Notfalluserkonzept
Die Vergabe von kritischen Berechtigungen und Handhabung von kritischen Benutzern
Möchten Sie verstehen, wie eine Berechtigungsprüfung im Code durchlaufen wird, können Sie den Debugger nutzen, um sich Schritt für durch die Berechtigungsprüfung zu bewegen. Um eigene Berechtigungsprüfungen zu implementieren, kann es hilfreich sein sich anzusehen, wie solche Prüfungen im SAP-Standard umgesetzt wurden. In diesem Tipp zeigen wir Ihnen, wie Sie sich den Quellcode von Berechtigungsprüfungen mithilfe des Debuggers im Programm anschauen können bzw. wie Sie an die Codestellen gelangen, an denen die Berechtigungsprüfungen implementiert sind.
Sie führen SAP HANA in Ihrem Unternehmen ein und brauchen für Zugriffe auf die Datenbank auch eine Benutzerverwaltung für SAP HANA? Wir zeigen Ihnen die verschiedenen Möglichkeiten der Benutzersynchronisation zwischen ABAP-System und HANA-Datenbank. Die HANA-Datenbank dient ebenso wie die klassischen Datenbanken als Persistenz für das ABAP-System und liegt damit in der Datenbankschicht. In einem solchen Szenario steuern Sie die Berechtigungen der Benutzer über die Applikationsschicht im SAP NetWeaver Application Server ABAP (SAP NetWeaver AS ABAP). Datenbankseitig, d. h. in SAP HANA sind nur technische Benutzer erforderlich. Darüber hinaus gibt es aber auch Anwendungsszenarien, die es erforderlich machen, dass Ihre Anwender Benutzer und Berechtigungen direkt in der HANA-Datenbank erhalten. Im Business-Intelligence-Umfeld (BI-Umfeld) kann dies z. B. bei direkten Zugriffen auf Data Marts in der Datenbank der Fall sein. Zusätzlich hat die HANA-Datenbank eine eigene Anwendungsschicht (SAP HANA Extended Application Services, SAP HANA XS), die Sie auch ohne ABAP-System nutzen können, z. B. für Webzugriffe, die von mobilen Endgeräten ausgehen.
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Über die Schaltfläche Feldpflege können auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Sie möchten bei der Anlage von Benutzern in der Transaktion SU01 bestimmte Felder aus einer Datenquelle automatisiert vorbelegen? Nutzen Sie dafür ein neues BAdI, für das wir ein Implementierungsbeispiel vorstellen.
Eine solche Organisationsmatrix können Sie als Excel-Datei oder in ABAP anlegen; dies hängt davon ab, wie Sie die Daten einlesen möchten.