Berechtigungen für die SAP-Hintergrundverarbeitung vergeben
Zu umfangreiche Berechtigungen beim HR-Reporting verhindern
Schützen Sie Ihr System vor unbefugten Aufrufen von RFC-Funktionsbausteinen über das Berechtigungsobjekt S_RFC, indem Sie die erforderlichen Berechtigungen mithilfe der statistischen Nutzungsdaten ermitteln. In vielen Unternehmen liegt das primäre Augenmerk im Berechtigungsumfeld auf dem Schutz von Dialogzugriffen. Für jede erforderliche Transaktion entscheiden Sie im Einzelnen, welche Personengruppen Zugriff erhalten dürfen. Oft wird dabei übersehen, dass für das kritische Berechtigungsobjekt S_RFC eine analoge Berechtigungszuweisung erfolgen muss. Sind die Berechtigungen zum externen RFC-Zugriff (RFC = Remote Function Call) über Funktionsbausteine unsauber definiert und den Anwendern zugewiesen, wird der Primärschutz für startbare Anwendungen durch das Berechtigungsobjekt S_TCODE schnell umgangen.
Möchten Sie verstehen, wie eine Berechtigungsprüfung im Code durchlaufen wird, können Sie den Debugger nutzen, um sich Schritt für durch die Berechtigungsprüfung zu bewegen. Um eigene Berechtigungsprüfungen zu implementieren, kann es hilfreich sein sich anzusehen, wie solche Prüfungen im SAP-Standard umgesetzt wurden. In diesem Tipp zeigen wir Ihnen, wie Sie sich den Quellcode von Berechtigungsprüfungen mithilfe des Debuggers im Programm anschauen können bzw. wie Sie an die Codestellen gelangen, an denen die Berechtigungsprüfungen implementiert sind.
SAP Berechtigungen – Überblick HCM Berechtigungskonzepte
Die wichtigsten Security Services im Hinblick auf Berechtigungen sind der EarlyWatch Alert (EWA) und der SAP Security Optimization Service (SOS). Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP. Beide Services werden als teilautomatisierte Remote Services geliefert; den SOS können Sie auch als vollautomatisierten Self-Service nutzen. Im EWA und SOS werden Berechtigungsprüfungen durchgeführt, deren Ergebnis immer wie folgt aufgebaut ist: Die Überschrift benennt den betreffenden Check. Ein kurzer Text beschreibt die Bedeutung der geprüften Berechtigung und das Risiko, das bei einer unnötigen Vergabe entsteht. Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an. Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen. Im SOS folgt für jeden Check eine Empfehlung, wie Sie das identifizierte Risiko minimieren können. Eine abschließende formale Beschreibung stellt die geprüften Berechtigungen dar. Es werden allerdings nicht nur die explizit genannten Transaktionen ausgewertet, sondern auch äquivalente Parameter- oder Variantentransaktionen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFC-Bausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Für die Auswertung der Sicherheitshinweise sollten Sie einen monatlichen Security-Patch-Prozess definieren.
Damit Sie diesen Tabelleneintrag transportieren können, müssen Sie in der Transaktion SE09 in die Objektliste des Transportauftrags gehen und dort manuell einen Eintrag mit dem Objektschlüssel R3TR TABU KBEROBJ anlegen.