Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
SAP S/4HANA: Analyse und einfache Anpassung Ihrer Berechtigungen
Nach der Erstellung eines Berechtigungskonzepts beginnt die Umsetzung im System. Auf dem Markt gibt es Lösungen, die auf der Basis von Microsoft Excel PFCG-Rollen im Handumdrehen anlegen. Sie sollten allerdings einiges beachten. Sie haben Ihre Rollen in Form von Rollenmatrizen und Ihre Organisationsebenen (Orgebenen) in Form von Organisationssets (Orgsets) definiert? Das alles haben Sie in Excel-Dokumenten gespeichert und wünschen sich nun eine Möglichkeit, um diese Informationen einfach per Knopfdruck in PFCG-Rollen zu gießen, ohne langwierig Rollenmenüs erstellen oder anschließend große Mengen von Rollen ableiten zu müssen, je nachdem wie viele Organisationssets Sie definiert haben?
Viele Unternehmen schenken dem Thema Berechtigungen in SAP SuccessFactors nicht genug Beachtung. Oft erscheint es zu komplex und unübersichtlich. Sowohl die Erstellung eines Konzepts als auch die Harmonisierung bestehender Strukturen erscheint häufig wie eine Mammut-Aufgabe. SAP liefert mit den rollenbasierten Berechtigungen jedoch ein sehr starkes Steuerungstool, welches mit ein wenig Hilfe und Dokumentation übersichtlich bleibt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Verwalten Sie Benutzer und deren Berechtigungen in sämtlichen SAP-Systemen zentral und effizient mit unsere Lösung für Ihr SAP Berechtigungsmanagement: Generieren Sie automatisch Berechtigungsrollen für Benutzer und ordnen diese zu.
Im Rahmen von Webanwendungen werden die Anwendungsoberflächen hingegen in einem Webbrowser abgebildet.