Berechtigungskonzept – Rezertifizierungsprozess
Welche Herausforderungen können nicht allein mithilfe von Berechtigungstools gelöst werden?
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Eine Voraussetzung für die indirekte Zuordnung von PFCG-Rollen ist ein gepflegtes Organisationsmodell. Dieses kann einer Linienorganisation entsprechen, die aus Organisationseinheiten besteht, denen Planstellen zugeordnet sind. Veranschaulichen Sie sich die Mitarbeiterstruktur des Unternehmens oder der Abteilung, für die Sie die Rollen zuordnen sollen, anhand eines Organigramms. Ordnen Sie den Planstellen die Personen zu, denen ein Benutzer als Attribut zuwiesen ist. Darüber hinaus können Sie noch weitere Objekte aus dem HR-Organisationsmanagement einbeziehen, wie z. B. die Stellen, die die Planstelle beschreiben, und darüber Rollen zuordnen.
Testen der Berechtigung
Im Rahmen von Upgrades müssen auch die Berechtigungsrollen überarbeitet werden. In diesem Zusammenhang können Sie das Profil SAP_NEW zur Unterstützung verwenden. Während eines Upgrades werden Änderungen und Verbesserungen von Berechtigungsprüfungen im SAP NetWeaver AS ABAP ausgeliefert. Damit die Benutzer weiterhin wie gewohnt Ihre bisherigen Aktionen im SAP-System durchführen können, müssen Sie als Berechtigungsadministrator die Berechtigungsausprägungen im Rahmen des etablierten Berechtigungskonzepts überarbeiten bzw. ergänzen. Grundsätzlich nutzen Sie hierzu die Transaktion SU25. Für die Übergangszeit können Sie die Berechtigung SAP_NEW einsetzen, bis das Berechtigungskonzept auf dem aktuellen Stand für das neue Release ist. Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Sie müssen das Berechtigungsobjekt S_TABU_NAM in Ihr bestehendes Berechtigungskonzept integrieren? In diesem Tipp zeigen wir Ihnen, welche Schritte dazu notwendig sind – von der Pflege der Vorschlagswerte bis hin zum Überblick über berechtigte Tabellen. Sie haben Ihr Berechtigungskonzept um das Berechtigungsobjekt S_TABU_NAM erweitert, sodass die Anwender nicht nur über das Berechtigungsobjekt S_TABU_DIS, sondern auch über S_TABU_NAM Zugriff auf die Tabellen erhalten. Damit wird der Zugriff auf die Tabellen über Tabellenberechtigungsgruppen oder, wenn der Zugriff über Tabellenberechtigungsgruppen nicht erlaubt ist, über die Berechtigung auf die Tabelle direkt geregelt (siehe Tipp 73, »Berechtigungsobjekte für die Tabellenbearbeitung verwenden«). Sie möchten nun die Tabellen bzw. die erstellten Parametertransaktionen, die den Zugriff nur auf bestimmte Tabellen erlauben, ermitteln, um für diese Vorschlagswerte in der Transaktion SU24 zu pflegen? Auf diese Weise wird das Pflegen von PFCG-Rollen erleichtert. Des Weiteren wäre ein Werkzeug sinnvoll, das Ihnen einen Überblick über die Tabellen verschafft, für die ein Anwender berechtigt ist.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen.
SAP liefert mit den rollenbasierten Berechtigungen jedoch ein sehr starkes Steuerungstool, welches mit ein wenig Hilfe und Dokumentation übersichtlich bleibt.