Rollenverwaltung
Security Automation bei SAP Security Checks
Jede Rolle kann auf beliebig viele Transportaufträge geschrieben werden. Eine Information über existierende Aufzeichnungen derselben Rolle durch andere Administratoren findet nicht statt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Rote Ampeln nach einem Rollentransport verheißen nichts Gutes. Um die Aktualität der Profilzuordnung zu jeder Zeit sicherzustellen, sollten Sie regelmäßig einen Benutzerabgleich durchführen. Sicherlich haben Sie festgestellt, dass es Situationen gibt, in denen die Profile Ihrer Anwender nicht aktuell sind. Dies kann z. B. nach einem Rollentransport oder beim Zuweisen von Benutzern zu Rollen in der Transaktion PFCG geschehen. Es verhält sich ähnlich, wenn Sie die Rollen indirekt über das Organisationsmanagement (siehe Tipp 13, »Rollen über das Organisationsmanagement zuordnen«) zuordnen oder die Gültigkeitsdauer von Rollen für Benutzer einschränken. In diesen Fällen kann es sein, dass der Anwender zwar über eine PFCG-Rollenzuweisung verfügt, das dazugehörige Profil allerdings nicht aktuell ist. Eine rote Ampel vor einem Rollennamen im Benutzerstamm in der Transaktion SU01 oder eine gelbe Ampel in der Transaktion PFCG auf der Registerkarte Benutzer macht Sie auf solche Unstimmigkeiten aufmerksam.
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
DDIC: DDIC ist als einziger Benutzer während Installationen und Releasewechseln in der Lage, sich anzumelden bzw. Änderungen am ABAP Dictionary vorzunehmen. Außerdem wird er im Mandanten 000, z. B. für bestimmte Jobs oder Unicode-Umwandlungen, verwendet. DDIC existiert in allen Mandanten außer im Mandanten 066. Schutzmaßnahmen: Setzen Sie DDIC in allen Systemen (außer im Mandanten 000 wegen der Upgrade-Funktionen) auf den Benutzertyp System. Bei Bedarf können Sie ihn mithilfe des Notfallbenutzers wieder auf einen Dialogbenutzer umstellen. Ändern Sie das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Sie kennen das bestimmt: Man sucht eine bestimmte kundeneigene Customizing-Tabelle und findet sie nicht. Binden Sie die Tabellen in den Einführungsleitfaden ein, und sie sind leicht auffindbar. Kundeneigenes Customizing kommt bei fast jedem SAP-Kunden zum Einsatz. Dazu werden kundeneigene Customizing-Tabellen angelegt und Standardprogramme erweitert. Ein kundeneigenes Programm, das kundeneigenes Customizing verwendet, ist schnell geschrieben. Durch Projektdruck fehlt oft die Zeit für eine ausreichende Dokumentation, z. B. im SAP Solution Manager. Am einfachsten ist es, wenn Customizing-Tabellen dort wiederzufinden sind, wo sie auch im SAP-Standard stehen: im SAP-Einführungsleitfaden (IMG).
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Diese neue Verhaltensweise für das Profil SAP_ALL können Sie durch die Einstellung des Customizing-Schalters ADD_S_RFCACL auf den Wert YES in der Tabelle PRGN_CUST wieder abschalten.
Sollte ein kritisches Merkmal (rot hinterlegt) erkannt werden, wird der Meldungstext »Programm RSUSR003 meldet ›Security violation‹« in das System-Log geschrieben.