SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
Einführung & Best Practices
Der Programmierer einer Funktionalität bestimmt, wo, wie oder ob überhaupt Berechtigungen geprüft werden sollen. Im Programm wird durch die Verwendung der entsprechenden Syntax ermittelt, ob der Benutzer eine ausreichende Berechtigung für eine bestimmte Aktivität hat, indem die im Programm vorgegebenen Feldwerte für das Berechtigungsobjekt mit den in den Berechtigungen des Benutzerstammsatzes enthaltenen Werten verglichen werden.
Bereits beim Anlegen der PFCG-Einzelrollen im jeweiligen SAP-System sollten Sie die Menüstruktur so erstellen, dass sie mit anderen Einzelrollen in einer Sammelrolle zusammengefasst werden können. Haben Sie die Einzelrollen mit dem richtigen Rollenmenü einmal erstellt, können Sie diese einer Sammelrolle zuordnen. Fügen Sie der Sammelrolle das Rollenmenü über den Button Menü einlesen hinzu. Das Menü kann nun final sortiert werden. Sind Änderungen am Rollenmenü notwendig, müssen Sie diese jedoch zuerst in den Einzelrollen vornehmen, um sie dann in der Sammelrolle neu abzumischen (über den Button Abmischen, siehe Abbildung nächste Seite oben). Transaktionen aus anderen SAP-Systemen wie SAP CRM, SAP SCM usw. können Sie ebenfalls in den NWBC einbinden. Zu diesem Zweck legen Sie die PFCG-Einzelrolle für die entsprechenden Transaktionen zunächst im Zielsystem an. Aus den Einzelrollen können Sie wieder Sammelrollen mit einer definierten Menüstruktur erstellen.
Berechtigungen mit dem Status Gepflegt
Berechtigungstools stellen eine große Hilfe dar, um ein stark automatisiertes Compliance Management passgenau an die eigenen Anforderungen im Unternehmen zu konzipieren. Die Einführung von Berechtigungstools nimmt zwar einige Zeit in Anspruch, sollte aber dennoch von Unternehmen in Angriff genommen werden, um die Effizienz langfristig zu steigern und gleichzeitig Kosten zu sparen.
Um den sicheren Betrieb von SAP-Systemen zu unterstützen, bietet SAP ein ganzes Portfolio an Services. Wir stellen Ihnen die vom SAP Active Global Support (AGS) angebotenen Security Services vor. Die Sicherheit eines SAP-Systems im Betrieb hängt von vielen Faktoren ab. Es gibt im SAP-Standard verschiedene Sicherheitsfunktionen, wie z. B. die Benutzerverwaltung, Authentifizierungs- und Verschlüsselungsfunktionen, Sicherheitsfunktionen für Webservices oder die verschiedenen Berechtigungskonzepte. Schwachstellen in der Standardsoftware werden ebenfalls regelmäßig in SAP-Hinweisen und Support Packages behoben. Sie sind verantwortlich für den sicheren Betrieb Ihrer SAP-Systemlandschaften; daher müssen Sie diese Funktionen und Korrekturen in Ihre Systeme einspielen. Die AGS Security Services unterstützen Sie dabei, indem Sie die Erfahrungen des AGS in konsolidierten Best Practices bündeln. Wir stellen diese Services vor und beschreiben, wie Sie mit ihrer Hilfe einen Überblick über die Sicherheit Ihres Betriebskonzepts erlangen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen.
In der Praxis helfen sich Supportmitarbeiter daher oft damit, den Anwender zu bitten, einen Screenshot ausder Transaktion SU53 zu schicken.