用 Security Policy 接管 SAP 密码规则与登录保护，Profile Parameter 不再一刀切

很多 SAP S/4HANA 系统在割接窗口都会遇到同一个问题，业务用户要被挡在系统外，Basis 管理员、升级账号、接口管理员却还要能登录。平时还会遇到另一类矛盾，普通业务用户希望密码规则不要过于折腾，拥有SAP_ALL、跨公司代码维护权限、生产系统配置权限的管理员账号又必须套上更强的密码复杂度、更短的密码有效期、更严格的失败锁定规则。只靠Profile Parameter做系统级控制时，这两件事很难同时做得优雅，因为参数天然面向整个 ABAP 系统或整个 Application Server，控制粒度太粗。

SAP 在 ABAP 平台里提供的Security Policy，就是为了解决这种差异化治理问题。Profile Parameter仍然是登录和密码保护的基础设施，Security Policy则把其中一部分登录行为、密码规则、密码变更规则搬到用户主数据维度。SAP 官方文档对这个优先级讲得很清楚，用户主记录一旦分配了安全策略，系统行为就由该策略定义，Profile Parameter 只继续作用于那些没有分配安全策略的用户。安全策略本身是一组安全属性和值，每个策略都包含所有可用属性和默认值，管理员可以按需覆盖默认值。也正因为策略是按用户、按 Client 分配的，我们才可以把管理员、普通业务用户、接口用户、应急用户放在不同的安全边界里管理。(