SAP Basis Berechtigungen für die Geschäftslogik einer App - SAP Basis

Direkt zum Seiteninhalt
Berechtigungen für die Geschäftslogik einer App
Einbeziehung von Fachbereichen in die Job Planung
Neue Risiken in SAP HANA: Neben den bekannten Risiken bestehen auch neue Risiken durch die Verwendung von SAP HANA. Ein sehr gutes Beispiel sind häufig verwendete Webanwendungen, die etwas neues im SAP Bereich darstellen. HANA Systeme bestehen im Gegensatz zu einem SAP ERP System hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional zu betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden werden. Das gilt übrigens auch für das SAP Portal oder Netweaver. Es gibt URL-Schemata die zum Auffinden des Systems beitragen. Dies gilt auch für andere SAP Systeme, die Webanwendungen verwenden. Damit ist auch die neue Technologie für typische Webangriffe verwundbar. Zu nennen sind hier SQL Injection, ABAP Code Injection oder XSS. Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA System. Die Daten werden unverschlüsselt im RAM abgelegt. Erst dadurch gewinnt das System diesen Geschwindigkeitsvorteil. Hieraus resultieren Risiken wie ein auslesen durch Memory-scrapingmalware. Diese greifen Daten im Arbeitsspeicher ab. Verschlüsselung kostet Performance, daher wird diese standardmäßig nicht verwendet. Gerade während einer Migration läuft HANA in einem Parallelsystem, daher kommt zu Ihrer Landschaft mindestens ein neues System dazu. Beachten Sie darüber hinaus: HANA hat eigene Tools und eigene Einstellmöglichkeiten die gekannt und konfiguriert werden müssen. Unterm Strich muss beim Betrieb des Systems einfach mehr beachtet werden. Viele Einstellmöglichkeiten resultieren nicht selten in mehr Fehlern. Drei - Punkte - Plan zur HANA Sicherheit 1) Rollen und Berechtigungen Im einem bisherigen SAP System zählen Rollen und Berechtigungen sicherlich auch zu den Hauptsäulen eines sicheren Systems. Rollen und Berechtigungen funktionieren aber anders in einem HANA System. Es gibt zwei Nutzertypen: 1) Standard (eingeschränkt): Mit diesem Nutzertyp gibt es verschiedene Zugriffsmethoden auf die Datenbank. Hier werden beispielsweise die Technologien JDBC oder HTTP verwendet, um zwei Beispiele zu nennen.

Um eine optimale Performance zu erreichen, sollte das Kopieren der Daten beim Kontextwechsel auf ein Minimum beschränkt bleiben, mit anderen Worten, es soll möglichst wenig SAP Roll Memory benutzt werden. Daher wird für alle Betriebssysteme empfohlen, ztta/roll_first = 1 zu setzen. Was passiert nun, wenn der SAP Extended Memory voll belegt ist? In diesem Fall sind zwei Szenarien möglich, die beide nicht performanceoptimal sind: Da der SAP Extended Memory voll belegt ist, werden Benutzerkontexte bis zu einer Größe von ztta/roll_area im lokalen Roll-Bereich abgelegt. Bei jedem Kontextwechsel müssen damit unter Umständen mehrmals Daten in der Größe von mehreren Megabyte kopiert (gerollt) werden; dies führt typischerweise zu Wartesituationen in der Roll-Verwaltung, insbesondere wenn der Roll-Puffer voll ist und Daten in die Roll-Datei geschrieben werden müssen. Erfahrungen zeigen, dass bei großen Applikationsservern mit mehr als 100 Benutzern die Performance in diesen Fällen schlagartig und drastisch einbricht. Um in dieser Situation Abhilfe zu schaffen, kann man den lokalen RollBereich (ztta/roll_area) reduzieren. Wenn der SAP Extended Memory voll belegt ist, wird nur noch wenig Roll Memory verwendet, und die Menge der beim Kontextwechsel zu kopierenden Daten reduziert sich. Stattdessen werden die Kontextdaten im SAP Heap Memory abgelegt – dies hat zur Folge, dass die Workprozesse gar nicht mehr rollen, sondern in den PRIV-Modus gehen, d. h. einem Benutzer zwischen den Transaktionsschritten exklusiv zugeordnet bleiben. Befinden sich zu viele Workprozesse gleichzeitig im PRIV-Modus, stehen dem Dispatcher nicht genügend freie Workprozesse zur Verfügung. Es kann daher zu hohen Dispatcher-Wartezeiten und damit ebenfalls zum Einbruch der Performance kommen.
SE37 Function Builder
Eine maßgeschneiderte Cloud für die unterschiedlichsten Ansprüche von Mittelständlern ist ein wichtiges Rückgrat für geschäftlichen Erfolg. Hierfür begleiten wir auf Augenhöhe Digitalisierungsprojekte unserer Kunden verschiedenster Branchen.

Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.

Bestenfalls wird für die Zeit, in welcher ein Notfallbenutzer im Einsatz ist, ein gesondertes Protokoll über die getätigten Aktivitäten geschrieben, welches anschließend ausgewertet werden kann. In dem nachfolgenden Kapitel möchte ich Ihnen gerne unsere Best-Practice Herangehensweise zur Umsetzung eines Notfallbenutzerkonzepts erklären. Unsere Herangehensweise zur Verwendung von einem Notfallbenutzerkonzept Wir haben gute Erfahrungen mit dem Einsatz der Xiting Authorizations Management Suite (XAMS) in diesem Bereich gemacht. Diese Suite besteht aus verschiedenen Modulen zur Erstellung von Rollenkonzepten, Verwalten von Berechtigungen inklusive eines Berechtigungskonzepts und ermöglicht zudem die Umsetzung von einem Notfallbenutzerkonzept. Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit erweiterten Rechten um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-Service Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von Sonderrechten erfolgen. Das Antragsfenster ist beispielhaft im folgenden Screenshot dargestellt: Auswertung der Nutzung des Notfallbenutzerkonzepts Sobald dieser Antrag angestoßen wurde, wird für den User ein neuer Modus geöffnet, in welchem er mit den erweiterten Rechten arbeiten kann. Zusätzlich, kann je nach Konfiguration ein hinterlegter Workflow als Genehmigungsprozess angestoßen werden, oder es werden vorher definierte Verantwortliche zur Überprüfung der Aktivitäten per Email benachrichtigt. Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten Berechtigungen. Eines dieser Protokolle ist im nächsten Screenshot zu sehen: Diese Protokolle können auch im System angeschaut werden. Hier bekommen Sie nach einer Selektion der User einen Überblick über alle gelaufenen Sessions. Es gibt zusätzlich die Möglichkeit getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung zu genehmigen. Hierdurch kann sich der Verantwortliche einen Überblick über die getätigten Aktivitäten mit dem Notfallbenutzer verschaffen. Wenn Sie dieses Notfallbenutzerkonzept verwenden und die genannten Schritte befolgen können Sie folgende Punkte sicherstellen: Jeder User auf dem Produktivsystem behält seine ursprünglich notwendigen Rechte.

Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.

Aufgrund der Vielfältigkeit an Aufgaben und der hohen Komplexität finde ich meinen Beruf äußerst spannend.

Ergänzend ist für alle o. g. Managed Services zu sagen, dass die Supportlevel und deren Umfang meist kundenindividuell festgelegt werden, je nachdem welchen Grad an Mitwirkung sich der Kunde wünscht.

So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
SAP BASIS
Zurück zum Seiteninhalt