Strukturelle Berechtigungen
Analyse von Berechtigungen
Beim Zugriff auf Tabellen oder Views wird mit dem Berechtigungsobjekt S_TABU_DIS die Berechtigung für eine bestimmte Tabellenberechtigungsgruppe in der Berechtigungsprüfung erteilt. Beachten Sie in diesem Zusammenhang auch Tipp 73 »Berechtigungsobjekte für die Tabellenbearbeitung verwenden« und das dort vorgestellte Berechtigungsobjekt S_TABU_NAM. Tabellenberechtigungsgruppen legen Sie mithilfe der Transaktion SE54 oder über den Pflegedialog V_TBRG_54 an. Sie fallen unter das mandantenabhängige Customizing und können bis SAP NetWeaver 7.31 SP 2 lediglich vier Zeichen beinhalten. Zum Anlegen einer Tabellenberechtigungsgruppe rufen Sie die Transaktion SE54 auf und wählen dort im Bereich Bearbeiten Tabelle/View die Option Berechtigungsgruppen aus. Über den Button Anlegen/Ändern gelangen Sie zur Übersicht der bereits vorhandenen Tabellenberechtigungsgruppen. Auf diesem Weg können Sie z. B. auch die Bezeichnung einer Tabellenberechtigungsgruppe ändern. In der Übersicht der Tabellenberechtigungsgruppen klicken Sie auf den Button Neue Einträge, um eine neue Tabellenberechtigungsgruppe anzulegen. Vergeben Sie einen Namen für Ihre Berechtigungsgruppe und eine sprechende Bezeichnung. Nachdem Sie die neuen Einträge gespeichert haben, ist Ihre kundeneigene Tabellenberechtigungsgruppe angelegt.
Eine Rolle, die Sie als Design-Time-Objekt im Design Time Repository erstellt haben, müssen Sie aktivieren, bevor diese einem Benutzer zugeordnet werden kann. Diese Aktivierung führen Sie über den Project Explorer aus, indem Sie die zu aktivierende Rolle auswählen und im Kontextmenü Team > Activate selektieren. Damit erzeugen Sie ein Runtime-Objekt dieser ausgewählten SAP-HANA-Rolle. Dieses Objekt wird auch als Katalogobjekt verstanden und im Zweig Rollen (Roles) im entsprechenden SAP-HANA-System eingegliedert.
Liste der erforderlichen Organisationsebenen sowie deren Wert
Die Auswertungsperformance des Security Audit Logs wurde ab SAP NetWeaver 7.31 optimiert. Für die Einspielung dieser Erweiterung brauchen Sie einen Kernel-Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in SAP-Hinweis 1810913.
Unabdingbar ist das Gebot, adäquate Berechtigungsprüfungen in jede ABAP-Eigenentwicklung zu implementieren. Hierfür wird der sogenannte AUTHORITY-CHECK genutzt, der die erforderlichen Berechtigungsobjekt-Ausprägungen abfragt und somit nur befugte Benutzer den Code ausführen lässt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Über den Button Verzichtbare Einträge werden Ihnen die Attribute angezeigt, die sich nicht von den globalen Einträgen unterscheiden.
Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden.