Bereitstellen der SAP Privileges Auto App mit Privileges Checker

  • nP
  • EF
  • CW
 Prev Next

SAP Privileges 2 bietet native Unterstützung für einen Großteil der Funktionen, die von KandjiPrivileges Checker bereitgestellt werden. Ausführliche Anleitungen zur Verwaltung von SAP Privileges 2 finden Sie unter SAP's wiki. Ein Beispiel für eine .mobileconfig, die alle verfügbaren Einstellungen für SAP Privileges 2 enthält, finden Sie in der GitHub repo.

Was sind SAP-Berechtigungen?

SAP Privileges ist ein Open-Source-Tool für macOS , mit dem Benutzer ihre Benutzerkonten bei Bedarf vorübergehend von Standard auf Verwaltung umstellen können. Dies ist besonders nützlich in Umgebungen, in denen bewährte Sicherheitsmethoden darauf hindeuten, dass Benutzer mit den geringsten Berechtigungen arbeiten sollten, die für tägliche Aufgaben erforderlich sind, aber gelegentlich Administratorrechte für bestimmte Aktionen benötigen.

Wie funktioniert SAP Privileges?

Die SAP-Privilegien-App für macOS ermöglicht es Benutzern, ihre Berechtigungen zu erhöhen, um administrative Aufgaben vorübergehend auszuführen. Die integrierte Funktionalität von SAP Privileges unterstützt den zeitbasierten Ablauf von Rechten, jedoch nur, wenn die Berechtigungen zuerst gewährt werden, indem Sie mit der rechten Maustaste auf das Dock-Symbol klicken und die Option "Berechtigungen umschalten" auswählen. Dies bedeutet, dass die App den Benutzer nach einem festgelegten Zeitraum auf die Standardberechtigungen zurücksetzt, wenn er diese spezielle Methode verwendet, um seine Rechte zu erhöhen.

Benutzer können jedoch auch die vollständige SAP-Privilegien-App starten, um ihre Berechtigungen zu erhöhen, wodurch die Dock-Symbolmethode umgangen wird. Um dieses Problem zu beheben, haben wir Begleitcode veröffentlicht, der das Timeout auch dann erzwingt, wenn Berechtigungen durch andere Methoden eskaliert werden, z. B. durch das Starten der vollständigen App.

SAP-Berechtigungen in Kandji konfigurieren

Anforderungen

  • Audit-Skript für die Berechtigungsprüfung (GitHub-Link)

  • Wartungsskript für die Berechtigungsprüfung (GitHub-Link)

  • Ein Tool zur Erstellung benutzerdefinierter Profile, wie z. B. iMazing Profile Editor

  • Die SAP-Berechtigungen Auto App, Benutzerdefiniertes Skript und Benutzerdefiniertes Profil müssen alle denselben Blueprinthinzugefügt werden

  • Die Option Benutzerkonten auf Standard- Parameter herabstufen muss auf allen Assignment Maps oder Classic Blueprints deaktiviert werden, auf denen Berechtigungen zugewiesen sind

Hinzufügen des Auto App SAP-Berechtigungen

In diesem Auto App wird ein Konfigurationsprofil bereitgestellt, das Hintergrundelemente für SAP Privileges and Privileges Checker zulässt. Dies dient dazu, die Kernfunktionalität des Add-ons sicherzustellen, und hat keine Auswirkungen, wenn die Berechtigungsprüfung nicht vorhanden ist.

Um dieses Library Elemente zu Ihrer Kandji-Library hinzuzufügen, befolgen Sie die Schritte, die im Artikel Library Übersicht beschrieben sind.

  1. Ordnen Sie die Auto App einem Test Blueprintzu.

  2. Wählen Sie die gewünschte Installationsmethode aus und klicken Sie auf Speichern.

Hinzufügen und Konfigurieren des Skripts zur Berechtigungsprüfung

Sobald dieses Skript bereitgestellt wurde, entzieht die Berechtigungsprüfung dem angemeldeten Benutzer die Rechte, nachdem die festgelegte Zeitüberschreitung abgelaufen ist.

Hinzufügen eines benutzerdefinierten Skripts Library Item

Um dieses Library Elemente zu Ihrer Kandji-Library hinzuzufügen, befolgen Sie die Schritte, die im Artikel Library Übersicht beschrieben sind.

  1. Geben Sie dem neuen Zubehör- und Aufbewahrungszugriff Library Item einen Namen.

  2. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprintszu.

  3. Wählen Sie Alle 15 Minuten ausführen als Ausführungshäufigkeit aus.

  4. Fügen Sie das Audit-Skript, das Sie zuvor heruntergeladen haben, in das Textfeld Audit-Skript ein. Bearbeiten Sie das Skript in Zeile 65, um einen booleschen Wert für USE_PROFILE_TIMEOUT und einen Zeichenfolgenwert für USERS_TO_EXCLUDE festzulegen.

