Bundesamt für Sicherheit in der Informationstechnik

M 4.267 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der SAP Java-Stack besitzt eine eigene Benutzerverwaltung, die unabhängig vom ABAP -Stack eingesetzt werden kann. Folgendes ist dabei zu beachten:

Benutzer-Speicher konfigurieren

Der Java-Stack verwaltet seine Benutzer in einem Benutzer-Speicher, der ab Version 6.30 konfiguriert werden kann. Zur Auswahl stehen im Wesentlichen die Java-Stack Datenbank oder die User Management Engine (UME). Wird die UME eingesetzt, kann als Benutzer-Speicher auch ein LDAP -Verzeichnis oder ein ABAP-Stack genutzt werden.

In der Regel empfiehlt es sich, als Benutzer-Speicher den ABAP-Stack über die UME zu nutzen. Auf diese Weise können die Benutzer im ABAP-Stack verwaltet werden. Der Zugriff auf den ABAP-Stack erfolgt über den JavaConnector (JCo) unter den Berechtigungen des ABAP-Stack-Benutzers SAPJSF.

Im Rahmen der Einsatz-Planung ist zu entscheiden, welcher Benutzer-Speicher zum Einsatz kommen soll.

Notfall-Administrator anlegen

Wie für den ABAP-Stack muss auch für den Java-Stack ein Notfall-Administrator angelegt werden. Für diesen müssen die gleichen organisatorischen Schutzmechanismen gelten wie für den Notfall-Administrator des ABAP-Stack (siehe M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung ).

Standardbenutzer absichern

Die Java-Stack Standardbenutzer Administrator, System und Guest müssen wie folgt abgesichert werden:

  • Es muss ein sicheres Passwort gewählt werden. Je nach Version erfolgt dies während der Installation oder muss manuell nach der Installation vergeben werden.
    Das Gast-Konto (Benutzer Guest) muss deaktiviert sein.

Konzeption zur Benutzerverwaltung

Im Rahmen der Planung ist ein Konzept zur Benutzerverwaltung zu erstellen, das auch den Java-Stack berücksichtigt. Dabei ist unter anderem zu bedenken, dass die Benutzer in der Regel nur über das Werkzeug Visual-Admin verwaltet werden. Standardmäßig muss dabei die Anmeldung unter Administrator-Rechten (Mitgliedschaft in der Gruppe "Administrators") erfolgen. Dies bedeutet, dass sich beispielsweise Help-Desk-Mitarbeiter unter administrativen Berechtigungen verbinden. Dies kann zwar durch Rekonfiguration der internen Berechtigungsstrukturen eingeschränkt werden, diese ist jedoch aufwendig und verhindert nicht alle administrativen Tätigkeiten.

Alternativ kann die Benutzerverwaltung auch über die Web-Schnittstelle der UME erfolgen, falls diese zum Einsatz kommt.

Der Java-Stack erlaubt es, dass sich unbekannte Benutzer selbst registrieren können. Im Rahmen der Konzeption ist zu entscheiden, ob diese Funktion eingesetzt werden soll. Dabei ist eine sorgfältige Risikobetrachtung durchzuführen, da sich selbstregistrierte Benutzer nach der Registrierung gegenüber dem Java-Stack authentisieren können. Zwar besitzen die Benutzer dann in der Regel noch keine weiteren Berechtigungen, sind jedoch Applikationen mit Sicherheitsschwächen installiert (z. B. keine Berechtigungsprüfung beim Zugriff über bestimmte URLs), so können diese unter Umständen durch selbstregistrierte Benutzer ausgenutzt werden. Insbesondere im Internet-Einsatz ist diese Funktion kritisch zu bewerten. Um die Selbstregistrierung zu unterbinden, muss die UME Eigenschaft "ume.logon.selfreg" auf den Wert "FALSE" gesetzt werden. Die Konfiguration erfolgt über die Properties-Datei im Dateisystem oder über das Java Stack Werkzeug "Configtool". Generell muss der Einsatz der Selbstregistrierung sorgfältig geplant werden, von einer standardmäßigen Nutzung muss daher abgesehen werden. Es wird empfohlen, dass der Einsatz der Selbstregistrierung durch das Sicherheitsmanagement genehmigt werden muss.

Zugriff auf UME Web-Schnittstelle

Die UME Web-Schnittstelle erlaubt die Benutzerverwaltung über einen Browser. Wird diese Funktion eingesetzt, ist Folgendes zu berücksichtigen:

  • Standardmäßig können Benutzer und Administratoren auf die UME Web-Schnittstelle zugreifen. Für normale Benutzer ist dann die Verwaltung des eigenen Benutzerkontos möglich (z. B. Passwortänderung). Für Benutzer der Gruppe "Administrators" ist die Verwaltung von Benutzern möglich (z. B. Benutzer anlegen).
  • Auf die UME Web-Schnittstelle zur Benutzerverwaltung sollten nur berechtigte Administratoren zugreifen können. Dies kann durch entsprechende Authentisierungsanforderungen auf die Zugriffs-URL realisiert werden.
  • Es sollte überlegt werden, ob die UME Web-Schnittstelle nur von Client-Rechnern berechtigter Administratoren zugreifbar sein sollte.
  • Nutzen Applikationen die UME zum Speichern von benutzerbezogenen Eigenschaften (UME-Properties), so ist zu bedenken, dass diese durch die Benutzer selbst verändert werden können, wenn ihnen der Zugriff auf die UME Web-Schnittstelle gewährt wird.

Ob und unter welchen sicherheitsrelevanten Randbedingungen die UME Web-Schnittstelle eingesetzt werden soll, ist in der Planungsphase zu entscheiden.

Prüffragen:

  • Ist festgelegt worden, welcher Benutzerspeicher unter SAP zum Einsatz kommt (Java-Stack Datenbank oder User Management Engine)?

  • Ist das Gast-Konto (Benutzer Guest) für den Java-Stack im SAP System deaktiviert?

  • Wird die UME Web-Schnittstelle sicher verwendet, falls diese eingesetzt wird?

Stand: 13. EL Stand 2013