• TOP
  • ブログ
  • RISE with SAPにおけるパスワードポリシーの設定方法
BLOG
2026.04.06

RISE with SAPにおけるパスワードポリシーの設定方法

1.はじめに

2026年現在、SAP ERP 6.0の保守期限切れが2027年と間近に迫っていることもあり、SAP S/4HANAへの移行プロジェクトが盛んとなっています。
その中でSAP S/4HANAへの移行と同時に、SAPシステムのプラットフォームを顧客環境(オンプレミスやクラウド基盤)から、SAP社管理下のクラウド基盤であるRISE with SAP, Private Cloud Edition(以下、RISE)に移行するプロジェクトが多くなっています。
RISEでは、OSレイヤの全ての作業とSAPレイヤの一部のベーシス作業をSAP社が担当します。RISE環境ではRISE固有の制約があり、カスタマ側はこれを満たすように設計する必要があります。(※1)

※1 SAP Noteに制約が記載されています。
SAP Note 3250501 – Information on mandatory Security Parameters & Hardening requirements for ABAP systems in SAP Enterprise Cloud Services (ECS)
SAP Note 3480723 – Information on mandatory Security Parameters & Hardening requirements for SAP HANA databases in SAP Enterprise Cloud Services (ECS)
SAP Note 3517086 – Non-Security Parameters for ABAP systems in SAP Enterprise Cloud Services (ECS)

今回は、RISEの制約の中でもRISE環境におけるパスワードポリシーの設定について、ご説明していきます。
※パスワードポリシーとはパスワードに関するルールのことで、大体の場合に顧客ごとにルールが存在するため、そのルールを満たすようにSAPシステム側でも設定する必要があります。
<パスワードポリシーの例>
 ・パスワードの最低文字数
 ・パスワードの複雑さ(英語大文字、小文字、数字、記号がそれぞれ何文字以上など)
 ・パスワードの有効期限
 など

通常、SAPシステムでパスワード関連のルールを変更する場合は、SAPプロファイルパラメータのパスワード関連のパラメータ(の設定値)をそれぞれ変更します。

ですが、RISE環境の場合にはRISE固有の制約(設定可能範囲)が存在します。この制約内であれば自由に設定値を設定することが可能ですが、RISE制約の設定可能範囲以外の設定値をプロファイルパラメータで指定することはできません。(※2)
今回の例では、パスワード長は15文字以上がRISE制約となりますので、14文字以下はプロファイルパラメータで設定することができません。
※2 SAP社に依頼して無理やり変更してもらうことも可能ですが、SAP社よりRisk Letterが発行され、その設定による障害・不具合はRISEのSLA対象外となります。
(なお、RISE環境ではプロファイルパラメータの変更はService RequestからSAP社に依頼して変更します)

そこで今回は、RISE制約を満たしつつ(=プロファイルパラメータは設定変更せず)、パスワードポリシーの設定を変更する方法について、ご紹介します。

2.セキュリティポリシー設定とは

2-1. 概要

前項でご説明した通り、本記事ではSAPプロファイルパラメータは設定変更せず、各ユーザのパスワードポリシーの設定を変更する方法について、ご紹介します。
これは、SAPコンポーネント「SAP_BASIS 731」以降で標準で提供されているセキュリティポリシー設定(※3)を利用することで実現可能です。
※3 セキュリティポリシー設定とは、ユーザごとにセキュリティ関連の設定をグループ化して管理する機能になります。
SAP Note 2018918 – User-specific settings for password rules, password changes, and logon restrictions

前述の通り、通常SAPシステムの設定(パラメータ)はプロファイルパラメータ上で個別に設定変更しますが、セキュリティポリシーの設定が実装されている場合は、そちらが優先されます。

2-2. 設定方法

続いて、具体的な設定手順について、ご説明します。
セキュリティポリシーの設定では、大きく分けて2ステップに分けられます。

Step1:ポリシーの作成

Step2:ユーザへの割り当て

それぞのれステップについて、ご説明して行きます。

Step1:ポリシーの作成

まずは、ユーザに割り当てるパスワード関連の設定をグループ化したポリシーを作成します。
① SAPシステムにログオンし、トランザクションコードSECPOLを実行すると、下記の画像のような画面に遷移します。

② この画面で、画面左上の「変更ボタン」>「新規エントリ」とクリックすることで、新規のポリシー作成画面に移動することができます。
本説明では、以下の通り入力します。
 [セキュリティポリシー]:ポリシー名 (管理上の名前)
 [テキスト (短)]:ポリシーの説明文

③ 入力が出来たら、記入したポリシーにチェックを入れ、画面左部の属性部分をダブルクリックします。

④ 次に実際のポリシーに含めたいパラメータの設定画面に移動します。画面左上の「新規エントリ」ボタンをクリックし、設定したいパラメータを入力します。(※4)
※4 設定変更可能なパラメータの一覧は下記になります。
Security Policy Attributes for Logon and Passwords

⑤ 入力が出来たら画面上部の「保存」ボタンをクリックします。
保存時にどの移送依頼に含めるか確認されるので、新規に移送依頼を作成して保存します。

上記①~⑤でポリシーの作成は完了になります。
このポリシーの設定はクライアント依存の設定となるため、別クライアントに同ポリシーを適用したい場合や、別システムにも同じポリシー設定を適用したい場合は、取得した移送依頼を対象環境で移送することでポリシーを適用することが出来ます。

Step2:ユーザへの割り当て

次に、作成したポリシーをユーザに割り当てます。
ユーザへの割り当ては、SAPシステムにおける通常のユーザ管理と同様に行います。
トランザクションコードSU01のユーザ設定変更の画面にて、「Security Policy」項目があります。ここにStep1で作成したポリシー定義を指定して保存します。
(トランザクションコードSU10から一括で設定することも可能です)

これにより、ポリシーを割り当てたユーザのパスワード設定は、RISE制約ではなく設定したポリシーに従うことになります。

SAP製品の導入・移行・運用保守に関して、お気軽に相談下さい。
レイエントシステムではSAP製品の新規導入からシステム移行、運用保守までご対応します。
お問い合わせ

カテゴリー
タグ

RECRUIT

エンジニアが主役となり、未来を明るく照らしていく100年企業へ。

採用情報へ