Dateneigentümerkonzept
Nach fehlenden Berechtigungen tracen
Mit dem SAP-Hinweis 1707841 wird eine Erweiterung für den Systemtrace in der Transaktion STAUTHTRACE ausgeliefert, die es ermöglicht, den Berechtigungstrace auf allen oder auf bestimmten Anwendungsservern zu verwenden. Zur Auswahl der Anwendungsserver, auf dem der Trace gestartet werden soll, klicken Sie auf den Button Systemweiter Trace. Markieren Sie nun die Anwendungsserver in der Liste, auf denen der Systemtrace ausgeführt werden soll, und starten Sie den Trace mit einem Klick auf Trace einschalten. In der Auswertung des Berechtigungstrace ist nun eine zusätzliche Spalte Server Name zu sehen, in der Ihnen der Name des Anwendungsservers angezeigt wird, auf dem die jeweiligen Berechtigungsprüfungen protokolliert wurden.
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Fehlgeschlagene Berechtigungsprüfungen in der Transaktion SU53 zentral einsehen
Nun ist das SAP-System grundsätzlich dazu in der Lage, E-Mails zu verschlüsseln. Allerdings fehlt dem System noch der Public Key des Empfängers. Die erforderlichen Public-Key-Informationen verwalten Sie im Adressbuch des Trust Managers. Sie finden das Adressbuch im Menü der Transaktion STRUST unter Zertifikat > Adressbuch. Hier können Sie einzelnen Zertifikate importieren, indem Sie unter Zertifikat > Zertifikat importieren das entsprechende Zertifikat selektieren. Um nun die Zertifikate für alle relevanten Benutzer über einen Massenimport in dieses Adressbuch hineinzubekommen, nutzen Sie am besten das im SAP-Hinweis 1750161 angehängte Beispielprogramm Z_IMPORT_CERTIFICATES als Vorlage für ein kundeneigenes Programm.
Die vier wichtigen Konzepte der SAP Security erfordern erst einmal einen gewissen Aufwand. Sie müssen nicht nur abgestimmt, ausformuliert und bereitgestellt, sondern eben auch fortlaufend aktualisiert und vor allem aktiv gelebt werden. Dennoch ist der Return of Investment groß, denn sie wappnen für alle Fälle, liefern Revisionssicherheit, außerdem ein hohes Schutzpotenzial fürs SAP-System und somit auch für das Unternehmen selbst.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
S_BTCH_ADM erteilt übergeordnete Berechtigungen, die in der Regel nur von Administratoren benötigt werden.
Bei ABS Team nutzen wir eine eigene Kombination aus einer SAP SuccessFactors-Lösung und einer externen Dokumentation dafür.