Auswertung der Berechtigungsprüfung SU53
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Falls Ihrem Benutzer das Privileg ROLE ADMIN zugeordnet ist (entweder direkt oder über eine Rolle), können Sie eigene Rollen erstellen und diese Benutzern zuweisen. Dabei können Sie auf vorhandene Privilegien und Rollen zurückgreifen. Die Privilegien selbst werden von Entwicklern mit entsprechenden Berechtigungen zur Erstellung von Anwendungen einschließlich der darin benötigten Privilegien bereitgestellt. Häufig besitzen Sie als Berechtigungsadministrator nicht das Privileg zur Erstellung von Privilegien. Dies ist auch sinnvoll, da nur der Anwendungsentwickler entscheiden kann, welche Eigenschaften die Privilegien für die Nutzung der Objekte in der Anwendung haben sollen. Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Dialogbenutzer sind für die Verwendung durch natürliche Personen gedacht, die sich über SAP GUI am SAP-System anmelden (Dialoganmeldung). Der Dialogbenutzer ist daher der am häufigsten genutzte Benutzertyp. Für ihn gelten die festgelegten Passwortregeln. Wird das Passwort vom Administrator gesetzt, erhält es den Status Initial und muss vom Benutzer bei der Anmeldung erneut gesetzt werden, um den Status Produktiv zu erhalten.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Berechtigungsprofile werden im Standard (seit Release 4.6C) mit den Rollen transportiert. Wünschen Sie dies nicht, müssen Sie den Datenexport im Quellsystem durch den Steuereintrag PROFILE_TRANSPORT = NO unterbinden. Anschließend müssen die Profile vor dem Abgleich der Benutzerstämme im Zielsystem durch eine Massengenerierung erzeugt werden. Dies kann mittels Transaktion SUPC erfolgen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Wir zeigen Ihnen im Folgenden, wie Sie Sicherheitsrichtlinien definieren und wie diese wirken.
Er legt fest, dass die definierten Zugriffbeschränkungen für alle mit Pfad angegebenen Dateien gelten.