很多 SAP S/4HANA 系统在割接窗口都会遇到同一个问题,业务用户要被挡在系统外,Basis 管理员、升级账号、接口管理员却还要能登录。平时还会遇到另一类矛盾,普通业务用户希望密码规则不要过于折腾,拥有SAP_ALL、跨公司代码维护权限、生产系统配置权限的管理员账号又必须套上更强的密码复杂度、更短的密码有效期、更严格的失败锁定规则。只靠Profile Parameter做系统级控制时,这两件事很难同时做得优雅,因为参数天然面向整个 ABAP 系统或整个 Application Server,控制粒度太粗。
SAP 在 ABAP 平台里提供的Security Policy,就是为了解决这种差异化治理问题。Profile Parameter仍然是登录和密码保护的基础设施,Security Policy则把其中一部分登录行为、密码规则、密码变更规则搬到用户主数据维度。SAP 官方文档对这个优先级讲得很清楚,用户主记录一旦分配了安全策略,系统行为就由该策略定义,Profile Parameter 只继续作用于那些没有分配安全策略的用户。安全策略本身是一组安全属性和值,每个策略都包含所有可用属性和默认值,管理员可以按需覆盖默认值。也正因为策略是按用户、按 Client 分配的,我们才可以把管理员、普通业务用户、接口用户、应急用户放在不同的安全边界里管理。(
