SAP安全快速指南

SAP安全 - 快速指南
SAP安全 - 概述
在SAP分散式環境中，始終需要保護關鍵資訊和資料免受未經授權的訪問。

人為錯誤，不正確的訪問配置不應允許未經授權訪問任何系統，並且需要維護和檢查SAP環境中的設定檔策略和系統安全性原則。

為了使系統安全，您應該對使用者訪問設定檔，密碼策略，資料加密和系統中使用的授權方法有良好的瞭解。

您應定期檢查SAP系統架構並監視在配置和訪問設定檔中所做的所有更改。

標準超級用戶應該得到良好的保護，並且應仔細設置使用者設定檔參數和值，以滿足系統安全要求。

在通過網路進行通信時，您應該瞭解網路拓撲和網路服務應進行審查和啟用後相當多的檢查。

網路上的資料應該通過使用私密金鑰得到很好的保護。

為什麼需要安全性？
為了在分散式環境中訪問資訊，存在關鍵資訊和資料洩漏到未授權訪問的可能性，並且由於缺少密碼策略，標準超級使用者未被良好維護或任何其他原因而破壞系統安全性。

在SAP系統中破壞訪問的幾個主要原因如下 -
•不維護強式密碼策略。

•標準使用者，超級使用者，資料庫使用者未正確維護，密碼不定期更改。

•設定檔參數未正確定義。

•不監視不成功的登錄嘗試，並且未定義空閒的用戶會話結束策略。

•網路在通過互聯網發送資料且不使用加密金鑰時，不考慮通信安全。

•資料庫使用者未正確維護，在設置資訊資料庫時不考慮安全措施。

•單點登錄未在SAP環境中正確配置和維護。

為了克服所有上述原因，需要在SAP環境中定義安全性原則。

應定義安全參數，並應定期檢查密碼策略。

資料庫安全性是保護SAP環境的關鍵元件之一。

因此，有必要管理資料庫使用者，並確保密碼得到良好的保護。

應在系統中應用以下安全機制，以保護SAP環境免受任何未經授權的訪問 -•用戶驗證和管理
•網路通信安全
•保護標準用戶和超級用戶
•不成功的登錄保護
•設定檔參數和密碼策略
•在Unix和Windows平臺中的SAP系統安全
•單點登錄概念
因此，在分散式環境中需要SAP系統的安全性，您需要確保您的資料和流程支援您的業務需求，而不允許未經授權訪問關鍵資訊。

在SAP系統中，人為錯誤，疏忽或對系統的嘗試操縱可能導致關鍵資訊的丟失。

用戶驗證和管理
如果未授權的用戶可以在已知的授權使用者下訪問SAP系統，並且可以進行配置更改並作業系統配置和關鍵策略。

如果授權使用者訪問系統的重要資料和資訊，那麼該使用者也可以訪問其他關鍵資訊。

這增強了使用安全認證來保護使用者系統的可用性，完整性和隱私。

SAP系統中的身份驗證機制
認證機制定義訪問SAP系統的方式。

提供了各種身份驗證方法 -•用戶ID和用戶管理工具
•安全網路通信
•SAP登錄故障單
•X.509用戶端證書
用戶ID和用戶管理工具
SAP系統中最常見的身份驗證方法是使用用戶名和密碼登錄。

要登錄的用戶ID由SAP管理員創建。

為了通過用戶名和密碼提供安全認證機制，需要定義不允許使用者設置容易預測的密碼的密碼策略。

SAP提供了您應該設置的各種預設參數來定義密碼策略- 密碼長度，密碼複雜性，預設密碼更改等
SAP系統中的使用者管理工具
SAP NetWeaver System提供了各種用戶管理工具，可用於有效管理環境中的用戶。

它們為兩種類型的NetWeaver應用程式伺服器（Java和ABAP）提供非常強的身份驗證方法。

一些最常見的用戶管理工具是 -
ABAP應用程式伺服器的使用者管理（事務代碼：SU01）
您可以使用使用者管理事務代碼SU01來維護基於ABAP的應用程式伺服器中的使用者。

