Die Auswirkung der Benutzertypen auf die Passwortregeln beachten
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Vollziehen Sie dieses Szenario einmal in Ihrem System nach. Beispielsweise können Sie aus der Transaktion MM50 in die Transaktion MM01 abspringen, ohne dass die Transaktionsstartberechtigung für die Transaktion MM01 explizit über das Berechtigungsobjekt S_TCODE vergeben sein muss. Sie sehen diesen Aufruf in Ihrem Systemtrace für Berechtigungen in der Spalte Zusatzinformation zur Prüfung. Dort erkennen Sie, dass die Berechtigungsprüfung beim Aufruf CALL TRANSACTION deaktiviert wurde. Der Anwender darf in die Transaktion MM01 springen, obwohl in der ihm zugewiesenen Rolle Z_MATERIALSTAMMDATEN nur Berechtigungen für die Transaktionen MM03 und MM50 verzeichnet sind.
Noch kritischer ist die Vergabe des umfassenden SAP®-Standardprofil SAP_ALL, welches nahezu alle Rechte im System beinhaltet. Deshalb sollte es maximal an einen sogenannten Notfallbenutzer zugewiesen werden. Der Umgang mit dem Notfallbenutzer ist auch im schriftlich dokumentierten Berechtigungskonzept vorzugeben. In jedem Fall sollten die Aktivitäten des Notfallbenutzers protokolliert und regelmäßig kontrolliert werden. Deshalb ist es essenziell in der Vorbereitung auf die Jahresabschlussprüfung, die aktuellen, aber auch die historischen Zuweisungen, von SAP_ALL zu überprüfen. Es ist also nicht ausreichend, im Vorfeld der Jahresabschlussprüfung einfach schnell den Benutzern das Profil SAP_ALL zu entziehen. Es muss auch nachgewiesen werden, dass über den Prüfzeitraum das Profil SAP_ALL nicht kurzfristig für ein paar wenige Tage vergeben wurde. Sollte es doch zu Zuweisungen von SAP_ALL gekommen sein, wurde diese im Idealfall bereits dokumentiert und kontrolliert. Sollte dies nicht der Fall sein, ist unbedingt eine nicht veränderbare Dokumentation anzulegen, in welcher nachgewiesen wird, warum die Zuweisung notwendig war und dass der User darüber hinaus keine kritischen Aktionen durchgeführt hat (Ablage und Review der Protokollierung).
Berechtigungsobjekte für die Tabellenbearbeitung verwenden
Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen.
Im Rahmen des Erkennens von Berechtigungsproblemen sollte dokumentiert werden, was die Gefahren sind, wenn die aktuelle Situation beibehalten wird. Oftmals wollen Verantwortliche im Unternehmen keine Korrektur vornehmen, weil diese Kosten und Arbeit verursacht. Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern. Aus diesen Gründen sollte zunächst dokumentiert werden, welche Probleme und Gefahren lauern, wenn das aktuelle Konzept nicht korrigiert wird: Zunächst erhöht sich die Gefahr von Betrug, Diebstahl sowie Datenschutz- und Sicherheitsverstößen. Die Dokumentation kann helfen zu erkennen, wo Gefahren liegen. Es besteht grundsätzlich das Problem, dass dem Unternehmen ein finanzieller Schaden entsteht, wenn nicht gehandelt wird. Eine weitere Gefahr besteht darin, dass Anwender mit ihren Berechtigungen experimentieren und Schaden verursachen, der sich durch eine saubere Berechtigungsstruktur vermeiden lässt. Ebenfalls ein Problem ist der erhöhte Administrationsaufwand der Berechtigungsvergabe und -Verwaltung. Der Aufwand steigt an, wenn die aktuelle Rollenzuordnungen nicht transparent und optimal strukturiert sind.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Außerdem wird die Rollennachbearbeitung in der Transaktion SU25 im Rahmen von SAPUpgrades unterstützt.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Daher sind die strukturellen Berechtigungen nur zusammen mit den allgemeinen Berechtigungen einzusetzen.