Sicherheit innerhalb des Entwicklungssystems
Den Zeitstempel in der Transaktion SU25 verwenden
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Dabei müssen Sie die Vorlage an die Gegebenheiten in Ihrem Unternehmen anpassen, also vermutlich die Ablage der Zertifikate abhängig von der Namenskonvention für Ihre Benutzer definieren und die Prüfung der Zertifikate anpassen. Diese Prüfung der Zertifikate stellt in der Vorlage sicher, dass keine bereits vorhandenen Zertifikate hinzugefügt werden und nur ein Zertifikat zu einer E-Mail-Adresse eingetragen wird. Diese Prüfung ist notwendig, da der Versand einer verschlüsselten E-Mail abgebrochen wird, wenn mehr als ein gültiges Zertifikat zu einer E-Mail-Adresse gefunden wurde. Über dieses kundeneigene Programm können Sie Massenimporte der Zertifikate abbilden. Zusätzlich müssen Sie aber auch eine Vorgehensweise für die Verwaltung von Zertifikaten in Ihrem Unternehmen definieren, d. h. sich überlegen, wie Änderungen an den Zertifikaten in das SAP-System übertragen werden können.
Berechtigungen mit SAP Query analysieren und evaluieren
Auch können Sie kundeneigene Organisationsebenen wieder entfernen und sie damit zu einem einfachen Berechtigungsfeld umwandeln. Hierzu dient der Report PFCG_ORGFIELD_DELETE. Er entfernt das Berechtigungsfeld aus der Tabelle USORG und ändert die Berechtigungsvorschlagswerte zu diesem Feld. Abschließend geht er wieder alle Rollen durch, die eine Ausprägung zu dem Feld enthalten. Hierbei stellt er aber nicht die alte Belegung des Feldes wieder her, da zusammengefasste Werte bei der Erhebung des Feldes in die Organisationsebene nicht mehr separiert werden. Stattdessen werden die zusammengefassten Werte in jedem Feld separat eingetragen. Der Report PFCG_ORGFIELD_DELETE stellt außerdem eine Wertehilfe zur Verfügung, die nur die kundeneigenen Organisationsebenen anzeigt. Diese Wertehilfe können Sie auch für die Ermittlung aller kundeneigenen Organisationsebenen nutzen.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Egal welcher Grund es ist, schnell heißt es, dass ein neues Berechtigungskonzept her muss. Das ist aber nicht immer der Fall. Und falls doch, ist die Frage, welches Berechtigungskonzept im SAP HCM das richtige ist. Ja, ganz genau, welches Konzept, denn im SAP HCM Bereich gibt es drei Möglichkeiten, ein Berechtigungskonzept umzusetzen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Es bleibt zwar grundsätzlich weiterhin möglich, die Gesamtberechtigung für die Felder RFC_SYSID, RFC_CLIENT und RFC_USER zu vergeben; dies kann jedoch nur noch manuell in der Transaktion PFCG über die Dialogpflege der Felder erfolgen.
Weitere Informationen können Sie den SAP-Hinweisen 20534, 28175 und 28186 entnehmen.