SAP NetWeaver身份管理
您可以使用SAP NetWeaver身份管理進行用戶管理，以及在SAP環境中管理角色和角色分配。

PFCG角色
您可以使用概要檔生成器PFCG創建角色並向基於ABAP的系統中的使用者分配許可權。

事務代碼- PFCG
中央用戶管理
您可以使用CUA為多個基於ABAP的系統維護使用者。

您還可以將其與目錄伺服器同步。

使用此工具，您可以從系統的用戶端集中管理所有用戶主記錄。

事務代碼- SCUA和創建分佈模型。

使用者管理引擎UME
您可以使用UME角色來控制系統中的使用者授權。

管理員可以使用代表用戶可用于構建存取權限的UME角色的最小實體的操作。

您可以使用SAP NetWeaver Administrator選項打開UME管理主控台。

密碼策略
密碼策略被定義為使用者必須遵循的一組指令，以通過使用強式密碼並正確使用它們來提高系統安全性。

在許多組織中，密碼策略作為安全意識培訓的一部分被共用，並且使用者必須保持組織中關鍵系統和資訊的安全性策略。

在SAP系統中使用密碼策略，管理員可以設置系統使用者部署不易中斷的強式密碼。

這也有助於定期更改密碼以確保系統安全。

以下密碼策略通常用於SAP系統 -
預設/初始密碼更改
這允許使用者在第一次使用時立即更改初始密碼。

密碼長度
在SAP系統中，SAP系統中密碼的最小長度預設為3。

該值可以使用profile 參數更改，允許的最大長度為8。

事務代碼- RZ11
參數名稱- login / min_password_lng
您可以按一下此策略的概要檔參數的文檔，您可以從SAP查看詳細的文檔，如下所示 -
參數- login / min_password_lng
短文本- 最小密碼長度
參數說明- 此參數指定登錄密碼的最小長度。

密碼必須至少有三個字元。

但是，管理員可以指定更大的最小長度。

當分配新密碼並更改或重置現有密碼時，此設置適用。

應用區- 登錄
參數單位- 字元數（字母數位）
預設值- 6
誰可以進行更改？顧客
作業系統限制- 無
資料庫系統限制- 無
非法密碼
您不能選擇任何密碼的第一個字元為問號（？）或感嘆號（！）。

您還可以在非法密碼表中添加要限制的其他字元。

事務代碼- SM30表名稱：USR40。

一旦您輸入表 - USR40並按一下頂部的顯示，它將顯示所有不允許的密碼的清單。

按一下“新建條目”後，可以在此表中輸入新值，並選中區分大小寫的核取方塊。

密碼模式
您還可以設置密碼的前三個字元不能以與用戶名的一部分相同的順序顯示。

可以使用密碼策略限制的不同密碼模式包括 -
•前三個字元不能全部相同。

•前三個字元不能包含空格字元。

•密碼不能為PASS或SAP。

密碼更改
在此策略中，可以允許使用者幾乎每天更改其密碼一次，但管理員可以根據需要重置使用者的密碼。

不應允許使用者重複使用最後五個密碼。

但是，管理員可以重置使用者以前使用的密碼。

設定檔參數
您可以在SAP系統中為使用者管理和密碼策略定義不同的設定檔參數。

在SAP系統中，可以通過轉到工具→CCMS→配置→設定檔維護（事務：RZ11）來顯示每個設定檔參數的文檔。

輸入參數名稱，然後按一下顯示。

在顯示的下一個視窗中，您必須輸入參數名稱，您可以看到2個選項 -
顯示- 顯示SAP系統中參數的值。

顯示Docu- 顯示該參數的SAP文檔。

當您按一下顯示按鈕時，您將被移動到維護設定檔參數螢幕。

您可以看到以下詳細資訊 -
•名稱
•類型
•選擇標準
•參數組
•參數描述等等
在底部，您有參數login / min_password_lng的當前值
當您按一下顯示文檔選項時，它將顯示參數的SAP文檔。

參數說明
此參數指定登錄密碼的最小長度。

密碼必須至少有三個字元。

但是，管理員可以指定更大的最小長度。

當分配新密碼並更改或重置現有密碼時，此設置適用。

每個參數都有一個預設值，允許的值如下 -
SAP系統中有不同的密碼參數。

您可以在RZ11事務中輸入每個參數，並可以查看文檔。

•login / min_password_diff
•login / min_password_digits
•login / min_password_letters
•login / min_password_specials
•login / min_password_lowercase
•login / min_password_uppercase
•login / disable_password_logon
•login / password_charset
•login / password_downwards_compatibility
•login / password_compliance_to_current_policy
要更改參數值，請運行Transaction RZ10並選擇設定檔，如下所示 -•多個應用程式伺服器- 使用DEFAULT設定檔。

