Den Berechtigungspuffer prüfen und auffrischen
Benutzerpuffer analysieren SU56
Diese sehr kritische Berechtigung kann genutzt werden, um elektronisch zu radieren, bzw. Programmabläufe inklusive der Berechtigungsabfragen auf vielfältige Weise zu manipulieren. Diese Berechtigung sollte nur sehr restriktiv vergeben werden, beispielsweise Entwickler benötigen die Berechtigung aber für ihre tägliche Arbeit.
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an. Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an. Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten > Tabelle einfügen (oder über den Button ) können Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_ 1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERS für die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
Die Selektionsmaske zur Auswahl von Änderungsbelegen in der Transaktion SCUH unterteilt sich in vier Abschnitte: Standardselektion (ähnlich wie in anderen SUIM-Reports), Ausgabe, Selektionskriterien und Verteilungsparameter. In der Standardselektion haben Sie die Möglichkeit anzugeben, für welche Modellsicht, für welchen Änderer (Geändert von) und für welchen Zeitraum Sie sich Änderungsbelege anzeigen lassen möchten.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Relevante Informationen sind Ihr Release- und Support- Package-Stand, sowie eingespielte SAP-Hinweise und deren Versionen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie möchten, dass Benutzer bestimmte Tabellen lesen bzw. pflegen können, jedoch nur Zugriff auf die Tabelleninhalte erhalten, die für sie relevant sind? Mithilfe der Berechtigungsobjekte S_TABU_DIS und S_TABU_NAM können Sie zwar den Zugriff auf die Tabellen gewähren, aber wenn ein Anwender nur Teile der Tabelle sehen bzw. pflegen können soll, stoßen diese Berechtigungsobjekte an ihre Grenzen.