SAP Berechtigungen Auswertung der Berechtigungsprüfung SU53 - SAP Basis

Direkt zum Seiteninhalt
Auswertung der Berechtigungsprüfung SU53
Zu umfangreiche Berechtigungen beim HR-Reporting verhindern
Als dritte Möglichkeit können Sie ebenfalls seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767) eine Massenpflege von HANA-Benutzern im ABAP-System vornehmen. Diese Funktion ist wichtig, da die Erweiterung der Transaktion SU01 nicht für die Transaktion SU10 gültig ist. Nutzen Sie den Report RSUSR_DBMS_USERS für die Pflege von fehlenden HANA-Benutzern oder fehlenden Zuordnungen zwischen ABAP- und HANA-Benutzern sowie für die Zuordnung bzw. den Entzug von Datenbankrollen für eine große Anzahl Benutzer. Eine ausführliche Beschreibung des Reports finden Sie im SAP-Hinweis 1927767.

Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen.
Traceauswertung optimieren
Die wichtigsten Security Services im Hinblick auf Berechtigungen sind der EarlyWatch Alert (EWA) und der SAP Security Optimization Service (SOS). Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP. Beide Services werden als teilautomatisierte Remote Services geliefert; den SOS können Sie auch als vollautomatisierten Self-Service nutzen. Im EWA und SOS werden Berechtigungsprüfungen durchgeführt, deren Ergebnis immer wie folgt aufgebaut ist: Die Überschrift benennt den betreffenden Check. Ein kurzer Text beschreibt die Bedeutung der geprüften Berechtigung und das Risiko, das bei einer unnötigen Vergabe entsteht. Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an. Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen. Im SOS folgt für jeden Check eine Empfehlung, wie Sie das identifizierte Risiko minimieren können. Eine abschließende formale Beschreibung stellt die geprüften Berechtigungen dar. Es werden allerdings nicht nur die explizit genannten Transaktionen ausgewertet, sondern auch äquivalente Parameter- oder Variantentransaktionen.

Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.

Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.

Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.

Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.

Dieses BAdI deckt die von uns beschriebene Anforderung ab; daher erläutern wir im Folgenden die Implementierung dieses BAdIs.

Wenn Sie in der Transaktion SU01 einen Benutzer in einem SAP-System anlegen, gibt es fast immer bereits Daten zu diesem Benutzer in anderen Systemen.
SAP BASIS
Zurück zum Seiteninhalt