Bereitstellen der SAP Privileges Auto App mit Privileges Checker

  • nP
  • jD

Was sind SAP-Berechtigungen?

SAP Privileges ist ein Open-Source-Tool für macOS, mit dem Benutzer ihre Benutzerkonten bei Bedarf vorübergehend von Standard auf Verwaltung umstellen können. Dies ist besonders nützlich in Umgebungen, in denen bewährte Sicherheitsmethoden darauf hindeuten, dass Benutzer mit den geringsten Berechtigungen arbeiten sollten, die für tägliche Aufgaben erforderlich sind, aber gelegentlich Administratorrechte für bestimmte Aktionen benötigen.

Wie funktioniert SAP Privileges?

Die SAP-Privilegien-App für macOS ermöglicht es Benutzern, ihre Berechtigungen zu erhöhen, um administrative Aufgaben vorübergehend auszuführen. Die integrierte Funktionalität von SAP Privileges unterstützt den zeitbasierten Ablauf von Rechten, jedoch nur, wenn die Berechtigungen zuerst gewährt werden, indem Sie mit der rechten Maustaste auf das Dock-Symbol klicken und die Option "Berechtigungen umschalten" auswählen. Dies bedeutet, dass die App den Benutzer nach einem festgelegten Zeitraum auf die Standardberechtigungen zurücksetzt, wenn er diese spezielle Methode verwendet, um seine Rechte zu erhöhen.

Benutzer können jedoch auch die vollständige SAP-Privilegien-App starten, um ihre Berechtigungen zu erhöhen, wodurch die Dock-Symbolmethode umgangen wird. Um dieses Problem zu beheben, haben wir Begleitcode veröffentlicht, der das Timeout auch dann erzwingt, wenn Berechtigungen durch andere Methoden eskaliert werden, z. B. durch das Starten der vollständigen App.

SAP-Berechtigungen in Kandji konfigurieren

Anforderungen

  • Audit-Skript für die Berechtigungsprüfung (GitHub-Link)

  • Wartungsskript für die Berechtigungsprüfung (GitHub-Link)

  • Ein Tool zur Erstellung benutzerdefinierter Profile, wie z. B. iMazing Profile Editor

  • Die SAP-Berechtigungen Auto App, Benutzerdefiniertes Skript und Benutzerdefiniertes Profil müssen alle denselben Blueprinthinzugefügt werden

  • Die Option Benutzerkonten auf Standard- Parameter herabstufen muss auf jedem Assignment Maps oder Classic Blueprints deaktiviert werden, auf dem Berechtigungen zugewiesen sind.

Hinzufügen des Auto App SAP-Berechtigungen

Diese Auto App stellt ein Konfigurationsprofil bereit, das Hintergrundelemente für SAP Privileges und Privileges Checker zulässt. Dies dient dazu, die Kernfunktionalität des Add-ons sicherzustellen, und hat keine Auswirkungen, wenn die Berechtigungsprüfung nicht vorhanden ist.

  1. Klicken Sie in der linken Navigationsleiste auf Library.

  2. Klicken Sie in der oberen rechten Ecke auf Neu hinzufügen .

  3. Geben Sie Berechtigungen in die Suchleiste ein, oder scrollen Sie nach unten zum Abschnitt Auto App und suchen Sie nach SAP-Berechtigungen.

  4. Klicken Sie auf Hinzufügen und konfigurieren für das Element SAP-Berechtigungen .

  5. Ordnen Sie die Auto App einem Test Blueprint zu.

  6. Wählen Sie die gewünschte Installationsmethode aus und klicken Sie auf Speichern.

Hinzufügen und Konfigurieren des Skripts zur Berechtigungsprüfung

Sobald dieses Skript bereitgestellt wurde, entzieht die Berechtigungsprüfung dem angemeldeten Benutzer die Rechte, nachdem die festgelegte Zeitüberschreitung abgelaufen ist.

Hinzufügen eines benutzerdefinierten Skripts Library Item

  1. Navigieren Sie in der linken Navigationsleiste zu Library.

  2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie Benutzerdefiniertes Skript aus.

  3. Klicken Sie auf Hinzufügen und konfigurieren.

  4. Geben Sie dem neuen Zubehör- und Aufbewahrungszugriff Library Item einen Namen.

  5. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprints zu.

  6. Wählen Sie Alle 15 Minuten ausführen als Ausführungshäufigkeit aus.

  7. Fügen Sie das Audit-Skript, das Sie zuvor heruntergeladen haben, in das Textfeld Audit-Skript ein. Bearbeiten Sie das Skript in Zeile 65, um einen booleschen Wert für USE_PROFILE_TIMEOUT und einen Zeichenfolgenwert für USERS_TO_EXCLUDE festzulegen.

