SAP S/4HANA® Migrationsprüfung
Architektur von Berechtigungskonzepten
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Der Aufruf Ihrer Implementierung des BAdIs erfolgt als letzter Schritt des Speichervorgangs von Benutzerdaten. Dies gilt für alle Transaktionen oder Funktionsbausteine, die Änderungen an den Benutzerdaten vornehmen. Daher wird das BAdI auch bei der Pflege durch das BAPI BAPI_USER_CHANGE aufgerufen. Dieses BAPI nutzen Sie, wenn Sie einen Self-Service für das Zurücksetzen von Passwörtern implementieren, wie wir es in Tipp 52, »Passwörter mittels Self-Service zurücksetzen«, beschreiben. So ermöglichen Sie den verschlüsselten E-Mail-Versand von Initialpasswörtern im Rahmen eines Self-Services.
Rollenmassenpflege mithilfe von eCATT vornehmen
Weitere Änderungen sind bei der Verwendung des Verwendungsnachweises zu finden. Wenn Sie auf den Button (Verwendungsnachweis) klicken, erhalten Sie eine neue Auswahl. Sie können prüfen, in welchen Berechtigungen, SU24-Vorschlagswerten oder SU22-Vorschlagswerten das Berechtigungsobjekt Verwendung findet. Über die Auswahl ABAP-Workbench gelangen Sie, wie in früheren Releases auch, zum Verwendungsnachweis zur Implementierung des Berechtigungsobjekts in Programmen, Klassen usw.. Mithilfe des Buttons SAP NEW Daten können Sie markieren, ob dieses Berechtigungsobjekt relevant für eine SAP-New-Rolle eines bestimmten Release ist.
Hier musste ich dann ebenfalls einen Moment suchen an welcher Stelle für SAP Keyuser und nicht nur für die SAP Basis im SAP System eine Berechtigung aufrufbar ist und mag dieses gerne zum Anlass nehmen um hier im Artikel ein paar Grundlagen zur "Anatomie" der SAP Berechtigungen schreiben. Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Nachdem alle Berechitgungen gepflegt sind muss die Rolle gesichert und generiert werden sowie ein Benutzerabgleich ausgeführt werden.
Die Einstellungen der Tabellen zur Protokollierung können Sie mit dem Report RDDPRCHK bzw. der Transaktion RDDPRCHK_AUDIT im SAP-System auswerten.