Anforderungen an ein Berechtigungskonzept umsetzen
Berechtigungstraces anwendungsserverübergreifend auswerten
Ein temporäres Abschalten der Zentralen Benutzerverwaltung wird in der Regel nicht empfohlen. In bestimmten Fällen kann es jedoch notwendig sein. Wir zeigen Ihnen, welche Vor- und Nacharbeiten erforderlich sind, um Dateninkonsistenzen zu vermeiden. In komplexen SAP-Landschaften, in denen die Zentrale Benutzerverwaltung (ZBV) eingesetzt wird, können Fälle eintreten, in denen Sie ein Tochtersystem temporär aus der ZBV entfernen möchten, ohne dieses System löschen oder die ganze ZBV abschalten zu müssen, wenn z. B. kurzfristig Benutzer in einem Tochtersystem angelegt werden sollen.
Im Rahmen der Einführung eines Security-Patch-Prozesses werden Sie, abhängig von Ihrem Release- und Support-Package-Stand, viele Sicherheitshinweise auswerten müssen. In diesem Fall können Sie mithilfe des Reports RSECNOTE bzw. mithilfe des EarlyWatch Alerts auswerten, welche Sicherheitshinweise durch den SAP Active Global Support als besonders kritisch eingestuft wurden. Der Report RSECNOTE wird seit März 2013 nur noch sehr eingeschränkt gepflegt und enthält daher nur wenige neue Sicherheitshinweise. Trotzdem bietet er gute Anhaltspunkte für die initiale Bereinigung von Sicherheitslücken.
Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden
Abschließend müssen Sie die Ergebnisse der Vorarbeiten bewerten und umsetzen. Anhand der Übersicht können Sie ermitteln, welcher Benutzer welche Funktionsgruppen oder Funktionsbausteine benötigt und die Berechtigungsrollen entsprechend aufbauen. Dabei können Sie Aufrufe zur Destination NONE von Ihrer Auswertung ausnehmen, da es sich bei diesen Aufrufen immer um interne Aufrufe von RFC-Funktionsbausteinen handelt. In diesem Zusammenhang empfehlen wir Ihnen, die Zuordnungen auf kritische Funktionsbausteine bzw. Funktionsgruppen hin zu prüfen.
Diese Art der Programmierung ergibt Sinn, wenn große Datenmengen gelesen werden müssen. Bevor nun begonnen wird die Daten von der Datenbank zu lesen, kann mit einer DUMMY – Prüfung schnell ersichtlich werden, ob der User überhaupt eine Berechtigung besitzt, um auf einen Teil der Daten zuzugreifen. Wie aber aus der obigen Tabelle ersichtlich wird, darf ein Coding nicht nur durch eine allgemeine Prüfung abgesichert sein, sondern muss durch spätere, detaillierte Prüfungen ergänzt werden. Allerdings muss auch in diesem Kontext space (oder ‘ ‘) nicht explizit berechtigt werden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die Berechtigungsprüfung wird wiederum fortgesetzt, wenn es sich bei der betreffenden Tabelle um eine mandantenunabhängige Tabelle handelt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Darauf aufbauend ist es möglich, automatische Prüfungen zu entwickeln, die im Hintergrund ablaufen und regelmäßig kontrollieren, ob durch Änderungen an den Berechtigungen kritische Lücken im HR-Bereich entstanden sind.