•單個應用程式伺服器- 使用實例設定檔。

選擇擴展維護，然後按一下顯示。

選擇要更改的參數，然後按一下頂部的參數。

當您按一下參數選項卡時，可以在新視窗中更改參數的值。

您也可以通過按一下創建（F5）創建新參數。

您還可以在此視窗中查看參數的狀態。

鍵入參數值，然後按一下複製。

退出螢幕時，系統將提示您保存。

按一下是以保存參數值。

SAP安全 - 網路通信
安全網路通信（SNC）也可以用於使用安全認證方法登錄到應用程式伺服器。

您可以使用SNC通過用於Windows的SAP GUI或通過使用RFC連接進行用戶身份驗證。

SNC使用外部安全產品來執行通信夥伴之間的認證。

您可以使用安全措施（如公開金鑰基礎結構PKI）和過程來生成和分發金鑰對。

您應該定義可以消除威脅並防止網路攻擊的網路拓撲。

當使用者無法登錄到應用程式或資料庫層時，攻擊者無法訪問SAP系統或資料庫系統來訪問關鍵資訊。

明確定義的網路拓撲不允許入侵者連接到公司的LAN，因此無法訪問網路服務或SAP系統上的安全回路洞。

SAP系統中的網路拓撲
您的物理網路架構完全取決於SAP系統的大小。

SAP系統通常使用用戶端- 伺服器架構來實現，每個系統通常分為以下三個層 -
•資料庫層
•應用層
•展示層
當SAP系統較小時，它可能沒有單獨的應用程式和資料庫伺服器。

但是，在大型系統中，許多應用程式伺服器與資料庫伺服器和幾個前端進行通信。

這定義了系統的網路拓撲從簡單到複雜，並且在組織網路拓撲時應考慮不同的方案。

在大型組織中，建議您將應用程式和資料庫伺服器安裝在不同的電腦上，並放置在與前端系統分離的獨立LAN中。

在下圖中，您可以看到SAP系統的首選網路拓撲 -
將資料庫和應用程式伺服器放置在前端VLAN的單獨VLAN中時，可以改進存取控制系統，從而提高SAP系統的安全性。

前端系統在不同的VLAN中，因此不容易進入伺服器VLAN，因此繞過SAP系統的安全性。

SAP網路服務
在SAP系統中，啟用了各種服務，但運行SAP系統只需要少量服務。

在SAP 系統中，風景，資料庫和應用程式伺服器是網路攻擊的最常見目標。

許多網路服務正在您的環境中運行，允許訪問這些伺服器，並且應仔細監視這些服務。

在您的Window / UNIX機器中，這些服務保存在/ etc / services中。

您可以在Windows機器中打開此檔，方法是轉到以下路徑 -
system32 / drivers / etc / services
您可以在記事本中打開此檔，並查看伺服器中的所有已啟動的服務 -
建議您禁用場景伺服器上的所有不需要的服務。

有時這些服務包含一些錯誤，可以被入侵者用來獲得未經授權的訪問。

禁用這些服務時，可以減少對網路進行攻擊的幾率。

為了提高安全性，還建議在SAP環境中使用靜態密碼檔。

私密金鑰
SNC使用外部安全產品在通信夥伴之間執行認證。

您可以使用公開金鑰基礎結構（PKI）和其他過程等安全措施來生成和分發金鑰對，並確保用戶的私密金鑰已正確安全。

有不同的方法來保護私密金鑰的網路授權 -
•硬體解決方案
•軟體解決方案
讓我們現在詳細討論它們。

硬體解決方案
您可以使用硬體解決方案為使用者保護私密金鑰，您可以向個人用戶發放智慧卡。

所有金鑰都存儲在智慧卡中，並且用戶應該通過使用指紋或使用PIN密碼通過生物測定來認證他們的智慧卡。

這些智慧卡應該被保護以免被每個用戶的盜竊或丟失，並且用戶可以使用卡來加密文檔。

用戶不能共用智慧卡或將其提供給其他用戶。

軟體解決方案
還可以使用軟體解決方案來為各個使用者存儲私密金鑰。

與硬體解決方案相比，軟體解決方案是更便宜的解決方案，但它們也不太安全。

當使用者將私密金鑰存儲在檔和使用者詳細資訊中時，需要保護這些檔以進行未經授權的訪問。

SAP安全 - 保護標準用戶
第一次安裝SAP系統時，有幾個預設使用者被創建來執行管理任務。

預設情況下，它在SAP環境中創建三個用戶端，
•用戶端000 - SAP參考用戶端
•用戶端001 - 來自SAP的範本用戶端
•用戶端066 - SAP早看用戶端
SAP在系統中的上述用戶端中創建標準用戶。

