Berechtigungstools – Vorteile und Grenzen
Kommunikationsbenutzer
Suchen Sie sich zuerst das Berechtigungsobjekt aus, das Sie pflegen möchten. Für jedes Berechtigungsobjekt kann es mehrere Berechtigungen geben. Anschließend laden Sie die Tracedaten, indem Sie auf Trace auswerten klicken. Es öffnet sich wieder ein neues Fenster, in dem Sie die Auswertungskriterien für den Trace festlegen und den Filter für Anwendungen entweder nur auf Anwendungen im Menü oder auf alle Anwendungen beschränken können. Ist der Trace einmal ausgewertet, werden Ihnen alle geprüften Berechtigungswerte für das ausgewählte Berechtigungsobjekt angezeigt. Mit dem Button Übernehmen können Sie hier nun die Werte zeilenweise, spaltenweise oder feldweise übernehmen. Im linken Teil des Fensters sehen Sie nun, ergänzend zu den bereits sichtbaren Vorschlagswerten, die übernommenen Berechtigungswerte. Nach der Bestätigung dieser Eingaben gelangen Sie zurück in die Detailsicht Ihrer Rolle. Sie sehen hier die Ergänzungen der Berechtigungswerte für Ihr Berechtigungsobjekt.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Mit der Einführung der Sicherheitsrichtlinien ist es nun möglich, für Benutzer vom Typ System oder Service eigene Sicherheitsrichtlinien zu definieren. Auf diesem Wege können Sie sicherstellen, dass abwärtskompatible Passwörter für diese Benutzer weiterhin verwendet werden. Damit ist der Grund, aus dem Passwortregeln nicht für Benutzer vom Typ System bzw. Service gültig waren, weggefallen; daher gelten die Regeln für die Inhalte der Passwörter nun auch für Benutzer dieser Typen. Regeln für die Änderung von Passwörtern sind weiterhin nicht für Benutzer vom Typ System oder Service gültig. Wenn Sie in Ihrem System Sicherheitsrichtlinien einsetzen, können Sie sich mithilfe des Reports RSUSR_SECPOL_USAGE einen Überblick über die Zuordnung von Sicherheitsrichtlinien zu Benutzern verschaffen. Diesen Report finden Sie im Benutzerinformationssystem (Transaktion SUIM). Zusätzlich wurde in den Reports des Benutzerinformationssystems die Selektion nach Benutzern mit ausgewählten Sicherheitsrichtlinien ergänzt. Diese Änderung wurde über ein Support Package bereitgestellt; Details hierzu finden Sie im SAP-Hinweis 1611173.
Löschen von Tabellenänderungsprotokollen
Benutzertrace - Transaktion: STUSERTRACE - Mit der Transaktion STUSERTRACE ruft man den Benutzertrace auf. Im Grunde genommen ist das der Berechtigungstrace (Transaktion STUSOBTRACE), der auf einzelne Benutzer filtert. Man kann also genau den Berechtigungstrace aufrufen und den Filter auf einen Benutzer einstellen. Wie beim Berechtigungstrace muss der Profilparameter “auth/authorization_trace” in der Parameterverwaltung (Transaktion RZ10) entsprechend gesetzt werden.
Sie nutzen die Ergebnis- und Marktsegmentrechnung und benötigen Berechtigungsprüfungen für Kombinationen aus Merkmalen und Kennzahlen, die im Standard nicht enthalten sind? Legen Sie dazu spezifische Berechtigungsobjekte an. In der Ergebnis- und Marktsegmentrechnung (CO-PA) können Sie Kennzahlen und Ergebnisobjekte (Gruppen von Merkmalen) für die Planung und das Informationssystem definieren. Dabei kann es vorkommen, dass Sie die Berechtigungen auch über diese Merkmale oder Kennzahlen steuern möchten. Dies lässt sich mit den Standardberechtigungsobjekten nicht abbilden. Legen Sie daher Berechtigungsobjekte im Customizing der Ergebnisrechnung an.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann.
Im SAP-Standard sind bereits einige Tabellen für die Protokollierung vorgesehen; einen Überblick über diese Tabellen verschafft Ihnen der SAP-Hinweis 112388 (protokollierungspflichtige Tabellen).