3. Gestión de identidad y acceso / 3.1 Autenticación de usuarios
By s4pcademy
Riesgo
Los sistemas no están adecuadamente configurados o actualizados para restringir el acceso al sistema a los usuarios apropiados y debidamente autorizados.
Descripción del control
El acceso se autentica a través de identificaciones de usuario y contraseñas únicas u otros métodos como un mecanismo para validar que el usuario está autorizado para acceder al sistema. Los parámetros de la contraseña cumplen con los estándares de la empresa y/o de la industria (p. ej., longitud mínima y complejidad de la contraseña, vencimiento, bloqueo de cuenta).
Fondo
SAP utiliza el Servicio de autenticación de identidad (IAS) para garantizar que la persona que solicita acceso a SAP S/4HANA esté autenticada para hacerlo. IAS admite el inicio de sesión único y la autenticación de dos factores.
Un usuario que solo se crea en el IAS pero no en el sistema productivo y viceversa no es crítico ya que no puede acceder a SAP S/4HANA o no tiene posibilidad de operar en SAP S/4HANA. Por lo tanto, dentro de la auditoría de TI, es necesario recopilar y analizar poblaciones de ambos sistemas para determinar el conjunto de usuarios relevantes.
Parámetros de contraseña
Las contraseñas siguen siendo primordiales para acceder a la mayoría de los sistemas de TI. Los parámetros de contraseña se configuran en la llamada consola de administrador, que está conectada a todos los diferentes sistemas en la nube de SAP S/4 HANA que tiene un cliente (por ejemplo, el sistema Q y P). En la consola del administrador, uno de los administradores puede asignar una política de contraseñas a cada sistema. Además, esta consola de administrador muestra dos políticas de contraseña estándar que no se pueden cambiar, pero también ofrece la posibilidad de crear una política de contraseña personalizada que se puede asignar a los sistemas.
Nota: No es posible asignar políticas de contraseñas individuales a los usuarios.
SAP ofrece tres opciones diferentes de políticas de contraseñas:
- Estándar: configuración predeterminada (predefinida) que cumple con los requisitos mínimos de resistencia
- Empresa: Funciones de administración de contraseñas mejoradas (predefinidas) más sólidas que las estándar
- Disfraz: Funciones de administración de contraseñas más potentes (configurables)
- Nota: solo es posible si se ha configurado una política de contraseña personalizada en la consola de administración para la autenticación de identidad.
La siguiente tabla ilustra los requisitos de política correspondientes:
| Requisito | Estándar | Empresa | Disfraz |
| Contenido de la contraseña | · Longitud mínima de 8 caracteres;
· Longitud máxima de 255 caracteres; · Personajes de al menos tres de los siguientes grupos: o Caracteres en minúsculas (az); o Caracteres en mayúsculas (AZ); o Base 10 dígitos (0-9); o Caracteres no alfabéticos (!@#$%…); |
||
| Límite de tiempo de la sesión
Indica cuándo caduca la sesión actual. |
12 horas | ||
| Opción “Recuérdame”
Indica si el navegador puede almacenar una cookie con las credenciales. |
Sí | ||
| Período de desactivación de contraseña olvidada
Indica el período durante el cual los usuarios pueden iniciar la cantidad de correos electrónicos de contraseña olvidada especificados por el contador de contraseña olvidada. |
24 horas | ||
| Contador de contraseña olvidada
Indica cuántas veces un usuario puede iniciar correos electrónicos de contraseña olvidada durante el período de desactivación. Por ejemplo, un usuario puede iniciar hasta 3 correos electrónicos de contraseña olvidada en 24 horas. |
3 | ||
| Edad mínima de la contraseña
Muestra la duración mínima de una contraseña antes de que se pueda cambiar. |
No | si, 24 horas | Sí, mínimo 1 hora, máximo 48 horas |
| Número máximo de intentos de inicio de sesión fallidos
Indica cuántos intentos de inicio de sesión se permiten antes de que se bloquee la contraseña del usuario. |
si, 5 | si, 5 | Sí, mínimo 1, máximo 5 |
| Período de bloqueo de contraseña
Indica cuánto tiempo está bloqueada una contraseña. |
si, 1 hora | si, 1 hora | Sí, mínimo 1 hora, máximo 24 horas |
| Antigüedad máxima de la contraseña
Muestra la vida útil máxima de una contraseña antes de que tenga que cambiarse. |
No | si, 6 meses | Sí, mínimo 1 mes, máximo 6 meses |
| Historial de contraseñas
Indica si se conserva un historial de contraseñas y cuántas contraseñas del historial se conservan. |
No | Sí, se conservan las últimas 5 contraseñas. | Sí, se conservan como mínimo las últimas 5 contraseñas y como máximo las últimas 20 contraseñas. |
| Período máximo sin usar
Indica durante cuánto tiempo el sistema retiene las contraseñas no utilizadas. |
No | si, 6 meses | Sí, mínimo 1 mes, máximo 6 meses |
| Comportamiento de la contraseña
Indica la posibilidad de obligar al usuario a restablecer o cambiar la contraseña si la política de contraseñas aplicada requiere una contraseña más segura que la actual. |
No | No | Sí, el administrador puede elegir entre:
|
La política de seguridad se puede definir mediante IAS, que es una configuración que se aplica a todos los usuarios, o mediante una política de contraseña individual que solo se aplica a un determinado grupo de usuarios. Las dos opciones no son exclusivas, pero debe tenerse en cuenta que la política de contraseña individual prevalece sobre los parámetros definidos en IAS.
