Security Automation bei SAP Security Checks
Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen
Um auf betriebswirtschaftliche Objekte zuzugreifen oder SAP-Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da betriebswirtschaftliche Objekte oder Transaktionen durch Berechtigungsobjekte geschützt sind. Die Berechtigungen stellen Instanzen der generischen Berechtigungsobjekte dar und sind je nach Tätigkeit und Zuständigkeit des Mitarbeiters ausgeprägt. Die Berechtigungen werden in einem Berechtigungsprofil zusammengefasst, das zu einer Rolle gehört. Die Benutzeradministratoren weisen dem Mitarbeiter dann über den Benutzerstammsatz die entsprechenden Rollen zu, damit dieser für seine Aufgaben im Unternehmen die jeweiligen Transaktionen nutzen kann.
Daraus folgt auch, dass die Änderungsbelege in Excel vorgehalten werden müssen. Die Excel-Datei darf nicht verlorengehen oder etwa beschädigt werden.
Basisadministration
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Das Feld RESPAREA hat einen Pflegedialog, der die Eingabe von Verantwortungsbereichen erlaubt. Der Pflegedialog wird als Baustein aufgerufen und bietet je nach Berechtigungsobjekt unterschiedliche Registerkarten für die Eingabe. Wenn Sie nun das Feld RESPAREA zur Organisationsebene erklären, müssen Sie zuvor die Anzeige der Registerkarten für die Eingabe im Customizing festlegen. Dazu müssen Sie in der mandantenunabhängigen Tabelle KBEROBJ mithilfe der Transaktion SE16 einen Eintrag hinzufügen. In diesem Eintrag lassen Sie das erste Feld OBJECT leer. Das Feld CURRENTOBJ muss gepflegt werden, da es die Registerkarte definiert, die beim Aufruf der Pflege angezeigt wird, also die Default-Registerkarte. Ist dieses Feld leer, kann kein Startbild ermittelt werden, und es kommt zu Fehlern. Die folgenden Felder bestimmen die Inhalte der verschiedenen Registerkarten und sollten daher auch gepflegt werden, damit Sie RESPAREA als Organisationsebene nutzen können. Dies sind die Felder OBJECT1 bis OBJECT7 für die erste bis siebte Registerkarte. In diesen sieben Feldern definieren Sie, welche Werte Sie auf den Registerkarten eingeben können.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Das Organigramm des Unternehmens ist im SAP HCM hinterlegt.
Dieser zeigt an, welche Berechtigungen Benutzer tatsächlich verwenden.