每個標準用戶在第一次安裝時都有自己的預設密碼。

SAP系統中的標準使用者在預設用戶端下包括以下用戶 -
這些是SAP預設用戶端下在SAP系統中執行管理和配置任務的標準使用者。

為了保持SAP系統的安全性，您應該保護這些用戶 -
•您應該將這些用戶添加到組SUPER，以便它們只由具有向組SUPER 添加/修改用戶許可權的管理員修改。

•應更改標準使用者的預設密碼。

如何查看SAP系統中的客戶清單？
您可以使用事務SM30查看SAP環境中的所有用戶端的清單，並顯示表T000。

當您輸入表並按一下顯示時，它將顯示SAP系統中所有用戶端的清單。

此表包括您在資源分享環境中創建的所有默認用戶端和新用戶端的詳細資訊。

您可以使用報告RSUSR003確保已在所有用戶端中創建用戶SAP，並且已更改SAP，DDIC和SAPCPIC的標準密碼。

轉到ABAP編輯器SE38並輸入報告名稱，然後按一下EXECUTE。

輸入報告標題，然後按一下執行按鈕。

它將在SAP系統，密碼狀態，使用鎖定原因，有效期至和有效期等中顯示所有用戶端和標準使用者。

保護SAP系統超級使用者
要保護SAP系統超級使用者“SAP”，您可以在系統中執行以下步驟 -
步驟1- 您需要在SAP系統中定義新的超級使用者，並停用SAP用戶。

請注意，您不能在系統中刪除使用者SAP。

要停用硬編碼使用者，可以使用profile 參數：login / no_automatic_user_sapstar。

如果使用者SAP *的用戶主記錄被刪除，則可以用“SAP”和初始密碼PASS 登錄。

“SAP”使用者具有以下屬性 -
用戶具有完全授權，因為不執行授權檢查。

•不能更改預設密碼PASS。

•您可以使用概要檔參數login / no_automatic_user_sapstar停用SAP的這些特殊屬性，並控制使用者SAP *的自動登錄。

步驟2- 要檢查此參數的值，請運行Transaction RZ11並輸入參數名稱。

允許的值：0,1，其中 -
•0- 允許自動用戶SAP *。

•1- 自動用戶SAP *被禁用。

步驟3- 在以下系統中，您可以看到此參數的值設置為1.這表示超級使用者“SAP”在系統中已禁用。

步驟4- 按一下顯示，您可以看到此參數的當前值。

要在系統中創建新的超級使用者，請定義新的用戶主記錄並將設定檔SAP_ALL分配給此超級用戶。

DDIC用戶保護
與軟體物流，ABAP字典以及與安裝和升級相關的任務相關的某些任務需要DDIC使用者。

要保護此用戶，建議將此使用者鎖定在SAP系統中。

您不應刪除此用戶以執行一些功能以供將來使用。

要鎖定使用者，請使用事務代碼：SU01。

如果要保護此用戶，可以在安裝時將SAP_ALL授權分配給此用戶，稍後再將其鎖定。

保護SAPCPIC用戶
SAPCPIC使用者用於調用SAP系統中的某些程式和功能模組，並且是非對話使用者。

您應該鎖定此使用者並更改此使用者的密碼以保護它。

在以前的版本中，鎖定SAPCPIC使用者或更改密碼時，會影響其他程式RSCOLL00，RSCOLL30和LSYPGU01。

保護早期觀察
A 066用戶端 - 這稱為SAP早期監視，用於SAP系統和使用者中的診斷掃描和監視服務EARLYWATCH是用戶端066中的早期監視服務的互動式使用者。

