Hashwerte der Benutzerkennwörter
Vorschlagswerte für Batch-Jobs pflegen
Wie alle anderen Security-Themen auch müssen die SAP-Berechtigungen ins genutzte Framework integriert werden. Die Risiken durch falsch vergebene Berechtigungen sind als sehr hoch einzustufen. Die Definition eines ganzheitlichen Governance-, Risk- und Compliance-Management Systems ist erforderlich. Dieses stellt sicher, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Dementsprechend fließen auch die Risiken, die durch falsch vergebene SAP-Berechtigungen oder durch einen fehlenden Prozess zur Überwachung der Berechtigungen entstehen, hier mit ein.
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Änderungsbelege der Zentralen Benutzerverwaltung verwenden
Der Aufruf Ihrer Implementierung des BAdIs erfolgt als letzter Schritt des Speichervorgangs von Benutzerdaten. Dies gilt für alle Transaktionen oder Funktionsbausteine, die Änderungen an den Benutzerdaten vornehmen. Daher wird das BAdI auch bei der Pflege durch das BAPI BAPI_USER_CHANGE aufgerufen. Dieses BAPI nutzen Sie, wenn Sie einen Self-Service für das Zurücksetzen von Passwörtern implementieren, wie wir es in Tipp 52, »Passwörter mittels Self-Service zurücksetzen«, beschreiben. So ermöglichen Sie den verschlüsselten E-Mail-Versand von Initialpasswörtern im Rahmen eines Self-Services.
Sie möchten den Überblick behalten, welche Änderungen in der Konfiguration der Zentralen Benutzerverwaltung oder an den Verteilungsparametern für die Benutzerstammpflege vorgenommen wurden? Hierzu können Sie die Änderungsbelege zentral verwalten. Über die Zentrale Benutzerverwaltung (ZBV) werden Benutzer angelegt, Rollen zugeordnet und in die jeweiligen Tochtersysteme verteilt. Dafür muss die ZBV einmal initial konfiguriert werden. Dazu gehören u. a. das Definieren der ZBV-Landschaft, d. h. das Festlegen von Zentralsystem und Tochtersystemen, das Einstellen der Verteilungsparameter sowie die Übernahme der Benutzer aus den Tochtersystemen in das Zentralsystem. Die ZBV können Sie auch im Nachhinein noch weiterkonfigurieren. So können Sie z. B. Tochtersysteme hinzufügen oder aus der ZBV herauslösen. Einstellungen zu den Verteilungseigenschaften der Felder können Sie in der Transaktion SCUM verändern, sodass Felder, die ursprünglich global über die ZBV verteilt wurden, auch lokal pflegbar sind. Alle diese Informationen zu den Änderungen an der ZBV-Konfiguration wurden bisher nicht zentral protokolliert.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Dabei sind die einzelnen Berechtigungsobjekte in Objektklassen aufgeteilt.
Mit dem in SAP-Hinweis 1860162 benannten Support Packages wird nun die Transaktion SAIS_SEARCH_APPL ausgeliefert.