SAP Fiori Benutzerverwaltung sicher gestalten: On-Premises vs. Cloud
Wie funktioniert die Berechtigungsverwaltung in der Cloud?
Technische SAP-Benutzer, die mit weitreichenden Berechtigungen wie SAP_ALL ausgestattet sind, stellen ein erhöhtes Sicherheitsrisiko dar. Die Gefahr, dass durch Sicherheitslücken Schnittstellen gefährdet und Prozesse lahmgelegt werden, ist groß. Daher gerät die Berechtigungsverwaltung auch zunehmend ins Visier der Wirtschaftsprüfer. So stand einer unserer Kunden – ein Unternehmen aus dem Energiesektor – erst kürzlich vor der Herausforderung, die Berechtigungen seiner technischen Benutzer (Batch-Verarbeitung / RFC-Schnittstellen) einzuschränken.
Bereits 2017 hat die SAP begonnen, die Community auf die bevorstehende Veränderung „einzustimmen“. Für 2018 hat sie angekündigt, dass sie nicht nur eine neue Version der USMM herausbringen, sondern auch bekanntgeben wird, wie die Nutzung der User-Lizenzen auf Basis von Berechtigungen konkret aussehen wird.
BAPI_USER_CHANGE
Geben Sie einen neuen Benutzernamen ein und wählen Sie Anlegen, oder geben Sie einen vorhandenen Benutzernamen oder Alias (z. B. eines Internetbenutzers) ein und wählen Sie Ändern. Sie können die in Benutzernamen zulässigen Zeichen einschränken. Weitere Informationen finden Sie unter Regeln für Benutzernamen.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Prüfen Sie außerdem über die Transaktion RSD1, ob das Merkmal 0TCTIOBJNM vorhanden und aktiv ist. Dieses Merkmal wird zur Definition der Dateifelder in der Planungsfunktion genutzt. Nun kann der neue Planungsfunktionstyp installiert werden. In der Note 2053696 stellt SAP zwei Transportdateien zur Verfügung. Laden Sie diese herunter und kopieren Sie die Dateien in das Transportverzeichnis Ihres BW Systems. Dazu können Sie den Funktionsbaustein ARCHIVFILE_CLIENT_TO_SERVER (Transaktion SE37) nutzen. Die K* Datei enthält die Metadaten und die R* Datei die tatsächlichen Objekte. Laden Sie die K* Datei in den COFILES Ordner und die R* Datei in den Ordner DATA Ihres Transportverzeichnisses. Sie können die Verzeichnisse über die Transaktion AL11 einsehen.
Wie viele SAP-Tabellen sind auch diese nicht vollständig verwaltbar - die Verwaltbarkeit beschränkt sich auf den Umfang, der in den jeweiligen Verwaltungsfunktionen vorgesehen ist. Mit "Shortcut for SAP Systems" steht Ihnen aber bei Bedarf auch für diese Tabellen eine absolut flexible Verwaltungsmöglichkeit zur Verfügung.
Beim Aufruf einer Transaktion, wie bspw. die ME23N, werden diverse Berechtigungsobjekte geprüft.
Neuerdings hat SAP eine automatische Zählung dieser Dokumente mittels eines Programms eingerichtet.