Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden
Wildwuchs mit dem Systemlastmonitor verhindern
Der Zugriff auf Tabellen und Reports sollte nur eingeschränkt erlaubt werden. Eine generelle Vergabe von Berechtigungen, z. B. für die Transaktion SE16 oder SA38, wird nicht empfohlen. Stattdessen können Parameteroder Reporttransaktionen Abhilfe schaffen. Mithilfe dieser Transaktionen können Sie Berechtigungen nur für bestimmte Tabellen oder Reports erteilen. In der Vorschlagswertepflege können Sie weiterführende Berechtigungsobjekte, wie z. B. S_TABU_NAM, pflegen.
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Massenänderungen in der Tabellenprotokollierung vornehmen
Vorschlagswerte werden in der Transaktion SU24 gepflegt und über die Transaktion SU22 ausgeliefert. Lesen Sie hier mehr zu den Unterschieden zwischen diesen beiden Transaktionen. Das Pflegen von Vorschlagswerten über die Transaktion SU24 ist sinnvoll, wenn kundeneigene Anforderungen wiedergespiegelt werden sollen bzw. die von SAP ausgelieferten Werte nicht mit den Kundenanforderungen übereinstimmen (siehe Tipp 37, »Bei der Pflege von Vorschlagswerten sinnvoll vorgehen«). Diese Vorschlagswerte bilden die Grundlage für die Berechtigungsdaten zur Rollenpflege in der Transaktion PFCG. Wie Sie wissen, befinden sich die von SAP ausgelieferten Vorschlagswerte in der Transaktion SU22. Diese werden bei Neuinstallationen oder Upgrades sowie in Support Packages oder SAP-Hinweisen ausgeliefert. Wo liegt nun der Unterschied zwischen den Transaktionen, und wie werden diese richtig verwendet?
Wir empfehlen Ihnen, alle diese Änderungen zu transportieren. Grundsätzlich sollten Sie Änderungen an Organisationsebenen immer auf Ihrem Entwicklungssystem durchführen und dann transportieren. Wenn Sie mehrere Mandanten nutzen, sollten Sie dabei beachten, dass die Organisationsebenen und die Berechtigungsvorschlagswerte mandantenunabhängige Daten sind, wohingegen die betreffenden Rollen und Profile mandantenabhängig sind. Sollten Sie also mehr als einen Mandanten nutzen, müssen Sie zusätzlich den Report PFCG_ORGFIELD_ROLES in den anderen Mandaten ausführen, um die Rollen zu ermitteln, die die neue Organisationsebene enthalten. Mithilfe dieses Reports müssen Sie dann alle Rollen umstellen, die in der Spalte Status: Orgebene in Rolle rot gekennzeichnet sind. Diese Rollen können Sie markieren und sie dann über den Button Orgebenenfeld in Rollen umsetzen an die neue Organisationsebene anpassen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Besitzt ein Unternehmen jedoch kein Konzept für das Einführen neuer SAP-Berechtigungen und werden diese stets mit neuen Rollen gekoppelt, wachsen die Rollen und Berechtigungen immer weiter an.
Gründe für fehlerhafte Organisationsebenen sind Werte, die im Berechtigungsobjekt selbst manuell gepflegt wurden, anstatt über den Button Orgebenen, sowie fehlerhafte Transporte oder fehlerhaft erstellte oder gelöschte Organisationsebenen.