EINFÜHRUNG VON RELEASE- UND PATCH-MANAGEMENT
Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen
SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden. Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen. Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt. Voraussetzungen um digital signierte SAP Hinweise zu nutzen Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein: Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich. Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können: Berechtigung für die Transaktion SLG1 Leseberechtigung für Berechtigungsobjekt S_APPL_LOG Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen. Umsetzung SAP Hinweis Nummer 2408073.
Darüber hinaus sprechen folgende Argumente dafür, eher weniger Workprozesse pro CPU-Thread zu konfigurieren: Im Vergleich zu UNIX sind bei Microsoft Windows die Kontextwechsel auf Betriebssystemebene besonders teuer. Daher wird eine angemessene Anzahl von Workprozessen pro CPU-Thread hier besonders empfohlen. Mit den Workprozessen reduzieren sich auch die Anzahl der Datenbankprozesse und deren Hauptspeicherbedarf. Besonders deutlich ist der Vorteil bei Datenbanken, bei denen jedem SAP-Workprozess eindeutig ein Datenbankprozess zugeordnet ist.
Definition von Workflows
Je nachdem, ob der Nutzer die Tabelle bearbeiten oder nur anzeigen soll, kann hier entweder "UPDATE" oder "SHOW" genutzt werden. Tragen Sie als Wert ein X ein. Wichtig ist, dass entweder"'SHOW" oder "UPDATE" genutzt wird, da eine Kombination beim Aufruf der Parametertransaktion zu einem Fehler führt. Außerdem muss in der Tabelle die View gesetzt werden, die aufgerufen werden soll. Dafür ist das Feld "VIEW" zu benutzen. Schließlich kann die Parametertransaktion über die "Speichern" Schaltfläche angelegt werden. Wie gewohnt muss sie einem Paket und einem Workbenchauftrag zugewiesen werden, damit sie verfügbar wird. Wenn der Rolle einer Person nun die Berechtigung für diese Parametertransaktion zugewiesen wird, kann diese genau die angegebene View darüber öffnen und hat nicht die Möglichkeit in der SM30 alle möglichen Views einzugeben.
Auf der obersten Stufe steht der Sitzungskontext (Session Context). Ein neuer Sitzungskontext wird geöffnet, wenn Sie sich an einem SAP-System anmelden. Mehrfachanmeldungen sind möglich, diese können aber über einen Profilparameter unterbunden werden. Diese öffnen dann je einen Speicherkontext. Auch ein Remote-Function-Call-(RFC-)Aufruf auf einem entfernten System öffnet einen neuen Sitzungskontext.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
DISASSEMBLE In diesem Schritt werden Dateien aus den entsprechenden OCS-Dateien entpackt und in das Verzeichnis /usr/sap/trans/data (UNIX) abgelegt.
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Die SQL-Anweisungen, die durch die relativ höchste Laufzeit auffallen, sollten Sie bevorzugt bei der weiteren Optimierung behandeln.