SAP Berechtigungen Inaktive Benutzer sperren - SAP Basis

Direkt zum Seiteninhalt
Inaktive Benutzer sperren
SAP Systeme: User Berechtigungen mit Konzept steuern
Mit dem Security Audit Log kontrollieren Sie sicherheitsrelevante Ereignisse. Erfahren Sie, wie Sie es konfigurieren, um die für Sie relevanten Vorgänge zu überwachen. Sie möchten das Security Audit Log für die Überwachung bestimmter sicherheitsrelevanter Vorgänge oder besonders weitreichend berechtigter Benutzer im SAP-System nutzen. So können Sie z. B. fehlgeschlagene RFC-Aufrufe systemweit aufzeichnen, das Löschen von Benutzern oder alle Aktivitäten des Standardbenutzers DDIC protokollieren. Für diese Protokollierungen benötigen Sie verschiedene Aufzeichnungsfilter und gegebenenfalls auch die Möglichkeit, generisch Mandanten oder Benutzer zu selektieren. Daher zeigen wir Ihnen im Folgenden, welche Einstellungen Sie bei der Konfiguration des Security Audit Logs vornehmen können.

Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Alten Stand bearbeiten
Für noch umfangreichere Operationen auf Jobs muss eine Berechtigung zum Objekt S_BTCH_ADM vorhanden sein, in der das Feld BTCADMIN (Kennung für den Batchadministrator) den Wert ‚Y‘ hat. Dies ermöglicht mandantenübergreifend alle Operationen auf beliebigen Jobs. S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht. Mit den in Hinweis 1702113 genannten Änderungen lässt sich über das Objekt S_BTCH_ADM die Berechtigungsvergabe genauer einschränken.

So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.

Der Einfachheit halber möchten wir dieses Beispiel anhand des Hintergrundjobs PFCG_TIME_DEPENDENCY erläutern. Dieser Job ruft den Report RHAUTUPD_NEW auf bzw. kann auch mit der Transaktion PFUD direkt ausgeführt werden. Stellen Sie sich vor, dass es für diesen Job noch keinen Transaktionscode gäbe.

Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.

Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.

Datensätze, die gemäß der beschriebenen Logik nicht in den gültigen Zeitraum fallen, werden herausgefiltert.

Der Funktionsbaustein wurde offensichtlich nicht für diese Verwendung vorgesehen, unser Vorgehen beeinflusst aber nicht den Programmablauf, und es sind uns keine Einschränkungen durch diese Nutzung bekannt.
SAP BASIS
Zurück zum Seiteninhalt