Erleichteter Zugang zum System

Erleichteter Zugang zum System über SAPLOGON-Verknüpfung

Als Rollenadministrator hat man ja so seine Last mit den vielen Systemen. Durch Systemparameter im Systemprofile wird man gezwungen, in allen Systemen – wenigstens die produktiven – seine Passwörter in bestimmten Zeitabständen zu ändern. Man verliert hier oft den Überblick, oder man schreibt sich diese Passwörter vercodet irgendwo auf. Geht das auch einfacher?

Einsatz von Hilfsmittel

Es gibt auf dem Markt einige Hilfsmittel, mit denen man sich hier die Lage vereinfachen kann. Dies sind Programme, die passwortgeschützt und verschlüsselt Passwörter für fast alle Zugänge speichert. Ja man kann hier diese Passwörter sogar auf einen Stick speichern und kann sie somit immer dabei haben.

Die Passwörter können bei diesen Programmen generiert werden und man muss sie sich nicht mehr merken. Vergisst man aber den Stick und ist bei einem anderen Benutzer, so ist man meist aufgeschmissen. Sicher man hat das Passwortprogramm auf seinem Rechner, aber wenn der woanders ist?

Meist ist am eigenen Bildschirm das Window-Fenster mit dem Passwortprogramm meist offen, damit man schnell mit Tastendruck an das Programm kommt. D.h. ein böser Benutzer könnte an meinen Bildschirm gehen und hätte Zugriff auf alle Passwörter. Tja wenn ich den Bildschirm nicht systemseitig sperre, wenn ich nicht am Arbeitsplatz bin…..

Systemeigene Mittel: SAPLOGON

Für das SAPLOGON gibt es ein systemeigenes Mittel, das nur für die SAP®-Systeme den Zugang erleichtert: Die Verknüpfung

Nur für die SAP®-Systeme können hier die Passwörter vergeben werden. Wie Sie sich einen solchen Zugang anlegen können soll nun hier beschrieben werden.

In der Iconleiste des Systems gibt es ein Symbol „Erstellt eine Verknüpfung“

Icon
Quelle SAP®

Wenn Sie auf dieses Symbol klicken, öffnet sich ein Dialog mit dem Sie eine Verknüpfung erstellen können.

Icon
Quelle SAP®

Hierbei können Sie die einzelnen Felder nach Ihren Wünschen ausfüllen, da diese Angaben für Sie im SAPLOGON dann angezeigt werden. Bei den Optionen können Sie sogar die Fenstergröße des Systems beim Start und das Startverzeichnis einstellen. Sie können sogar die Starttransaktion angeben, die nach dem Systemstart aufgerufen werden soll.

Bevor wir jetzt zum 2. Teil der Angaben kommen, zeigt das nächste Bild wie sich SAPLOGON verändert hat, wenn Sie die Anzeige auf Verknüpfung stellen:

Icon
Quelle SAP®

Mit einem Klick auf den Systemeintrag, wird all das ausgeführt, was in der Verknüpfung angegeben wurde.

Nur hat das im Moment für unseren Zweck noch keine außergewöhnliche Wirkung, denn Sie müssen immer noch beim Start des Systems Ihr Passwort eingeben. Um auch noch dies zu bewerkstelligen, müssen Sie eine Änderung an der Registry Ihres Windows vornehmen oder vornehmen lassen! Gesetzt den Fall, dass Sie berechtigt sind, den RegEdit im Windows aufzurufen, dann müssen Sie hier für Ihren Computer einen neuen Eintrag machen oder machen lassen.

Sie müssen eine neues „Verzeichnis“ (Schlüssel) und eine Bewertung einer neuen Registry-Variablen eintragen. Der Schlüssel heißt: HKEY_CURRENT_USER/Software/SAP/SAPShortcut/Security und die neue Variable heißt EnablePassword mit dem Wert 1 (als Zeichenfolge)
Wenn Sie nach diesem Eintrag in der Registry SAPLOGON neu starten, dann wird das Passwortfeld im unteren Teil der SAPLOGON-Verknüpfung eingabebereit und Sie können das Passwort eintragen.

Icon
Quelle SAP®

Sicherheit

Es dürfte nicht so häufig vorkommen, dass neue Systeme / Mandanten im SAPLOGON eingefügt werden. Wenn der Registriy-Eintrag eingetragen ist, dann können Sie alle Systeme / Mandanten als Verknüpfung eintragen. Ist alles Eingetragen können Sie den Registriy-Eintrag auf 0 setzen oder setzen lassen und die Zugänge über die Verknüpfung bleiben erhalten. Neue Passwörter können dann nicht eingetragen werden. Klar, wenn man ein Passwort ändert muss man die Registry natürlich wieder öffnen.

Es besteht also der gleiche Schutz wie bei dem Einsatz von Passwortprogrammen. Wenn man den Arbeitsplatz verlässt und den Computer nicht sperrt, könnte ein anderer in ein System mit Ihrer Kennung. Der Schutz ist hier aber m.E. sogar besser, da im SAPLOGON das Passwort nicht in Klarschrift angezeigt werden kann, bei einigen Passwortprogrammen aber schon. Bleibt noch zu fragen, ob Sie das Administrator Passwort für Windows erhalten sollen, oder ob man den evtl. bestehenden Schutz der Registry für Sie aufheben sollte.