    • Für USE_PROFILE_TIMEOUT:

      1. Auf "True" oder "False" setzen: Erzwingt eine Zeitüberschreitung in Minuten ab dem DockToggleTimeout-Schlüssel, der im Berechtigungskonfigurationsprofil festgelegt wurde (siehe unten).

      2. Wenn der Wert als True markiert ist, aber kein Profil installiert ist, oder wenn der DockToggleTimeout-Schlüssel nicht definiert ist, wird das Timeout standardmäßig auf MINUTES_TO_WAIT festgelegt. Andernfalls überschreibt das Konfigurationsprofil den lokal festgelegten Wert MINUTES_TO_WAIT.

    • Für USERS_TO_EXCLUDE:

      1. Wenn kein Administrator definiert ist, werden alle Administratoren herabgestuft.

      2. Admin-Namen müssen in doppelte Anführungszeichen gesetzt werden.

  8. Fügen Sie das zuvor heruntergeladene Wartungsskript in das Textfeld Wartungsskript ein. Bearbeiten Sie das Skript in Zeile 56, um einen ganzzahligen Wert für MINUTES_TO_WAIT festzulegen. Dies ist die Anzahl der Minuten, die einem Endbenutzer Administratorrechte gewährt werden sollten , sobald er erteilt wurde.

  9. Bearbeiten Sie das Skript in Zeile 64, um einen booleschen Wert für USE_PROFILE_TIMEOUT festzulegen.

    1. Auf "True" oder "False" setzen: Erzwingt eine Zeitüberschreitung in Minuten ab dem DockToggleTimeout-Schlüssel , der im Berechtigungskonfigurationsprofil festgelegt wurde (siehe unten).

    2. Wenn der Wert als True markiert ist, aber kein Profil installiert ist, oder wenn der DockToggleTimeout-Schlüssel nicht definiert ist, wird das Timeout standardmäßig auf MINUTES_TO_WAIT festgelegt. Andernfalls überschreibt das Konfigurationsprofil den lokal festgelegten Wert MINUTES_TO_WAIT.

  10. Bearbeiten Sie das Skript in Zeile 72, um einen Zeichenfolgenwert für USERS_TO_EXCLUDE festzulegen.

    1. Admin-Namen müssen in doppelte Anführungszeichen gesetzt werden.

  11. Klicken Sie auf Speichern.

Erstellen eines benutzerdefinierten Profils

Schritte zur Profilerstellung sind optional, wenn Sie das Rechte-Timeout per Skript festlegen. Sie können auch zusätzliche Profiloptionen überprüfen, die SAP Privileges auf der GitHub-Seite unterstützt.

Wenn der Schlüssel "EnforcePrivileges" im benutzerdefinierten Profil auf einen beliebigen Wert festgelegt ist, wird die in der Berechtigungsprüfung verwendete PrivilegesCLI deaktiviert und die Möglichkeit zur Herabstufung von Benutzern außer Kraft gesetzt.

  1. Öffnen Sie den iMazing Profile Editor

  2. Klicken Sie auf der linken Seite unter Verfügbare Systemdomänen auf SAP-Berechtigungen.

  3. Klicken Sie auf Konfigurationsnutzlast hinzufügen.

  4. Geben Sie einen Wert für Timeout für Dock Toggle ein.

    • Wenn "Privilegien" mit der Payload "DockToggleTimeout" konfiguriert ist, die Berechtigungsprüfung jedoch nicht bereitgestellt wird, erfolgt der zeitgesteuerte Rechteentzug nur, wenn ein Benutzer mit der rechten Maustaste auf das Symbol "Privilegien-Dock" klickt und "Berechtigungen umschalten" auswählt.

  5. Optional können Sie nach Bedarf zusätzliche Einstellungen für SAP-Berechtigungen konfigurieren.

  6. Klicken Sie auf den Abschnitt Allgemein. Geben Sie die erforderlichen Werte für Name und Bezeichner ein.

  7. Drücken Sie Befehl+S, um Ihr Profil zu speichern.

Hinzufügen und Konfigurieren des benutzerdefinierten Profils

  1. Klicken Sie in der Kandji Web-App in der linken Navigationsleiste auf Library.

  2. Klicken Sie in der oberen rechten Ecke auf Neu hinzufügen.

  3. Klicken Sie im Fenster Neu hinzufügen auf Benutzerdefiniertes Profil.

  4. Geben Sie dem Profil einen Namen.

  5. Weisen Sie Ihr benutzerdefiniertes Profil einem Test-Blueprint zu.

  6. Legen Sie die Gerätefamilien auf Mac fest.

  7. Laden Sie die .mobileconfig hoch, die Sie oben angepasst und gespeichert haben.

  1. Speichern Sie Ihr benutzerdefiniertes Profil.

Technische Details zu Privileges Checker finden Sie in unserem Kandji Support GitHub Repo.