    • Für USE_PROFILE_TIMEOUT:

      1. Auf "True " oder "False" setzen: Erzwingt eine Zeitüberschreitung in Minuten ab dem DockToggleTimeout-Schlüssel , der im Berechtigungskonfigurationsprofil festgelegt wurde (siehe unten).

      2. Wenn der Wert als True markiert ist, aber kein Profil installiert ist, oder wenn der DockToggleTimeout-Schlüssel nicht definiert ist, wird das Timeout standardmäßig auf MINUTES_TO_WAIT festgelegt. Andernfalls überschreibt das Konfigurationsprofil den lokal festgelegten Wert MINUTES_TO_WAIT.

    • Für USERS_TO_EXCLUDE:

      1. Wenn kein Administrator definiert ist, werden alle Administratoren herabgestuft.

      2. Admin-Namen müssen in doppelte Anführungszeichen gesetzt werden.

  5. Fügen Sie das zuvor heruntergeladene Wartungsskript in das Textfeld Wartungsskript ein. Bearbeiten Sie das Skript in Zeile 56, um einen ganzzahligen Wert für MINUTES_TO_WAIT festzulegen. Dies ist die Anzahl der Minuten, die einem Endbenutzer nach der Gewährung Administratorrechte gewährt werden sollten.

  6. Bearbeiten Sie das Skript in Zeile 64, um einen booleschen Wert für USE_PROFILE_TIMEOUT festzulegen.

    1. Auf "True " oder "False" setzen: Erzwingt eine Zeitüberschreitung in Minuten ab dem DockToggleTimeout-Schlüssel , der im Berechtigungskonfigurationsprofil festgelegt wurde (siehe unten).

    2. Wenn der Wert als True markiert ist, aber kein Profil installiert ist, oder wenn der DockToggleTimeout-Schlüssel nicht definiert ist, wird das Timeout standardmäßig auf MINUTES_TO_WAIT festgelegt. Andernfalls überschreibt das Konfigurationsprofil den lokal festgelegten Wert MINUTES_TO_WAIT.

  7. Bearbeiten Sie das Skript in Zeile 72, um einen Zeichenfolgenwert für USERS_TO_EXCLUDE festzulegen.

    1. Admin-Namen müssen in doppelte Anführungszeichen gesetzt werden.

  8. Klicken Sie auf Speichern.

Erstellen eines benutzerdefinierten Profils

Schritte zur Profilerstellung sind optional, wenn Sie das Rechte-Timeout per Skript festlegen. Sie können auch zusätzliche Profiloptionen überprüfen, die SAP Privileges auf der GitHub-Seite unterstützt.

Wenn der Schlüssel "EnforcePrivileges" im benutzerdefinierten Profil auf einen beliebigen Wert festgelegt ist, wird die in der Berechtigungsprüfung verwendete PrivilegesCLI deaktiviert und die Möglichkeit zur Herabstufung von Benutzern außer Kraft gesetzt.

  1. Öffnen Sie den iMazing Profile Editor

  2. Klicken Sie auf der linken Seite unter Verfügbare Systemdomänen auf SAP-Berechtigungen .

  3. Klicken Sie auf Konfigurationsnutzlast hinzufügen.

  4. Geben Sie einen Wert für Timeout für Dock Toggle ein.

    • Wenn "Privilegien" mit der Payload "DockToggleTimeout" konfiguriert ist, die Berechtigungsprüfung jedoch nicht bereitgestellt wird, erfolgt der zeitgesteuerte Rechteentzug nur, wenn ein Benutzer mit der rechten Maustaste auf das Symbol "Privilegien-Dock" klickt und "Berechtigungen umschalten" auswählt.

  5. Optional können Sie nach Bedarf zusätzliche Einstellungen für SAP-Berechtigungen konfigurieren.

  6. Klicken Sie auf den Abschnitt Allgemein . Geben Sie die erforderlichen Werte für Name und Bezeichner ein.

  7. Drücken Sie Befehl+S , um Ihr Profil zu speichern.

Hinzufügen und Konfigurieren des benutzerdefinierten Profils

Um dieses Library Elemente zu Ihrer Kandji-Library hinzuzufügen, befolgen Sie die Schritte, die im Artikel Library Übersicht beschrieben sind.

  1. Geben Sie dem Profil einen Namen.

  2. Weisen Sie Ihr benutzerdefiniertes Profil einem Test-Blueprintzu.

  3. Legen Sie die Gerätefamilien auf Mac fest.

  4. Laden Sie die .mobileconfig hoch, die Sie oben angepasst und gespeichert haben.

  1. Speichern Sie Ihr benutzerdefiniertes Profil.

Technische Details zu Privileges Checker finden Sie in unserem Kandji Support GitHub-Repository.