要保護此用戶，您可以執行以下操作 -
•鎖定EARLYWATCH使用者，直到在SAP環境中不需要該使用者。

•更改此使用者的預設密碼。

關鍵點
要保護SAP標準用戶並在SAP環境中保護用戶端，應考慮以下要點 -•您應該在SAP系統中正確維護用戶端，並確保沒有存在的未知用戶端。

•您需要確保SAP超級使用者“SAP”存在，並已在所有用戶端中停用。

•您需要確保更改所有SAP標準用戶SAP，DDIC和EARLYWATCH使用者的預設密碼。

•您需要確保所有標準使用者都已添加到SAP系統中的SUPER組，並且唯一有權對SUPER組進行更改的人員才能編輯這些用戶。

•您需要確保SAPCPIC的預設密碼已更改，並且該用戶被鎖定，並在需要時將其解鎖。

•所有SAP標準用戶都應該被鎖定，並且只能在需要時解鎖。

密碼應該為所有這些使用者提供良好的保護。

如何更改標準使用者的密碼？
您應確保在表T000中維護的所有用戶端中更改所有SAP標準使用者的密碼，並且所有用戶端都應存在用戶“SAP”。

要更改密碼，請使用超級使用者登錄。

在您要更改密碼的用戶名欄位中輸入用戶ID。

按一下更改密碼選項，如下麵的螢幕截圖所示 -
輸入新密碼，重複密碼，然後按一下應用。

您應該對所有標準用戶重複相同的過程。

取消授權登錄保護
要在SAP系統中實現安全性，需要監控SAP環境中的失敗登錄。

當有人嘗試使用不正確的密碼登錄系統時，系統應該鎖定用戶名一段時間，或者該會話應在定義的嘗試次數後終止。

可以為未經授權的登錄嘗試設置各種安全參數 -
•終止會話
•鎖定用戶
•啟動螢幕保護裝置程式
•監視未成功的登錄嘗試
•記錄登錄嘗試
讓我們現在詳細討論這些。

終止會話
當對單個使用者標識進行多次不成功的登錄嘗試時，系統結束該使用者的會話。

這應該使用Profile參數 - login / fails_to_session_end發送。

要更改參數值，請運行Transaction RZ10並選擇設定檔，如以下螢幕截圖所示。

選擇擴展維護並按一下顯示。

選擇要更改的參數，然後按一下頂部的參數按鈕，如下所示。

按一下“參數”選項卡時，可以在新視窗中更改參數的值。

您也可以通過按一下創建（F5）按鈕創建新參數。

要查看此參數的詳細資訊，請運行事務代碼：RZ11，然後輸入設定檔名稱 - login / fails_to_session_end並按一下顯示文檔。

•參數- login / failed_to_session_end
•短文本- 直到會話結束為止的無效登錄嘗試次數。

•參數描述- 在登錄過程終止之前，可以使用用戶主記錄進行的無效登錄嘗試次數。

•應用區- 登錄
•預設值- 3
•誰可以進行更改？- 客戶
•作業系統限制- 無
•資料庫系統限制- 無
•其他參數是否受影響或依賴？- 無
•允許的值- 1 - 99
在上面的截圖中，你可以看到這個參數的值設置為3，即預設值太。

