Fehlende Definition eines internen Kontroll-Systems (IKS)
Reports starten
Der erste Schritt beim Bereinigen besteht daher darin herauszufinden, ob das aktuelle Berechtigungskonzept ausreicht und eine Bereinigung der beste Weg ist, oder ob ein Neuaufbau des Berechtigungskonzeptes notwendig ist. Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.
Berechtigungsdaten der Rolle, die durch die letzte Bearbeitung gespeichert wurden, werden angezeigt. Diese Option ist nicht empfehlenswert, wenn Transaktionen im Rollenmenü geändert wurden.
Systemsicherheit
Die erste Zeile definiert, dass der Zugriff auf alle Dateien verboten ist, sofern für sie nicht in den weiteren Zeilen andere Einstellungen vorgenommen worden sind. Der Asterisk (*) steht hier an erster Position und in diesem Fall für alle Dateien und Pfade. Steht der Asterisk an einer anderen Position, wird er als Teil des Dateinamens interpretiert, was z. B. in Microsoft Windows gar nicht erlaubt ist. In unserer Beispieltabelle wird durch das Setzen der Schalter FS_NOREAD = X und FS_NOWRITE = X für alle Pfade das Lesen und Schreiben untersagt. Die Tabelle wird damit zu einer White List. Diese ist aus Sicherheitsgründen einer Black List vorzuziehen. SPTH wird dagegen zur Black List, wenn Sie die erste Zeile mit PATH = * in unserem Beispiel entfernen oder keinen der Schalter FS_NOREAD, FS_NOWRITE oder FS_BRGRU setzen. Die zweite Zeile mit PATH = /tmp erlaubt als Ausnahme von dem in der ersten Zeile für alle Dateien und Pfade definierten Zugriffsverbot den Lese- und Schreibzugriff für alle Dateien, die mit /tmp beginnen, analog zu einem Berechtigungswert /tmp*. Diese Einstellung beschränkt sich nicht auf Unterverzeichnisse, sondern umfasst z. B. auch alle Dateien, deren Name mit /tmp-xy beginnt. Die dritte Zeile mit PATH = /tmp/myfiles definiert mit FS_BRGRU = FILE eine Berechtigungsgruppe und löst damit die anschließende Berechtigungsprüfung auf das Objekt S_PATH aus. Der Schalter SAVEFLAG = X definiert, dass diese Dateien in eine Sicherungsprozedur aufgenommen werden; dies ist allerdings für die Berechtigungsvergabe nicht relevant.
Nach der Erstellung eines Berechtigungsobjekts sollten Sie noch die folgenden Aufgaben ausführen: Nehmen Sie die Implementierung der Berechtigungsprüfung an einer geeigneten Stelle im Code vor. Pflegen Sie die Vorschlagswerte für die betreffende Anwendung in der Transaktion SU24. Laden Sie die Rolle nochmals neu in die Transaktion PFCG, wenn die Anwendung bereits in Rollen berechtigt wurde. Handelt es sich um eine neue Anwendung, passen Sie die Rollen an, indem Sie die neue Anwendung ins Rollenmenü aufnehmen und anschließend die Berechtigungen der Berechtigungsobjekte pflegen, die über die Vorschlagswerte in die Rolle geladen worden sind.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
In der Auswertung sind neben Datum, Uhrzeit und Änderer auch Informationen zur jeweiligen Modellsicht, zum Status des konfigurierten Systems und zur vorgenommenen Aktion (alter Wert und neuer Wert) enthalten.
Der Benutzer ist der Person als Attribut zugeordnet und deshalb im Organisationsmodell nicht sichtbar.