Pflege der Berechtigungsobjekte (Transaktion SU21)
Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Die Vergabe des Profils SAP_ALL ist für den Betrieb eines SAP-Systems nicht erforderlich; daher wird für den ersten Check ein gelbes Symbol angezeigt, sobald ein Benutzer das Profil zugeordnet hat. Für die anderen sechs Checks auf kritische Basisberechtigungen wird das gelbe Symbol angezeigt, sobald ein Mandant auf dem System gefunden wird, für den mindestens eine der beiden folgenden Bedingungen zutrifft: Mehr als 75 Benutzer verfügen über die in diesem Check geprüfte Berechtigung. Mehr als 10 % aller Benutzer verfügen über die in diesem Check geprüfte Berechtigung, mindestens jedoch elf Benutzer.
Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer
Sollten Sie den Haken zur Tabellenprotokollierung für mehrere Tabellen setzen wollen, müssen Sie beachten, dass die Grundsätze zur Änderung von Dictionary-Objekten gelten, d. h., dass Sie in laufenden Systemen eine erhöhte Systembelastung erzeugen. Deshalb sollten Sie sowohl die Änderung als auch den Transport der Änderungen außerhalb der Geschäftszeiten durchführen. Im SAP-System sind standardmäßig nur Customizing-Tabellen zur Tabellenprotokollierung vorgesehen; daher brauchen Sie keine Bedenken wegen der Performance zu haben. Tabellen, die dem Customizing dienen, enthalten in der Regel nur relativ wenige Daten, die eher selten geändert werden. Sie sollten aber die Tabellenprotokollierung nicht für Tabellen einschalten, die Massenänderungen unterliegen, da es ansonsten zu Problemen mit der Performance und dem Speicherplatz kommen kann. Dies gilt für Tabellen mit Stamm- oder Bewegungsdaten. Denn wenn die Tabellenprotokollierung eingeschaltet ist, wird für jede Änderung am Inhalt einer protokollierten Tabelle ein Protokolleintrag in der Tabelle DBTABLOG erzeugt.
Bei der FIORI Umgebung gibt es grundsätzlich zwei unterschiedliche Arten von Zugriffen über eine Kachel. Zum einen die transaktionalen Kacheln, zum anderen die nativen oder analytischen Kacheln :
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Details zu den technischen Verbesserungen finden Sie im SAP-Hinweis 1964997.
Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig.