Verwaltung der Datenbänke
Was übernimmt ein SAP Basis Support?
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen. Das Thema Security Automation bietet für viele Unternehmen noch eine Menge Potential in Bezug auf Zeitersparnis und Prozessoptimierung. Unser tägliches Arbeitsumfeld bietet zahlreiche Aufgaben, die schon heute exzellent automatisch bearbeitet werden könnten. Aus diesem Grund stelle ich in diesem Artikel zwei der Möglichkeiten vor, welche im weit gefassten Bereich Security Automation bereits bestehen. Security Automation mittels SAP Security Check Die erste Möglichkeit der Security Automation, die ich hier vorstellen möchte, ist die automatische Prüfung der vorhandenen Berechtigungen. Haben Sie sich schon einmal gefragt, wer von den Usern in Ihrem SAP-System kritische Berechtigungen besitzt? Und haben Sie dies schon einmal per Hand versucht nachzuvollziehen? Dies ist je nach Kenntnisstand und Erfahrung des Berechtigungsadministrators eine Arbeit, bei der einiges an Zeit ins Land geht. Wenn zusätzlich eine Wirtschaftsprüfung angekündigt wird und das SAP-System bezüglich kritischer Berechtigungen sowie Segregation of Duties überprüft werden soll, dann ist es sehr schwierig allen Anforderungen zu genügen und die Berechtigungslandschaft diesbezüglich abzusichern. Aus diesem Grund stellen verschiedene Anbieter Lösungen bereit, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. So können Berechtigungsadministratoren ihre wertvolle Zeit dazu nutzen, die Fehler zu beheben, anstatt eben diese Fehler erst zu suchen. Wir nutzen beispielsweise ein Tool, welches die Überprüfung von über 250 Regeln durchläuft. Anschließend erhalten wir eine Auswertung darüber, gegen welche Regeln verstoßen wird und welche Punkte in Ordnung sind. Ein einfaches Beispiel für solche Regeln ist die Verwendung des Profils SAP_ALL. Ein weiteres wäre die Vergabe der Sprungberechtigung im Debugging (Berechtigungsobjekt S_DEVELOP mit dem Feld ACTVT = 02). Dies sind zwei relativ simple Beispiele des Regelwerks von Security Check-Tools. Weiterführend werden auch Abfragen getätigt, welche im Bereich Segregation of Duties angesiedelt sind. Die Verwendung dieses Tools ermöglichte es uns, von der manuellen Überprüfung von kritischen Berechtigungen zu einem automatischen Ablauf überzugehen.
Die Laufzeitanalyse weist die Brutto- und/oder Nettozeit einzelner Aufrufe in Mikrosekunden (μs) aus. Die Bruttozeit ist die Gesamtzeit, die für einen Aufruf benötigt wird. Dazu gehören die Zeiten aller Modularisierungseinheiten und ABAP-Anweisungen dieses Aufrufes. Die Nettozeit ist die Bruttozeit abzüglich der Zeit, die für die aufgerufenen Modularisierungseinheiten (MODULE, PERFORM, CALL FUNCTION, CALL SCREEN, CALL TRANSACTION, CALL DIALOG, SUBMIT) und separat angegebene ABAP-Anweisungen benötigt wird, falls für diese die Protokollierung eingeschaltet wurde. Für »elementare« Anweisungen wie APPEND oder SORT ist die Bruttozeit gleich der Nettozeit. Wenn die Brutto- und Nettozeiten für einen Aufruf voneinander abweichen, enthält der Aufruf andere Aufrufe oder Modularisierungseinheiten. Wenn z. B. bei einer Unterroutine eine Bruttozeit von 100.000 μs und eine Nettozeit von 80.000 μs angezeigt wird, dann bedeutet dies, dass 80.000 μs für die Abarbeitung der Routine selbst gemessen wurden und 20.000 μs weiteren Anweisungen in der Routine zugeordnet worden sind, die getrennt protokolliert wurden. Die Eclipse-basierte Auswertungsoberfläche verwendet synonym die Begriffe Total Time und Own Time.
Einzelsatzstatistik
Aus dem Service Level Management und dem Feedback aus der kontinuierlichen Überwachung lässt sich das Optimierungspotenzial ableiten. Die Maßnahmen der Performanceoptimierung lassen sich in zwei Kategorien einteilen.
In dem folgenden Dialog wählen Sie einen TADIR-Service aus sowie die Programm-ID "R3TR" und den Objekttyp "IWSG". Jetzt können Sie den auf dem Frontend-Gateway hinterlegten OData-Service auswählen. Anschließend wechseln Sie zu dem Reiter "Berechtigungen" um das aktuelle Profil der Berechtigungsobjekte mit der neuen Fiori Berechtigung zu generieren. Wenn Sie diese Schritte durchgeführt haben, besitzt die behandelte Rolle Frontend-Seitig die nötigen Berechtigungen. Fiori Berechtigung zum Aufruf des OData-Services auf dem Backend-Server Wechseln Sie nun zu der Rollenpflege in der PFCG auf dem Backend-Server. Öffnen Sie die entsprechende Rolle im Änderungsmodus. Nun können Sie die Schritte wie oben bereits für das Frontend erläutert wiederholen. Bei der Auswahl des TADIR-Services als Berechtigungsvorschlag wählen Sie nun jedoch den Objekttyp "IWSV". Hier können Sie den im Backend hinterlegten OData- Service der spezifischen Fiori-Applikation auswählen.
Einige fehlende SAP Basis Funktionen im Standard werden durch die PC-Anwendung "Shortcut for SAP Systems" nachgeliefert.
Administratoren müssen häufig einen Teil oder die gesamte Datenbank replizieren, zB um ein System-Backup zu erstellen oder ein Upgrade zu testen, bevor es in die Produktion übernommen wird.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
SAP achtet penibel darauf, dass ihre Software linear skaliert.