SAP Berechtigungen Abfrage der Daten aus dem Active Directory - SAP Basis

Direkt zum Seiteninhalt
Abfrage der Daten aus dem Active Directory
Berechtigungstraces anwendungsserverübergreifend auswerten
Vereinfachen Sie Ihr Berechtigungskonzept nicht, bevor Sie alle Anforderungen kennen, sondern fragen Sie sich erst, was es zu erreichen gilt. Analysieren Sie also zunächst die Prozesse (wenn möglich auch technisch), und schaffen Sie erst dann ein Konzept. Viele Berechtigungskonzepte, die wir bei Kunden vorfanden, waren nicht dazu geeignet, den Anforderungen gerecht zu werden. Teilweise handelte es sich um »gewachsene« Berechtigungskonzepte (d. h., dass immer wieder Anforderungen hinzukamen) oder um gekaufte Berechtigungskonzepte. Vielen dieser Konzepte war gemeinsam, dass sie nicht einfach, sondern zu stark vereinfacht worden waren. Ein schönes Beispiel sind Berechtigungskonzepte, die alle Organisationsebenen in Werterollen oder Organisationsrollen zusammenfassen. Es gibt wenige Beispiele, wie z. B. den Rollenmanager der Branchenlösung SAP for Defense and Security, in denen das Ergebnis eines Werterollenkonzepts für den Benutzer noch sinnvoll und angemessen ist. Die Annahme, dass man »mal eben« alle Berechtigungsobjekte separiert, die eine Organisationsebene enthalten, ist zwar einfach, aber eben nicht sinnvoll. Die Vereinfachung, dass nur ein Benutzer ohne Berechtigungen definitiv keine rechtswidrigen Berechtigungen haben kann, haben wir in der Praxis nicht vorgefunden. Allerdings gab es immer wieder den Fall, dass Benutzer viel zu viele Berechtigungen besaßen und das System damit nicht mehr rechtskonform war.

Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Berechtigungsobjekte einfacher pflegen
Beachten Sie, dass die Einzelprofile SAP_NEW_ selbst erhalten bleiben sollten, sodass zu jedem Zeitpunkt eine Rückverfolgbarkeit hinsichtlich dessen gewährleistet ist, zu welchem Release welche Berechtigung neu hinzukam. Weitere Informationen können Sie den SAP-Hinweisen 20534, 28175 und 28186 entnehmen. Mit dem SAP-Hinweis 1711620 wird die Funktionalität einer SAP_NEW-Rolle ausgeliefert, die die Funktion des SAP_NEW-Profils ablöst. Haben Sie diesen Hinweis eingespielt, ist das Profil nicht länger zu verwenden. Stattdessen können Sie mithilfe des Reports REGENERATE_SAP_NEW Ihre PFCG-Rolle SAP_NEW selbst generieren. Wenn Sie den Report aufrufen, geben Sie in der Auswahl Ausgangs- und Zielrelease in den entsprechenden Feldern ein, und die Rolle wird für diese Releasedifferenz erstellt.

Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.

Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.

Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.

Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.

Außerdem raten wir Ihnen dringend, die E-Mails mit den Initialpasswörtern verschlüsselt zu verschicken.

Der Benutzerabgleich prüft, welche PFCG-Rollen einem Nutzer zugewiesen sind und weist ebenfalls die dazugehörigen Profile zu.
SAP BASIS
Zurück zum Seiteninhalt