Rollenzuordnung auf der Benutzerebene konsolidieren
SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
Authorization object: Berechtigungsobjekte sind Gruppen von Berechtigungsfeldern, die eine bestimmte Aktivität steuern. Berechtigungsobjekte sollten immer im Vorfeld mit dem Nutzerkreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.
Benutzerinformationssystem (SUIM)
Möchten Sie den Benutzern nur Zugriff auf einzelne Tabellenzeilen erlauben, können Sie auf das Berechtigungsobjekt S_TABU_LIN zurückgreifen, das den Zugriff auf bestimmte Zeilen einer Tabelle für dafür definierte Organisationskriterien erlaubt. Voraussetzung für diese Art der Berechtigung ist, dass die Tabellen über Spalten mit solchen organisatorischen Werten, wie z. B. Werk, Land, Buchungskreis usw., verfügen. Diese organisatorischen Werte müssen Sie nun im System als Organisationskriterien, die betriebswirtschaftliche Arbeitsbereiche abbilden, konfigurieren; sie dienen als Brücke zwischen den organisatorischen Spalten in den Tabellen und der Verwendung als Berechtigungsfeld im Berechtigungsobjekt. Da die Organisationskriterien in mehreren Tabellen vorkommen, muss diese Berechtigungsprüfung nicht an bestimmte Tabellen gebunden sein und kann tabellenübergreifend definiert werden.
Die zweite Möglichkeit ist die Pflege der HANA-Benutzer über die Transaktion SU01. Diese Möglichkeit besteht seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767). Dazu richten Sie über die Transaktion DBCO eine Verbindung zur Datenbank ein, die Sie über den Report ADBC_TEST_CONNECTION testen können. Dieser Report wird mit dem SAP-Hinweis 1750722 ausgeliefert. Im nächsten Schritt tragen Sie die Datenbankverbindung und den Mandanten, in dem die Funktionalität zur Verfügung stehen soll, in die Tabelle USR_DBMS_SYSTEM ein. Nun steht Ihnen die neue Funktionalität in der Transaktion SU01 über die Registerkarte DBMS zur Verfügung. Mit der Anlage des ABAP-Benutzers wird automatisch ein Benutzer in der Datenbank angelegt und eine Zuordnung zwischen ABAP-Benutzer und Datenbankbenutzer gespeichert. Dem Datenbankbenutzer (DBMS Benutzer) können Sie dann in der Spalte Datenbankmanagementsystem-Rolle Datenbankrollen zuweisen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Welches Ziel hat eine Rolle? Welcher User besitzt welche Berechtigung? Durch die Menge an Rollen und Berechtigungen wird es für die Anwender schnell unübersichtlich.
Sollten Sie trotz der regelmäßigen Archivierung und Indizierung der Änderungsbelege Ihrer Benutzer- und Berechtigungsverwaltung noch Probleme mit der Performance der Auswertung haben, liegt dies vermutlich an der Menge der zentralen Änderungsbelege.