Benutzerinformationssystem SUIM
RSUSRAUTH
Üblicherweise werden hierzu die Berechtigungen gezählt, mit denen Änderungsaufzeichnungen im System gelöscht werden können oder elektronisch radiert werden kann. Auch im Entwicklungssystem ist die Nachvollziehbarkeit von Änderungen wichtig, deshalb sind die nachfolgend aufgeführten Berechtigungen nur sehr restriktiv bzw. nur an Notfallbenutzer zu vergeben.
Wie alle anderen Security-Themen auch müssen die SAP-Berechtigungen ins genutzte Framework integriert werden. Die Risiken durch falsch vergebene Berechtigungen sind als sehr hoch einzustufen. Die Definition eines ganzheitlichen Governance-, Risk- und Compliance-Management Systems ist erforderlich. Dieses stellt sicher, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Dementsprechend fließen auch die Risiken, die durch falsch vergebene SAP-Berechtigungen oder durch einen fehlenden Prozess zur Überwachung der Berechtigungen entstehen, hier mit ein.
Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
Bei Zugriffen von Prüferbenutzern (aus der Tabelle TPCUSERN) werden im Anwendungs-Log die Selektionsparameter der aufgerufenen Transaktion protokolliert und können mit dem Report CA_TAXLOG ausgewertet werden. Im Beispiel wurde hier die Einzelpostenliste für das Kreditorenkonto 100000 aufgerufen.
Der Pfad mit der zugeordneten Berechtigungsgruppe DEVL enthält die temporären lokalen Dateien des ABAP-Frontend-Editors der ABAP-Entwicklungsumgebung (Transaktionen SE38, SE80, SE24 usw.). Die beiden Pfade mit der Berechtigungsgruppe ADMN zeigen, wie logisch zusammengehörige Pfade zu einer Berechtigungsprüfung für S_PATH gruppiert werden können. Die beiden Einträge mit der Berechtigungsgruppe FILE zeigen, wie in Systemen mit Anwendungsservern unterschiedlicher Betriebssysteme Pfade für Windows ergänzt werden können. Die Einträge core.sem und coreinfo werden benötigt, um Laufzeitfehler in die Snapshot-Tabelle SNAP zu schreiben. Die Einträge dev_ und gw_ erlauben das Anzeigen von Dateien aus Entwicklertrace und Gateway Log in der Transaktion ST11. Ist Ihnen der Vorschlag im ersten Eintrag der Tabelle zu restriktiv, können Sie die Alternative in der folgenden Tabelle wählen. Dieser Eintrag erzwingt lediglich eine Berechtigungsprüfung auf S_PATH und die Berechtigungsgruppe ALLE; die entsprechende Berechtigung sollten Sie allerdings nur sehr restriktiv vergeben.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Nebenbei wenn die Vorschlagswerte aus der SU24 noch offene Felder haben und hier Einträge erfolgt sind, erscheint ein GEPFLEGT neben dem berechitgungsobjekt und bei manuell hinzgefügten Berechtigungsobjekten ein MANUELL.