Änderungsbelege
Die Zentrale Benutzerverwaltung temporär abschalten
Sie können auf die Berücksichtigung obsoleter Profildaten verzichten, indem Sie zusätzlich die Korrektur aus dem SAP-Hinweis 1819126 einspielen und anschließend den Customizing-Schalter REC_OBSOLETE_AUTHS in der Tabelle PRGN_CUST auf den Wert NO setzen. Diese Korrektur ist auch deshalb wichtig, weil sie Laufzeitprobleme bei der Freigabe von Rollentransporten, resultierend aus der Korrektur in SAP-Hinweis 1614407, behebt. Grundsätzlich sollten Sie die Freigabe von Massentransporten immer im Hintergrund ausführen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Sie setzen neben der SAP-Standardsoftware auch kundeneigene ABAP-Programme ein? Erfahren Sie, wie Sie mithilfe des SAP Code Vulnerability Analyzers Ihren Kundencode auf potenzielle Sicherheitslücken scannen und diese gegebenenfalls bereinigen können. Berechtigungskonzepte, Firewalls, Antiviren- und Verschlüsselungsprogramme reichen alleine nicht aus, um Ihre IT-Infrastruktur und IT-Systeme gegen innere und äußere Angriffe und Missbrauch zu schützen. Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen. Ferner ist zu erwähnen, dass die eingesetzten Berechtigungskonzepte durch ABAP-Code umgangen werden können, was das Gewicht von Sicherheitslücken im ABAP-Code unterstreicht. Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen. Unternehmen unterliegen einer ganzen Reihe von gesetzlichen Vorgaben zum Thema Datenschutz und Datenintegrität, und Sie können diese mithilfe eines neuen Werkzeugs weitestgehend erfüllen. Der SAP Code Vulnerability Analyzer ist im ABAP Test Cockpit (ATC) integriert und somit in allen ABAP-Editoren wie SE80, SE38, SE24 usw. vorhanden. Entwickler können damit während der Programmierung und vor der Freigabe ihrer Aufgaben ihren Code auf Schwachstellen hin scannen und diese bereinigen. Dadurch sinken die Testaufwände und Kosten.
In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren
Ein lästiges, Ihnen bestimmt bekanntes Szenario: Sie gehen demnächst mit einem neuen Geschäftsprozess live und müssen nun Ihre dafür erstellten Rollen in 97 Buchungskreise ableiten. Hier kann Ihnen eCATT das Leben erleichtern. Es ist mal wieder soweit: Wenn Sie in Ihrer Abteilung niemanden haben, der Gefallen daran findet, mehrere Stunden lang in der Transaktion PFCG den Kopierknopf zu drücken, das Ableitungskürzel zu ersetzen und dann in den neuen Rollen auf der Registerkarte Berechtigungen die Organisationsebenen (Orgebenen) anzupassen (immer wieder verbunden mit Speichervorgängen), bleibt der Job an Ihnen hängen. Weil es kaum etwas Langweiligeres gibt, schleichen sich spätestens nach einer Stunde die ersten Fehlerchen ein. Immer wenn Sie neue Rollen, z. B. für Ihr neues Premiumgeschäft, auf alle Ihre Unternehmensbereiche, Werke usw. ausrollen müssen, ist die Anlage der abgeleiteten Rollen mühselig – weil SAP keine gescheite Massenpflege anbietet.
Das Konzept für Eigenentwicklungen ist für jede Firma obligatorisch, in der eigene Software geschrieben wird. Es nennt Vorgaben bspw. zu Aufbau, Namensgebung und Dokumentation der Programmkomponenten, insbesondere aber auch zum Umgang mit sicherheitskritischen Aspekten. Dabei sollte die Formulierung nicht zu allgemein gehalten werden, sondern explizit auf die Besonderheiten der Programmierung in SAP eingehen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Schützen Sie Ihr System vor unbefugten Aufrufen von RFC-Funktionsbausteinen über das Berechtigungsobjekt S_RFC, indem Sie die erforderlichen Berechtigungen mithilfe der statistischen Nutzungsdaten ermitteln.
Dies hilft bspw. bei der Erstellung geeigneter Rollen: - Rufe die Transaktion STAUTHTRACE auf - Gib den gewünschten Benutzer an und starte den Trace - Lasse den Benutzer seine Transaktion aufrufen - Stoppe den Trace (Wichtig, nicht vergessen!) - Werte die Ergebnisse aus.