Unsere Services im Bereich SAP-Berechtigungen
SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Ein Anwender meldet sich, dass ihm ein Berechtigungsfehler angezeigt wird, obwohl Sie ihm die erforderlichen Berechtigungen erteilt haben. Dies könnte an einer fehlerhaften Pufferung der Berechtigungsdaten liegen. Obwohl einem Benutzer eine Rolle mit den korrekten Berechtigungsdaten zugeteilt wurde, wird diesem Benutzer ein Berechtigungsfehler aufgrund von fehlenden Berechtigungen angezeigt. Dies mag auf den ersten Blick überraschen, kann aber fast immer durch eine kurze Analyse behoben werden.
Die mit dem Berechtigungstrace (mit Filter für das Berechtigungsobjekt S_DATASET) gewonnenen Daten können Sie natürlich auch gleich zur Ausprägung von Berechtigungen für das Objekt selbst verwenden. Hierzu sollten Sie in jedem Fall auch die für das Feld PROGRAM gewonnenen Werte nutzen. Auf diese Weise schließen Sie den Missbrauch durch modifizierte Kopien von ABAP-Programmen aus. Diese Einschränkung der zugreifenden Programme stellt bereits einen Sicherheitsgewinn dar, auch wenn Sie den Zugriff auf Pfade und Dateien nicht einschränken möchten.
Rollenmassenpflege mithilfe von eCATT vornehmen
Im Rahmen von Upgrades müssen auch die Berechtigungsrollen überarbeitet werden. In diesem Zusammenhang können Sie das Profil SAP_NEW zur Unterstützung verwenden. Während eines Upgrades werden Änderungen und Verbesserungen von Berechtigungsprüfungen im SAP NetWeaver AS ABAP ausgeliefert. Damit die Benutzer weiterhin wie gewohnt Ihre bisherigen Aktionen im SAP-System durchführen können, müssen Sie als Berechtigungsadministrator die Berechtigungsausprägungen im Rahmen des etablierten Berechtigungskonzepts überarbeiten bzw. ergänzen. Grundsätzlich nutzen Sie hierzu die Transaktion SU25. Für die Übergangszeit können Sie die Berechtigung SAP_NEW einsetzen, bis das Berechtigungskonzept auf dem aktuellen Stand für das neue Release ist. Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Ihre SAP-Systemlandschaft halten Sie sicher und aktuell, indem Sie verschiedene Arten von SAP-Hinweisen und Patches einspielen. Eine erste Übersicht zu den Sicherheitshinweisen für SAP-Systeme finden Sie im SAP Service Marketplace unter https://service.sap.com/securitynotes. Eine vollständige Liste aller Sicherheitshinweise für alle SAP-Lösungen (SAP NetWeaver Application Server ABAP und Java, TREX, SAP HANA, Sybase, SAP GUI usw.) finden Sie über Security Notes Search auf dieser Seite. Mit der Seite My Security Notes können Sie die SAP-Hinweise finden, die für im SAP Service Marketplace registrierte Systeme relevant sind. Hier werden bereits eingespielte Hinweise allerdings nicht berücksichtigt.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Berechtigungen für Datenbankschemata (Schema Privileges): Schema Privileges sind SQL-Objekt-Berechtigungen, die den Zugriff auf und das Ändern eines (Datenbank-)schemas einschließlich der in diesem Schema enthaltenen Objekte steuern.
Hat der Eintrag ADD_S_RFCACL den Wert YES, enthält SAP_ALL also weiterhin die Gesamtberechtigung für das Berechtigungsobjekt S_RFCACL.