles supplémentaires à un utilisateur de type Dialog (onglet Rôles).
Chapitre 12 : Administration des utilisateurs Groupes d’utilisateurs Au niveau de l’onglet Connexion : permet de gérer de la délégation d’administration d’utilisateurs Tel administrateur ne pourra modifier les fiches utilisateur de tel groupe Au niveau de l’onglet Groupes : regroupement d’utilisateurs pour gestion en masse (voir SU10) Gestion des groupes utilisateurs : SUGR Montrer le bouton de désactivation du mot de passe
Chapitre 12 : Administration des utilisateurs Paramètres de connexion La durée de validité (exprimée en jours) du mot de passe est définie dans le paramètre de profil login/password_expiration_time. La valeur 0 signifie que le mot de passe n'arrive jamais à expiration Le nombre d'échecs de connexion avant le blocage de l'utilisateur est défini dans le paramètre de profil login/fails_to_user_lock. Il est de 12 par défaut et peut être défini entre 1 et 99. À la fin de chaque journée, les blocages sont annulés par le système ou supprimés manuellement Pour empêcher tout blocage automatique du système après minuit, définissez le paramètre de profil login/failed_user_auto_unlock sur 0 Le paramètre login/disable_multi_gui_login peut être utilisé pour empêcher un utilisateur de se connecter au sein du même mandant à l'aide d'un ID identique. Si la valeur est définie sur 1, le système permet à l'utilisateur de choisir entre Interrompre modes courants ou Interrompre cette connexion. Nb : Ces paramètres sont définis dans les fichiers de profil via la rz10 Report RSUSR003 8
Chapitre 12 : Administration des utilisateurs Règles des mots de passe Un mot de passe : doit être différent des cinq derniers mots de passe ne doit pas commencer par toute séquence de trois caractères contenue dans le userID Ne doit pas être « pass » ou « sap » Les trois premiers caractères doivent être différents Ne doit pas contenir de caractères spéciaux « ? », « ! » ou «« espace » En parallèle, il est possible de définir des mots de passe interdits dans la table USR40
Chapitre 12 : Administration des utilisateurs Sécurité et user par défaut Master password : Mot de passe initialisé lors de l’installation
Chapitre 12 : Administration des utilisateurs Gestion des utilisateurs en masse La modification est limitée à quelques données communes Transaction SU10 pour Modification Suppression Lock / Unlock
Chapitre 12 : Administration des utilisateurs Système d’information utilisateurs Montrer tous les utilisateurs qui se sont connectés depuis 1 an Transaction SUIM
Chapitre 12 : Administration des utilisateurs Report important pour la gestion des utilisateurs Transaction SA38 / SE38
Chapitre 12 : Administration des utilisateurs Interface LDAP Le programme ZSIFACXXIN_INTEGRATION_LDAP a été conçu pour Sifac et permet la synchronisation des comptes utilisateurs depuis un fichier au format XML La constitution de ce fichier est à la charge de l’établissement Voir le projet N2 Sifac Ldap : https://sourcesup.cru.fr/projects/n2-sifac-ldap/ A Nancy 2 Le programme N2 Sifac LDAP créé le fichier Puis appel un batch (via un événement) qui lance le programme ZSIFACXXIN_INTEGRATION_LDAP Le programme envoie un compte-rendu par mail Montrer le job à Nancy 2
Chapitre 12 : Administration des utilisateurs Gestion centrale des utilisateurs
Chapitre 12 : Administration des utilisateurs Transactions et paramètres SU01 : gestion individuelle des utilisateurs SU01D : affiche des données utilisateur SUGR : gestion des groupes d’utilisateurs SU10 : gestion en masse des utilisateurs SUIM : système d’information sur les utilisateurs SA38/SE38 : exécution de reports Paramètres login/min_password_lng login/min_password_digits login/min_password_letters login/min_password_specials login/password_expiration_time login/password_max_new_valid login/password_max_reset_valid login/fails_to_session_end login/fails_to_user_lock login/failed_user_auto_unlock login/disable_multi_gui_login login/multi_login_users
Chapitre 12 : Administration des utilisateurs Exercice Créer Un utilisateur FORMSYSxx de type dialogue avec les droits d’administrateur (profils SAP_ALL et SAP_NEW) Un utilisateur FORMBATxx avec les mêmes droits mais pour les batchs Tester la connexion SAP GUI avec ces deux utilisateurs Créer un groupe d’utilisateur ZFORMxx et y affecter ces deux utilisateurs A l’aide de la transaction SUIM, lister tous les utilisateurs FORM* qui appartiennent à un groupe de type ZFORM* A l’aide de la transaction SU10, supprimer en une opération, tous les utilisateurs qui appartiennent au groupe ZFORMxx Supprimer le groupe ZFORMxx