Nota 1: Las contraseñas para los usuarios de comunicación no caducan.
Nota 2: El cierre de sesión automático del navegador se puede configurar para Fiori Launchpad, pero está configurado como inactivo de forma predeterminada. Además, no hay límite para una sesión de navegador por usuario.
Cómo obtener la población para la auditoría de TI
(Recuerde que el proceso puede cambiar con versiones posteriores)
- En caso de que IAS se use directamente
a) Para identificar qué política de contraseñas se aplica al sistema en el ámbito, vaya a Consola del administrador > Aplicaciones y recursos > Aplicaciones. Seleccione el sistema correspondiente y navegue hasta ‘Autenticación y acceso’. En la sección ‘Políticas’, vaya a ‘Política de contraseñas’. En caso de que se defina ‘Enterprise’, la política de contraseñas de SAP predefinida está en su lugar y está en línea con la línea de base de seguridad de SAP.
b) Para identificar los detalles de la política por política de contraseña, vaya a Consola del administrador > Aplicaciones y recursos > Políticas.
- En caso de que IAS esté reenviando a un proveedor de identidad externo (IdP)
Si el IAS está reenviando las solicitudes de autenticación a un IdP externo:
a) Navegue a Consola del administrador> Proveedores de identidad> Proveedores de identidad corporativos, para determinar qué proveedor de identidad está configurado en el sistema SAP (por ejemplo, Microsoft AD o SAP Single Sign-On).
b) Además, vaya a Consola del administrador > Aplicaciones y recursos > Aplicaciones. Seleccione el sistema relevante y navegue hasta ‘Confiar’ y seleccione ‘Autenticación condicional’.
Participa con nosotros
En caso de que esté interesado en nuestras próximas publicaciones de blog, síganos aquí: Cómo auditar SAP S/4HANA Cloud | Blogs de SAP
O póngase en contacto con nosotros en LinkedIn.
Tu retroalimentación
Siéntase libre de compartir sus comentarios y pensamientos en la sección de comentarios a continuación.
Muchas gracias a mis compañeros por su colaboración y apoyo.
 |
Matías Ems (SAP) – Responsable de seguridad de la información empresarial SAP S/4HANA y responsable de producto de seguridad S/4HANA
Con más de 20 años de experiencia en seguridad, auditoría y cumplimiento de SAP, Matthias lidera un equipo de expertos en seguridad, responsable de la seguridad de las operaciones en la nube, el desarrollo seguro, la protección y privacidad de datos y la atestación y certificación de seguridad. |
 |
Florián Eller (SAP) – Gestión de productos SAP S/4HANA Seguridad
Florian tiene más de 15 años de experiencia trabajando en SAP. Durante los últimos 8 años, su enfoque ha sido la seguridad de las aplicaciones. |
 |
Björn Brencher (SAP) – Arquitecto jefe de seguridad de productos SAP S/4HANA
Bjoern trabaja en el campo de la seguridad de SAP durante más de 2 décadas con experiencia adicional en implementación de SAP y auditoría de TI. |
 |
Patrick Boch (SAP) – Gestión de productos SAP S/4HANA Seguridad
Patrick tiene 20 años de experiencia trabajando con SAP, con un enfoque en la seguridad de SAP durante más de una década. |
 |
Heiko Jacob (Deloitte) – Asesoramiento sobre riesgos de socios (TI y aseguramiento especializado)
Heiko Jacob tiene más de 20 años de experiencia en el campo de la auditoría y consultoría de TI, tanto en la industria como con proveedores de servicios financieros. |
 |
Christina Köhler (Deloitte) – Senior Manager Risk Advisory (TI & Specialized Assurance)
Christina Köhler tiene más de 5 años de experiencia profesional en el campo de la auditoría y consultoría de TI, tanto en la industria como con proveedores de servicios financieros. |
