SAP Berechtigungen Notfalluserkonzept - SAP Basis

Direkt zum Seiteninhalt
Notfalluserkonzept
Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
Achten Sie darauf, bei der Programmierung Ihrer Berechtigungsprüfung immer den Returncode SY-SUBRC abzuprüfen und zu definieren, was im Falle einer nicht erfolgreichen Berechtigungsprüfung passieren soll, d. h. wenn SY-SUBRC ungleich 0 ist. In den meisten Fällen kommt es zu einer Fehlermeldung, und das Programm wird abgebrochen.

Berechtigungen müssen in jedem SAP-System gepflegt werden – eine Aufgabe, die umso schwieriger wird, je komplexer die Systemlandschaften und größer die Benutzerzahlen sind. Gerade in wachsenden Systemlandschaften kann es vorkommen, dass die einmal definierten Konzepte nicht mehr zu den aktuellen Anforderungen passen oder die eingeübten Prozesse in der Rollenund Berechtigungsverwaltung mit der Zeit immer aufwendiger und umständlicher werden.
Kritikalität
Welche Anwendungen verfügen über ähnliche oder gleiche Funktionen? Verwenden Sie die Anwendungssuche, um dies herauszufinden. Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben. Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden. Die eigentliche Funktion der alternativen Anwendung soll dabei aber nicht genutzt werden.

So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.

Im SAP-System werden Passwörter gesperrt, wenn die maximale Anzahl erlaubter Fehlversuche bei der Passwortanmeldung erreicht ist. Dieser Zähler wird bei jeder erfolgreichen Anmeldung mit einem Passwort wieder zurückgesetzt. Darüber hinaus kann ein Initialpasswort gesperrt werden, wenn seine Gültigkeit abgelaufen ist. Sowohl die Gültigkeit des Initialpassworts als auch der Maximalwert für Fehlversuche bei der Passwortanmeldung werden über Profilparameter gesetzt. Details hierzu finden Sie in Tipp 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«. Eine Passwortsperre verhindert nur die weitere Anmeldung eines Benutzers über sein Passwort, da die Anzahl der Fehlversuche nur dann ausgewertet wird, wenn die Anmeldung mittels Passwort erfolgt. Erfolgt also nun eine Anmeldung über andere Authentifizierungsverfahren (wie z. B. SSO), sind diese nicht von der Passwortsperre betroffen. Dies gilt ebenso für interne Ablaufverfahren (wie z. B. Hintergrundjobs) da bei Ihnen ebenfalls keine Passwortanmeldung notwendig ist. Dies verhindert z. B. sogenannte Denial-of-Service-Attacken, die zunächst die Sperre eines Passworts bewirken, um darüber interne Prozesse zu blockieren.

Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.

Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.

Nehmen Sie in der Beschreibung auf, für welche organisatorischen Zugriffe (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) die Organisationseinheit je Applikation berechtigt sein soll; bilden Sie also die Aufbauorganisation ab.

Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL.
SAP BASIS
Zurück zum Seiteninhalt