Vollständige Prüfung der Berechtigungen für die Benutzergruppe beim Anlegen des Benutzers
Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
Die mit dem Berechtigungstrace (mit Filter für das Berechtigungsobjekt S_DATASET) gewonnenen Daten können Sie natürlich auch gleich zur Ausprägung von Berechtigungen für das Objekt selbst verwenden. Hierzu sollten Sie in jedem Fall auch die für das Feld PROGRAM gewonnenen Werte nutzen. Auf diese Weise schließen Sie den Missbrauch durch modifizierte Kopien von ABAP-Programmen aus. Diese Einschränkung der zugreifenden Programme stellt bereits einen Sicherheitsgewinn dar, auch wenn Sie den Zugriff auf Pfade und Dateien nicht einschränken möchten.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Aus dem Ergebnis der statistischen Nutzungsdaten können Sie ablesen, welche Transaktionen (ENTRY_ID) wie häufig (COUNTER) und von wie vielen verschiedenen Benutzern verwendet wurden. Aus dieser Information lassen sich verschiedene Anhaltspunkte ableiten. Transaktionen, die z. B. von einem Benutzer innerhalb von zwölf Monaten nur einmal verwendet wurden, könnten auf einen sehr privilegierten Benutzer oder aber auf den versehentlichen Aufruf einer Transaktion hindeuten, für die ein Benutzer Berechtigungen hat. Die künftige Zuordnung solcher Transaktionen im SAP-Rollenkonzept sollte dann kritisch hinterfragt werden. Demgegenüber sollten Sie Transaktionen mit einem hohen Nutzungsgrad und einem großen Benutzerkreis (z. B. mit mehr als zehn Benutzern) sinnvollerweise in einem SAP-Rollenkonzept berücksichtigen.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Wie mache ich einen Berechtigungstrace auf einen Benutzer (STAUTHTRACE)? Mit dem Berechtigungstrace kannst du aufzeichnen, welche Berechtigungsobjekte von einem Benutzer verwendet werden. Dies hilft bspw. bei der Erstellung geeigneter Rollen: - Rufe die Transaktion STAUTHTRACE auf - Gib den gewünschten Benutzer an und starte den Trace - Lasse den Benutzer seine Transaktion aufrufen - Stoppe den Trace (Wichtig, nicht vergessen!) - Werte die Ergebnisse aus.
Zusätzlich können Sie im SOS auch kundeneigene Berechtigungsprüfungen definieren und dabei auch Kombinationen von Berechtigungsobjekten und deren Werten festlegen. Sie können bis zu 1.000 kundeneigene Berechtigungsprüfungen im Check-ID-Namensraum 9000 bis 9999 anlegen. Auch für diese Berechtigungsprüfungen können Sie wieder Whitelists definieren, die entweder für einzelne oder alle kundeneigenen Berechtigungsprüfungen gelten. Die Konfiguration ist im SAP-Hinweis 837490 beschrieben.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Durch einen Klick auf eine solche Komponente erhält der Anwender Zugriff auf bestimmte CRM-Funktionen.
Wird bei der Anlage eines Benutzers keine Benutzergruppe zugeordnet, wird dem Benutzer automatisch die Standardbenutzergruppe zugewiesen.