SAP License管理|key|license|sap

ECC6安装后的系统状态（未维护License）图1 License管理界面图3License编辑菜单图4安装对话框初始界面图5安装对话框输入界面图6License管理界面（新的License条目已在其中）图7系统状态（系统已维护License）图8

SAP初始安装后进入系统，点击菜单“系统→状态…”(英文System→Status…)，显示当前系统状态如图1所示，可以看到此时尚无安装号（Installations nummer），而且许可使用期仅为一个月。如想长期使用此SAP系统，则需要在系统中维护合法的license（许可证）。

本文档只描述如何输入License Key，至于安装号及key的获取请参见SAP官方相关文档。

维护License的事物码是SLICENSE，在前台输入或按图2的路径进入操作，进入后如图3所示。

图3是License管理界面。在抬头请先注意”活动硬件代码”条目，这是根据系统硬件配置给出的硬件激活码。在Installed Licenses条目部分可以看到系统默认安装了一个License，但许可证日期和安装号与图1界面相同。由于此条目无安装号，需要先将其删除，选中此条目，点击菜单“Edit→Delete License”（如图4所示）进行操作。

删除后Installed License里栏目为空，需要新建License。点击界面中的安装按钮或菜单“Edit编辑→Install License安装许可证”（如图4所示），弹出安装对话框。

图5是安装对话框的初始界面，可以看到上面已有激话硬件码和截止日期，需要输入安装号和key值，输入后如图6所示。输入正确后，点击安装按钮，程序执行返回管理主界面，如无误如图7所示。

图7显示增加License后的界面，可以看到一个新条目已出现，它具有安装号。抬头部分的许可截止期已超出一个月达到最大值(9999年12月31日)，但安装号则为初始状态（值INITIAL）。

将SAP系统服务关闭重新启动（不是重起GUI），用事物码SLICENSE重新进入License管理界面，点击菜单“Edit→Temporary License”，Installed Licenses栏目中新增一个条目，如图8所示，这时License维护完整，再次点击菜单“系统→状态…”(英文System→Status…)，可以看到安装号和许可截止期已维护正确。

为了更好地了解SAP系统的合规性流程及关注内容，SAP系统的合规性审计主要分为账号权限，系统安全、系统巡检等，介绍如下。

1. 通用账号权限控制

SAP系统主要基于ROLE，PROFILE进行用户账号的权限控制，应注意使用的参数文件如下:

SAP_ALL：SAP的所有权限
SAP_NEW：SAP所有新产生的对象权限
S_A.SYSTEM：SAP系统管理权限
S_A.ADMIN：SAP系统操作权限
S_A.DEVELOP：无限制级别开发账号权限
S_A.USER：SAP所有业务应用操作权限
S_A.CUSTOMIZ：SAP所有后台配置权限

管理员与超级用户个数最少化设置原则，且避免使用原始参数文件所带来的控制漏洞（参照复制新的参数文件，进行控制调整）；账号类型按照管理、业务、开发进行权限分类，避免混用权限角色与参数文件，避免SOD（职责不相容）权限的出现。

2. 特殊用户账号检查

SAP系统实施过程中，具有特殊功用的账号在系统设置阶段结束后，需要妥善的管理和处置，主要账号如下：

SAP*：系统初始化账号，拥有SAP系统的所有权限
DDIC：系统初始化进行配置使用的账号，拥有SAP系统所有权限
SAPCPIC：SAP系统通讯用途的超级账号
EarlyWatch：用来做SAP系统分析的超级账号

3. SAP系统安全控制

对于SAP系统安全层面，建议参照一般的IT合规性管理进行设置，主要控制点如下：

独立设置SAP系统的管理员账号、数据库管理员账号、操作系统管理员账号应该由不同人持有，管理权限分授于不同用户。
SAP系统及相关性系统管理员账号必须每90天更换账号密码，设置密码策略应满足“字母＋数字，长度大于8位“，新密码与前五次密码不能相同。
设置最终用户账号登陆失败5次将自动锁定，用户需通过权限或账号申请流程申请解锁。
设置最终用户账号会话超时时间，如20分钟以内不对系统进行任何操作，自动结束当前会话账号。
常规情况下，应冻结SAP*、DDIC等超级账号，甚至保管专员管理此类超级账号的用户名和密码。
常规情况下，SAP_ALL、SAP_NEW等权限较大的参数不能赋给任何一个普通账号，如需授权，用户需通过权限申请流程提交补偿控制记录。

4. SAP系统应用层面控制

SAP系统管理员定期通过RZ10中对如下参数按审计邀请或者一般IT合规性管理进行检查设置。

5. SAP系统数据库层面控制

SAP系统管理员通过HANA Studio登录到数据库进行配置，配置好的参数可以通过事务代码DB13进行查看。DB13查看数据密码策略的路径为：INIFILE PARAMETER LIST -> indexserver.ini -> password policy 。

数据库密码策略涉及的参数主要包括以下这些：

detailed_error_on_connect
force_first_password_change
last_used_passwords
maximum_invalid_connect_attempts
maximum_password_lifetime
password_layout
password_lock_for_system_user
password_lock_time

6. SAP应用操作系统层面控制

主要包括SAP应用以及数据库服务器的密码策略，配置参数在操作系统的/etc/login.defs 文件中。

7. SAP系统开发管控

SAP系统PRD集团下，设置所有的代码为“生产”类型，不允许作程序与配置更改（可通过执行OBR3检查设置是否正确，通过执行SCC4 与SE06进行设定）；SAP系统PRD集团下，所有的更改策略都要围绕D-Q-P系统传输机制来完成，执行STMS控制上传相关请求。

8. SAP系统巡检策略

SAP系统管理员定期执行SAP系统巡检（建议每日一次），主要巡检事项如下：

执行ST22，SM21，OY18，ST02，ST04查看SAP系统运行情况，检查SAP系统每日的运行状态。
执行STAT监控用户48小时内的操作，执行SM20监控可获取更详细日志，执行SUIM来完成特定用户的操作监控。
对于Basis的操作日志，可通过SM20进行查询，建议定期出具Basis的系统操作列表报告。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。