SAP权限管理解决方案.pdf

1、 linkfor 连峰科技SAP权限管理解决方案Authorization Management Solutions for SAPAMS背景概述1“SAP 系统的庞大与复杂， 企业权限日常管理手段的缺失 ， 闲置账号资源和会话管理的不便 ， 面向用户行为审计和日志追溯 等系列问题 ， 给 SAP应用企业带来了使用成本的不断增长和诸多业务风险的管控挑战。 ” 授权体系监管策略的不足 系统应用成本的日益增长通过实施一组高效易用的 IT自劢化工具，辅劣 SAP系统用户账号和权限的治理，防范、降低、控制、处理权限违规造成的业务风险，精确应对企业内审外审带来的问题，大幅降低系统管理和使用成本。 系统未

2、知的审计法律风险 业务舞弊系统安全等隐患连峰 AMS（ Authorization Management Solutions for SAP）权限管理解决方案 是以 SAP系统权限风险控制及注册用户账号管理为目标的产品体系，目前版本包含 AMS-R、 AMS-V 两个产品， 其中 AMS-R 针对权限运行结果审计， AMS-V 针对帐号权限操作控制。两者既可协同工作，又可根据不同侧重独立部署应用。管控系统权限降低使用成本连峰 AMS for SAPAMSSAP ECC SAP R/3 SAP BWSAP EWM SAP 其他产品系统 . RFC 函数实时双向同步、异步处理USR02等权限数据A

3、MS基础数据http:/audit拦截记录访问请求用户替换绑定权限安全网关账号动态权限分配日志信息记录权责互斥 SOD矩阵敏感权限 SAT清单事前审计SAP JCO补偿控制协议解析SAP用户行为管理SAP账号分时复用网关账号池账号未登账号并发账号分时复用超级账号会话管理分组设置超时管理权限分配网关日志行为日志查询日志过滤配置日志备份输出会话频率统计例外会话管理查询导出追溯敏感事物追溯日志操作查询超级账号业务业务凭证查询连峰 AMS-V 安全网关应用系统 连峰 AMS-R 权限审计管理系统SOD审计管理SAT审计管理用户快速审计跨公司权限锁定 SATSOD角色用户互查权限用户互查特殊配置检查违规

4、业务审计财务凭证审计连峰 AMS for SAP 权限管理解决方案方案介绍2AMS方案介绍2网关账号网关账号池化的网关账号会话管理 日志记录网关拦截 合法验证实现原理 网关账号池化连峰 AMS-V使用 SAP标准访问协议，采用分时复用方式虚拟化 SAP账号，在线实时管理用户操作。在不改变用户操作习惯的同时，实现账号高效共享、权限的实时劢态分配、日志的记录追溯，极大的降低 SAP系统的使用成本、提高系统使用率，并能有效控制系统权限管理风险和系统审计风险。1. 使用无感 不改变用户的个性化配置参数和操作习惯，使用完全无感知2. 实时在线 自劢在线实时权限管理，提高分时复用效率，降低使用成本3. 透

5、明可控 用户操作透明可控，可完整记录用户详细操作，无追溯问题4. 智能精准 智能化分组策略管理，使权限管理更加灵活方便、精细准确5. 软硬结合 嵌入式平台，支持虚拟化，提供高效稳定的企业级应用支撑产品特性SAP标准访问协议AMS方案价值方案价值3个性化的安全控制基于信道实时解析，设置对特定用户和操作的用户行为监控和记录，实现特定业务操作的监管面向业务日志增强根据用户业务需求的灵活可配的日志策略 ,面向用户行为的日志增强，实现快速的数据查询分析。用户控制节约成本基于可绑定代表特定权限子集的账号分时复用，高效提高 License使用效益 ,节约成本。智能化会话管理精准的单用户及分组管理 ,实现个性

6、化的会话管控，及时回收闲置账号， License效益最大化。系统账号有序共用提供有效的、可约束的日常持久化运维，在线实时进行权限管理，实现系统账号的有序共用。日常化行为审计面向用户行为的审计网关 ,无需编写自定义程序或增强，即可提供日常化的用户行为审计管理。AMS项目 连峰 AMS解决 方案 其它解决 方案实现原理 分时复用 +劢态权限分配 不完整的 分时复用用户操作操作习惯 无影响 需要改变登录方式，适应 WEB操作习惯身份信息 完全保留 无法保留个性设置 完全保留 无法保留会话管理 完整一致的 会话管理，组 、 单用户超时管理 缺乏完整 会话管理功能，无法实时保证会话状态一致性系统功能权限

7、审计 事前、事中、事后 SOD审计，单用户快速审计 无业务操作痕迹 完全保留 只能保留池账号的操作信息操作日志 完全记录，记录真实操作用户信息 记录池账号（非真实操作用户）信息业务追溯 可以在 ECC内部追溯，或外部管理系统进行追溯 解决账号映射关系后 才能进行追溯，导致某些操作只能在 ECC系统外进行追溯，或者只能按时间段进行追溯部署实施密码初始化 无需重置用户密码 需要重置用户密码网络拓扑 透明方式接入，不改变原有访问路由 必须改变访问路由用户培训 用户无感知无需额外培训 需要培训 ， 先登录单点录服务器再登录 ECC集群支持 网关和会话服务器独立集群部署，模块化 支持实施周期 周期短，见效快 周期长，工作量大ECC影响事务代码增强 无 需要增强或需要功能外迁ECC性能 无影响 WEB方式采用的是 HTTP方式传输数据，提取日志需要调用系统数据，所以对 ECC会产生一定压力灾难备份 安全网关与 ECC系统数据同步，能及时恢复 无产品比对4AMS linkfor 连峰科技Thanks！