ORGANISATION IM WANDEL
Installation/Aktualisierung der auf SAP Netweaver beruhenden SAP-Systeme
Zum Grundbetrieb des SAP-Basis-Betriebs gehören die Betriebsbereitschaft des SAP-Systems, Verwalten der Systemänderbarkeit, Konfiguration und Administration von Systemprofilen, Analyse von Systemausfällen, Betrieb und Überwachung technischer Schnittstellen, Einplanung und Überwachung von SAP-Standardjobs uvm In den optionalen Leistungen als Erweiterung sind Tätigkeiten zusammengefasst, deren Durchführung und Häufigkeit von der vorhandenen Systemumgebung abhängig ist und die optional zugebucht werden können (Mandantenkopien, Durchführung von Mandantentransporten und homogenen/heterogenen Systemkopien etc) Projektleistungen werden zusätzlich oder separat zum Grundbetrieb erbracht. Dazu gehören die Durchführung von Releasewechseln, Installation von Enhancement-Packages, Anpassung neuer Druckertypen, Gerätetreiber oder Zeichensätze und vieles mehr.
Transportaufträge von einer Systemlinie in eine andere zu transportieren oder Transportaufträge von Drittanbietern in das SAP-System zu importieren gehört auch zu den gelegentlichen Aufgaben eines SAP-Basis-Administrators. Wie schon in meinem letzten Blogbeitrag zur Systemänderbarkeit möchte ich Ihnen hier eine Möglichkeit bieten, dieses Thema schnell abrufbar darzubieten. Somit finden Sie am Ende wieder eine Schritt-für-Schritt Anleitung, welche Sie befolgen können, wenn Sie das Thema schon inhaltlich verstanden haben, aber nur die Schritte benötigen. Was sind die Voraussetzungen? Zu Transportaufträgen gehören zwei Dateien, welche als "data" und "cofiles" betitelt sind. Diese Dateien bestehen aus einer sechsstelligen alphanumerischen Kombination und einer Dateiendung, welche häufig das System darstellt, aus welchem die Dateien exportiert wurden. Hierbei ist das erste Zeichen immer ein K (die cofiles-Datei) oder ein R (die data-Datei). Für unser Beispiel nennen wir die Dateien einmal K12345_DEV und R12345_DEV. Diese Dateien werden natürlich für einen Import in das eigene SAP-System benötigt. Weiterhin benötigen Sie Zugang zu dem Filesystem bzw. den SAP-Verzeichnissen, da sie die oben genannten Dateien dort manuell einfügen müssen. Zusätzlich dazu wird die Transaktion STMS im SAP-System benötigt, da sie dort die Transportaufträge an die Importqueue anhängen. Wenn Sie dies nun alles zur Verfügung haben, können wir mit dem Import starten: Wie ist das Vorgehen? Vorbereitung auf Betriebssystemebene. Im ersten Schritt müssen die Dateien in das Transportverzeichnis des SAP-System kopiert werden. Dieses liegt normalerweise unter /usr/sap/trans, kann aber je nach System auch individuell geändert werden. Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter "DIR_TRANS" angegeben ist. Dies ist das richtige Verzeichnis in dem wir arbeiten wollen. Hier werden nun die vorhandenen Dateien hineinkopiert und zwar die cofiles-Datei (K12345_DEV) in den cofiles-Ordner (/usr/sap/trans/cofiles) und die data-Datei (R12345_DEV) in den data-Ordner (/usr/sap/trans/data). Hinweis: Gerade bei Unternehmen mit mehreren Systemen auf mehreren Servern müssen in diesem Fall noch die Zugriffsberechtigungen und der Datei-Owner geändert werden, sodass der Import im Zielsystem keine Probleme macht.
Benutzerabgleich manuell mit Transaktion PFUD durchführen
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
Im SAP Business Objects Umfeld gibt es die Möglichkeit, die Steuerung von Berechtigungen mit der CMC-Registerkartenkonfiguration zu erweitern. Die Registerkartenkonfiguration erlaubt es Ihnen, bestimmte Registerkarten für Nutzer oder Gruppen einfach ein- bzw. auszublenden. CMC-Registerkartenkonfiguration aktivieren Standardmäßig ist die Funktion der CMC-Registerkartenkonfiguration auf "Nicht einschränken" gesetzt und damit deaktiviert. Damit Sie überhaupt die Möglichkeit haben, die Registerkartenkonfiguration zu nutzen, müssen Sie diese daher vorerst aktivieren. Hinweis: Wenn Sie die Registerkartenkonfiguration aktivieren, sehen alle Nutzer, die sich nicht unterhalb der Standardgruppe "Administratoren" befinden, vorerst keine Registerkarten mehr. Dies liegt daran, dass standardmäßig über die CMC-Registerkartenkonfiguration der Zugriff verweigert wird. Sie müssen daher nach dem Aktivieren einmal für alle vorhandenen Gruppen pflegen, welche Registerkarten zu sehen sind. Stellen Sie daher sicher, dass Sie über einen Account verfügen, der der Administratoren Gruppe zugeordnet ist! Rufen Sie dazu Anwendungen auf, machen Sie einen Rechtsklick auf Central Management Console und wählen Sie Konfiguration des Zugriffs auf die CMC-Registerkarte: Die CMC kann unter Anwendungen gefunden werden. Aktivieren Sie die Konfiguration nun, indem Sie die Option Einschränken auswählen. Über Einschränken aktivieren Sie die Option. Registerkarten ein- / ausblenden Wenn Sie sich jetzt mit einem Benutzer anmelden, der sich nicht in der Standard Administratoren- Gruppe befindet, sehen Sie auf der CMC-Startseite keine Anwendungen / Registerkarten. Anfangs sind keine Anwendungen / Registerkarten sichtbar Um die gewünschten Registerkarten für die Gruppen wieder einzublenden, wechseln Sie mit Ihrem Administratoren-Konto auf Benutzer und Gruppen, machen einen Rechtsklick auf die gewünschte Gruppe und wählen CMC-Registerkartenkonfiguration aus. Rufen Sie die Registerkartenkonfiguration auf. In dem nun erscheinenden Dialog sehen Sie, dass standardmäßig der Zugriff auf sämtliche Registerkarten verweigert wird.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Hierfür müssten die Rollen nochmals einzeln betrachtet werden.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Bei RFC- und HTTP-Anfragen kommt es auch zum Roll-out, wenn die Anfrage an den Empfänger geschickt und auf Antwort gewartet wird.