SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Löschen von Tabellenänderungsprotokollen
Das SAP Berechtigungskonzept ist generell in zwei Ausprägungen zu erstellen: für den ABAP– sowie den Java-Stack. Welche Rollen benötigt werden, welche Rolle welche SAP-Funktionen aufrufen darf und weitere konzeptionelle Fragen sind dabei identisch. Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.
Wenn Sie den Profilparameter dynamisch setzen, werden keine Benutzer vom Anwendungsserver abgemeldet. Wartungsarbeiten können Sie damit rechtzeitig vorbereiten. Der Wert 2 im Profilparameter unterbindet nicht die Anmeldung mit dem Notfallbenutzer SAP*, sofern dieser nicht als Benutzerstammsatz angelegt ist und der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt ist. Außerdem können Sie den Wert des Parameters auf der Betriebssystemebene wieder ändern. Details zum Benutzer SAP* finden Sie in Tipp 91, »Mit den Standardbenutzern und deren Initialpasswörtern umgehen«.
Gewährleistung einer sicheren Verwaltung
Zum Aufbau einer effizienten und konsistenten Struktur im Bereich des SAP-Berechtigungswesens sind funktionsbezogene Rollen- und Berechtigungszuweisungen das A und O. Zudem muss das bestehende Berechtigungskonzept stetig auf Änderungen und sicherheitsrelevante Fehler durch ein proaktives Monitoring analysiert werden. Damit beugen Sie negativen und höchst sicherheitskritischen Auswirkungen auf Ihre gesamte Systemlandschaft vor. Um Ihnen diese Aufgabe zu erleichtern, stellt Ihnen das Unternehmen Xiting ein umfassendes Analysewerkzeug, den Xiting Role Profiler, zur Verfügung. Darüber hinaus können Sie schon vorab eine Grundanalyse fahren, die auch Hauptaugenmerk dieses Blogs sein wird. Ziel ist es, Ihnen SAP Standardmethoden aufzuzeigen, mit denen Sie bereits selbstständig Ihre Berechtigungs- und Rollenverwaltung optimieren können.
Eine Alternative zur Verwendung des Berechtigungsobjekts S_TABU_LIN ist die Erstellung von kundeneigenen Tabellen-Views, über die eine organisatorische Abgrenzung leichter zu erreichen ist. Hierzu legen Sie einen neuen View in der Transaktion SE11 an und fügen die Tabelle, für die die Einschränkung gelten soll, auf der Registerkarte Tabellen/Joinbedingungen hinzu. Über die Registerkarte Selektionsbedingungen können Sie Ihre einschränkende organisatorische Bedingung in Form eines Feldes und eines Feldwerts angeben. Anschließend berechtigen Sie alle relevanten Benutzer zum Zugriff auf den View, der nur Daten für Ihre organisatorische Einschränkung beinhaltet.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Um in Notsituationen jederzeit vollumfänglich agieren zu können, ist ein SAP-Notfallbenutzer bereitzuhalten, der über alle Berechtigungen fürs gesamte SAP-System verfügt (typischerweise mittels Sammelprofil SAP_ALL).
Sie haben Ihr Berechtigungskonzept um das Berechtigungsobjekt S_TABU_NAM erweitert, sodass die Anwender nicht nur über das Berechtigungsobjekt S_TABU_DIS, sondern auch über S_TABU_NAM Zugriff auf die Tabellen erhalten.