Ok, der beste Schutz wäre natürlich, wenn Sie alle Passwörter für SAP® im Gedächtnis hätten :-). Aber dies läuft darauf hinaus, dass man Passwörter mit einer Monatszahl hat oder irgendeinen ähnlichen Algorithmus für neue Passwörter hat, auf den auch andere kommen könnten. Nachteil ist natürlich, dass Sie, wenn Sie mit der Verknüpfung arbeiten, sich an die einzelnen Passwörter nicht mehr erinnern und am fremden Arbeitsplatz sich nicht in ein SAP-System einloggen können :-(. Bei den Passwortprogrammen können Sie Passwörter generieren lassen die ggf. 30 Zeichen lang sind und Sie müssen sich nicht erinnern. Und wenn der Benutzer gar keinen USB-Anschluss für Ihren Stick hat?

Es bleibt ein „mehrschneidiges“ Schwert, die Sache mit den Passwörtern, Sie müssen entscheiden, mit was Sie am Besten auskommen! Oder sollte man Sie als Administrator zum Service-User machen und Sie brauchen keine Passwörter mehr zu andern?

Viele Grüße
Bernd Klüppelberg

Nachtrag: Im Regedit muss der Eintrag folgendermaßen aussehen:

Icon

Der einzutragende Wert ist eine Zeichenfolge, kein Binärwert und kein DWORD

9 Responses to “Erleichteter Zugang zum System”

  1. Guten Tag,
    das mit dem Passwort funktioniert bei mir nicht. Gibt es vlt. noch eine weitere Einstellung, die das verhindert? Feld ist ausgegraut.
    Allerding ist mir unklar, welche Art von Variable anglegt werden soll: mit Binärwert und DWORD hat es jedenfalls nicht funktioniert.

    mfg, MC

  2. Hallo MC,
    danke für den Kommentar. Ich habe noch ein Nachtragsbild eingehängt, das die Struktur des Registry-Eintrags zeigt. Bei Rechtsklick auf der rechten Seite der Registry muss man „Neu“ und dann Zeichenfolge und EnablePassword eingeben, damit trägt man die Variable ein; dann einen Doppelklick auf EnablePassword und die 1 eintragen.
    Viele Grüße
    Bernd Klüppelberg

  3. Guten Tag,

    alternativ kann man im Benutzerverzeichnis und AppData\Roaming\SAP\Common die Datei sapshortcut.ini bearbeiten und dort als Schlüssel einfach -pw=““ hinterlegen. Dies ist aber extrem sicherheitsfragwürdig.

    Viele Grüße

  4. Keine schlechte Alternative! Was viele Menschen nicht realisieren ist, dass auch das ständige, manuelle Eingeben von Passwörtern seine Risiken haben kann. So kann zum Beispiel über einen Keylogger (eine kleine Schadsoftware) alles mitgelesen werden was in die Tastatur eingegeben wird.
    Das heißt in anderen Worten: Selbst wenn man alle seine Passwörter im Kopf hat und sie nirgendwo speichert kann das von Nachteil sein.

  5. Hallo Sven,
    an Keylogger habe ich noch gar nicht gedacht. Eher daran, dass Fremde an den Bildschirm gehen. Aber das ist zu „intern“ gedacht. Auch der Hersteller warnt ja vor der Passwort-Festsetzung.
    Es gibt ja auch Passwort „Tresore“ wie Keypas! Hier ist es aber auch so, dass man in manchen Unternehmungen keinen eigenen Privat-Stick in den Rechner stecken darf, was die Verwendung der Keypas-Software
    sicher machen würde, als den Keypass auf die Festplatte zu speichern.
    Danke für diese Idee, ich hoffe, dass sie so manchen überzeugen wird.
    Viele Grüße
    Bernd

  6. Es würde mich wirklich interessieren wie sicher denn solche Tools im Verhältnis zum Aufschreiben oder Merken sind. Gibt es dazu vielleicht irgendwelche Werte oder Studien?

    lg

  7. Gibt es hier eigentlich eine Möglichkeit sich alternativ auch mit einem Fingerabduckscanner zu identifizieren? Es gibt ja mittlerweile auch recht professionelle Produkte wie hier im Anhang. Ankzeptiert SAP bzw. SAPLOGON diese Form der Authentifizierung?
    lg

  8. Hallo Matthias,
    leider kann ich das nicht sagen. Aber vielleicht haben meine Leser hier mehr Infos.

    Viele Grüße
    Bernd

  9. Geil, genau sowas hab ich gesucht. Ich habe 10 SAP-System zu verwalten und da kann es dann mit der Zeit zu 10 verschiedenen Passwörtern kommen. Single Sign On im SAP zu implementieren war mir zu aufwendig.

    Danke für diesen klasse Tip,
    Gruß Ralf

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg