Sicherheit innerhalb des Entwicklungssystems
Berechtigungen nach einem Upgrade anpassen
Grundsätzlich können alle Berechtigungsfelder in die Organisationsebene hochgestuft werden; es gibt allerdings technische Ausnahmen und Felder, bei denen dies nicht sinnvoll ist. Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL. Außerdem können Sie das Feld ACTVT nicht zur Organisationsebene erheben. Sinnvoll sind nur die Felder, die innerhalb einer Rolle mit einem Wertebereich belegt werden können. Dies muss natürlich übergreifend für das Berechtigungskonzept betrachtet werden. So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet. Mit dem Report PFCG_ORGFIELD_CREATE können Sie ein Berechtigungsfeld als Organisationsebene definieren. Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Das System kontrolliert den direkten Zugriff auf die Inhalte von Tabellen, z.B. mit den Transaktionen SE16, SM30 oder SE16N mit Berechtigungsprüfungen auf einer Tabellenberechtigungsgruppe, Objekt S_TABU_DIS. Sind keine geeigneten Berechtigungen für die Tabellenberechtigungsgruppe vorhanden, prüft das System den Namen der Tabelle oder Sicht, Objekt S_TABU_NAM. Bei Änderungen an mandantenunabhängigen Tabellen prüft das System auch die Berechtigungen für das Objekt S_TABU_CLI. Wenn Sie im Customizing zeilenbasierte Berechtigungsprüfungen konfiguriert haben, prüft das System auch das Berechtigungsobjekt S_TABU_LIN. Ordnen Sie einer Tabellenberechtigungsgruppe mit der Transaktion SE11 oder SE54 Tabellen oder Sichten zu. Sie können Tabellenberechtigungsgruppen auch mit der Transaktion SE54 definieren. Wenn Ihre Kundenentwicklung einen direkten Zugriff auf eine Tabelle implementiert, verwenden Sie den Funktionsbaustein VIEW_AUTHORITY_CHECK für die Durchführung der Berechtigungsprüfung. Weitere Informationen über den generischen Zugriff auf Tabellen finden Sie im SAP-Hinweis 1434284 Auf SAP-Site veröffentlichte Informationen und der Online-Dokumentation für die oben genannten Berechtigungsobjekte.
SAP Security Automation
Möchten Sie den Benutzern nur Zugriff auf einzelne Tabellenzeilen erlauben, können Sie auf das Berechtigungsobjekt S_TABU_LIN zurückgreifen, das den Zugriff auf bestimmte Zeilen einer Tabelle für dafür definierte Organisationskriterien erlaubt. Voraussetzung für diese Art der Berechtigung ist, dass die Tabellen über Spalten mit solchen organisatorischen Werten, wie z. B. Werk, Land, Buchungskreis usw., verfügen. Diese organisatorischen Werte müssen Sie nun im System als Organisationskriterien, die betriebswirtschaftliche Arbeitsbereiche abbilden, konfigurieren; sie dienen als Brücke zwischen den organisatorischen Spalten in den Tabellen und der Verwendung als Berechtigungsfeld im Berechtigungsobjekt. Da die Organisationskriterien in mehreren Tabellen vorkommen, muss diese Berechtigungsprüfung nicht an bestimmte Tabellen gebunden sein und kann tabellenübergreifend definiert werden.
Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Durch das Vorhandensein von Vorschlagswerten aus der Transaktion SU24 werden die zu den jeweiligen externen Services gehörigen Berechtigungsvorschlagswerte in die PFCG-Rolle geladen, was zur Folge hat, dass dort zu viele unnötige Berechtigungsobjekte untergebracht werden.
Wenn die Entwicklungsrichtlinien nicht vollständig sind, sollten Sie diese ergänzen.