Den Zeichenvorrat für die Benutzer-ID einschränken
Konzepte der SAP Security
Um auf Geschäftsobjekte zuzugreifen oder SAP Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da Geschäftsobjekte oder Transaktionen durch Berechtigungsobjekte (Authorization objects) mit mehreren Berechtigungsfeldern (Authorization fields) geschützt werden. Die Berechtigungen stellen Instanzen generischer Berechtigungsobjekte dar und werden abhängig von der Tätigkeit und den Verantwortlichkeiten des Mitarbeiters definiert. Die Berechtigungen werden in einem Berechtigungsprofil (Generated profil) zusammengefasst, das einer Rolle zugeordnet ist. Die Benutzeradministratoren ordnen dann die entsprechenden Rollen (Single role oder Composite role) über den Benutzerstammsatz zu, sodass der Benutzer die entsprechenden Transaktionen für seine Aufgaben verwenden kann.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Den Systemtrace für Berechtigungen nach und nach für jeden Anwendungsserver auszuführen, ist mühselig. Wir zeigen Ihnen daher, wie Sie Berechtigungsprüfungen auf mehreren Servern gleichzeitig aufzeichnen können. Wenn Sie in einem System mit mehreren Anwendungsservern den Systemtrace für Berechtigungen verwenden möchten, müssen Sie beachten, dass der Trace immer nur Daten je Anwendungsserver protokollieren und auswerten kann. Berechtigungsadministratoren müssen daher bei einem Berechtigungsfehler erst prüfen, auf welchem Anwendungsserver der Anwender mit dem Berechtigungsproblem angemeldet ist, um dann den Trace auf diesem Anwendungsserver zu starten. Wir geben Ihnen hier eine Anleitung zum Aufzeichnen von Berechtigungsprüfungen auf bestimmten Anwendungsservern, zeigen Ihnen aber darüber hinaus auch eine Möglichkeit, um diese Funktion zentral zu nutzen.
Herausforderungen im Berechtigungsmanagement
Jedes Unternehmen kennt die Situation, jedes Jahr wieder kündigt sich der Wirtschaftsprüfer an, um die Jahresabschlussprüfung durchzuführen und am Ende der Prüfung die Bilanz zu testieren. Im ersten Teil zu diesem Thema lag der Schwerpunkt auf den relevanten Prozessen und Dokumentationen. In diesem Teil liegt die Konzentration auf einer tieferen Ebene, nämlich direkt im SAP®-System. Die Vorgaben hierfür sollten im SAP®-Berechtigungskonzept bereits verschriftlicht sein.
Die Konfigurationsvalidierung nutzt die Konfigurationsdaten der CCDB für den Abgleich der Einstellungen. Dazu definieren Sie Ihre kundenspezifischen Sicherheitseinstellungen technisch in einem Zielsystem. Dieses enthält die Vorgaben für die Konfiguration der SAP-Systeme. Dabei ist es Ihnen auch möglich, ein Zielsystem, basierend auf den Einstellungen eines existierenden Systems, zu definieren und an Ihre Anforderungen anzupassen. Anschließend vergleichen Sie täglich die Einstellungen Ihrer SAP-Systeme mit diesem Zielsystem und erhalten so einen Überblick über die Abweichungen. Da es natürlich unterschiedliche Sicherheitsanforderungen an die Systeme in Ihrer Landschaft geben kann (z. B. Entwicklungs- und Produktivsysteme), können Sie verschiedene Zielsysteme mit den entsprechenden Einstellungen definieren. Den Abgleich mit einem Zielsystem starten Sie dann jeweils für die relevanten Systeme. Alternativ können Sie auch einen Vergleich mit einem tatsächlich vorhandenen System durchführen; dies ist z. B. im Rahmen eines Roll-outs eine sinnvolle Funktion.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Bei mittelgroßen Unternehmen lohnt sich der Einsatz in der Regel ebenfalls.
In der Tabelle SPTH können Sie Zugriffsrechte für Pfade definieren, und ob für sie eine zusätzliche Berechtigungsprüfung auf das Objekt S_PATH durchgeführt werden soll.