在3次登錄嘗試失敗後，單個用戶的會話將被終止。

鎖定用戶
如果在單個用戶ID下超過設定數量的連續失敗嘗試登錄，您也可以檢查特定用戶ID。

設置設定檔參數中允許的無效登錄嘗試次數：login / fails_to_user_lock。

•可以對特定的用戶ID設置鎖定。

•鎖定應用於用戶ID，直到午夜。

但是，也可以隨時由系統管理員手動刪除。

•在SAP系統中，您還可以設置一個參數值，允許將鎖定放在使用者標識上，直到它們被手動刪除。

參數名稱：login / failed_user_auto_unlock。

設定檔參數：login / fails_to_user_lock
每次輸入不正確的登錄密碼時，相關用戶主記錄的失敗登錄計數器將增加。

登錄嘗試可以記錄在安全審核日誌中。

如果超過此參數指定的限制，相關用戶將被鎖定。

此過程也記錄在Syslog中。

在當天結束後，該鎖不再有效。

（其他條件-login / failed_user_auto_unlock）
使用者使用正確的密碼登錄後，將重置失敗的登錄計數器。

不是基於密碼的登錄對失敗的登錄計數器沒有任何影響。

但是，每次登錄時都會檢查活動登錄鎖。

•允許的值- 1 - 99
要查看此參數的當前值，請使用T代碼：RZ11。

•參數名- login / failed_user_auto_unlock
•短文字- 禁用在午夜自動解鎖鎖定的用戶。

•參數描述- 控制通過登錄錯誤鎖定的使用者的解鎖。

如果參數設置為1，由於密碼登錄嘗試失敗而設置的鎖定僅適用於同一天（與鎖定相同）。

如果參數設置為0，則鎖保持有效。

•應用區- 登錄。

•預設值- 0。

啟動螢幕保護裝置程式
系統管理員還可以啟用螢幕保護裝置程式，以保護前端螢幕免受任何未經授權的訪問。

這些屏保可以受密碼保護。

監控不成功的登錄嘗試和記錄登錄嘗試
在SAP系統中，可以使用報告RSUSR006來檢查是否有使用者嘗試了系統中的任何不成功的登錄嘗試。

此報告包含有關用戶鎖定不正確的登錄嘗試次數的詳細資訊，您可以根據需要安排此報告。

轉到ABAP編輯器SE38並輸入報告名稱，然後按一下EXECUTE。

在此報告中，您有不同的詳細資訊，如用戶名，類型，創建，創建者，密碼，鎖定和不正確的登錄詳細資訊。

在SAP系統中，還可以使用安全審計日誌（事務SM18，SM19和SM20）記錄所有成功和不成功的登錄嘗試。

您可以使用SM20事務分析安全審計日誌，但應在系統中啟動安全審計以監視安全審計日誌。

註銷Idle用戶
當使用者已登錄到SAP系統並且會話在特定時間內處於非活動狀態時，您還可以將其設置為註銷，以避免任何未經授權的訪問。

要啟用此設置，需要在概要檔參數中指定此值：rdisp / gui_auto_logout。

•參數描述- 您可以定義在預定義的時間段後，SAP系統自動從SAP系統中自動登出非活動的SAP GUI用戶。

參數配置此時間。

預設情況下，SAP系統中的自動登出（值為0）被停用，即即使用戶沒有執行任何操作較長時間，用戶也不會註銷。

•允許的值- n [單位]，其中n> = 0和單位= S | M | H | D 要查看參數的當前值，請運行T代碼：RZ11。

下表顯示了SAP系統中的關鍵參數清單，其預設值和允許值 -
SAP安全 - 系統授權概念
SAP系統授權概念涉及保護SAP系統免受未授權訪問的運行事務和程式。

您不應該允許使用者在SAP系統中執行事務和程式，直到他們為此活動定義授權。

為了使您的系統更加安全並實施強大的授權，您需要檢查您的授權計畫，以確保其滿足公司的安全要求，並且沒有安全違規。

用戶類型
在SAP系統的早期版本中，用戶類型僅分為兩類 - 對話使用者和非對話使用者，僅推薦非對話使用者在兩個系統之間進行通信。

使用SAP 4.6C，用戶類型分為以下類別 -
•對話使用者- 此使用者用於單個互動式系統訪問，並且大多數用戶端工作都使用對話使用者執行。

密碼可以由使用者自己更改。

在對話方塊用戶中，可以防止多個對話方塊登錄。

•服務使用者- 用於執行互動式系統訪問以執行某些預定任務，如產品目錄顯示。

此用戶允許多次登錄，只有管理員可以更改此使用者的密碼。

•系統使用者- 此使用者標識用於執行大多數系統相關任務- 傳輸管理系統，定義工作流和ALE。

它不是互動式系統相關使用者，並且允許此用戶有多個登錄。

•參考使用者- 參考使用者不用於登錄到SAP系統。

此用戶用於向內部用戶提供額外的授權。

在SAP系統中，您可以轉到角色選項卡，並為對話方塊用戶的其他許可權指定引用用戶。

•通信使用者- 此使用者類型用於維護不同系統之間的對話自由登錄，如RFC連接，CPIC。

通信使用者不能使用SAP GUI進行對話登錄。

用戶類型可以像常見的對話方塊使用者一樣更改其密碼。

RFC功能模組可用於更改密碼。

事務代碼：SU01用於在SAP系統中創建使用者。

在以下螢幕中，您可以在SAP系統中的SU01事務下查看不同的使用者類型。