Gewährleistung einer sicheren Verwaltung
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Sicherheitswarnungen des Security Audit Logs können Sie außerdem über das Alert-Monitoring Ihres Computing Center Management Systems (CCMS) überwachen. Die erzeugten Sicherheitswarnungen entsprechen dabei den Auditklassen der Ereignisse, die im Security Audit Log definiert sind. Viele Unternehmen haben zusätzlich die Anforderung, die Ereignisse des Security Audit Logs auch in anderen Anwendungen darzustellen. Hierzu ist eine Auswertung durch externe Programme erforderlich, die über die XMI-BAPIs (XML Metadata Interchange) erfolgen kann. Für eine entsprechende Konfiguration müssen Sie der Dokumentation zur XMI-Schnittstelle folgen. Außerdem können Sie das Beispielprogramm RSAU_READ_AUDITLOG_ EXTERNAL als Vorlage nutzen. Eine Beschreibung zu diesem Programm finden Sie im SAP-Hinweis 539404.
SAP liefert für das Records- und Case-Management Berechtigungsobjekte aus, über die Sie u.a. im Zusammenspiel mit entsprechenden Customizing-Einstellungen den Zugriff auf Akten, Vorgänge, Dokumente und Posteingangsstücke für einzelne Organisationseinheiten Ihrer Aufbauorganisation steuern können. SAP liefert vorgefertigte Rollen aus, die eindeutig umgrenzte Berechtigungen zu den jeweiligen Aufgabenbereichen der Mitarbeiter enthalten. Diese Rollen enthalten u. a. auch die Berechtigungsobjekte für das Records Management und das Case Management. Sie können die Rollen als Vorlage für Ihre eigenen Rollen verwenden und an Ihre Anforderungen anpassen.
Anmeldesperren sicher einrichten
Die BAdIs BADI_IDENTITY_CHECK, BADI_IDENTITY_UPDATE und BADI_IDENTITY_SU01_CREATE wurden mit dem Release SAP NetWeaver 7.31 eingeführt. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1796501. Für diese BAdIs gibt es Implementierungsbeispiele, und sie sind Teil des Erweiterungsspots SUID_IDENTITY. Mit dem BAdI BADI_IDENTITY_CHECK können Sie zusätzliche Prüfungen in der Pflege der Benutzerstammdaten einführen, z. B. ob bestimmte Felder in der Transaktion SU01 gepflegt wurden. Mit dem BAdI BADI_IDENTITY_UPDATE können Sie beim Ändern von Benutzerdaten verschiedene Aktionen veranlassen (siehe Tipp 98, »E-Mails verschlüsseln«). Mit dem BAdI BADI_IDENTITY_SU01_CREATE können Sie bei der Anlage von Benutzern einzelne Felder der Transaktion SU01 mit Werten aus einer anderen Datenquelle vorbelegen. Dieses BAdI deckt die von uns beschriebene Anforderung ab; daher erläutern wir im Folgenden die Implementierung dieses BAdIs. Verwenden Sie hierzu die Transaktion SE18, in der Sie auch die Implementierungsbeispielklasse einsehen können. Für das BAdI BADI_IDENTITY_SU01_CREATE müssen Sie zum Interface IF_BADI_SU01_CREATE die Methode CREATE implementieren. Das BAdI wird nur beim Start der Transaktion SU01 aufgerufen.
Durch das Einschalten des Parameters auth/authorization_trace werden externe Services in die Tabelle USOBHASH geschrieben sowie durchgeführte Berechtigungsprüfungen in der Tabelle USOB_AUTHVALTRC protokolliert. Den Inhalt dieser Tabelle können Sie nun dazu verwenden, in der Transaktion SU24 die geprüften Objekte und Werte aus dem Trace in die Vorschlagswerte zu übernehmen. Da es sich um einen dynamischen Profilparameter handelt, wird dieser beim Durchstarten des Anwendungsservers wieder zurückgesetzt. Öffnen Sie nun die Transaktion SU24, und Sie werden dort Ihre eigene UIKomponente als externen Service wiederfinden. Per Doppelklick auf diesen Service werden Sie feststellen, dass dort keine Vorschlagswerte gepflegt worden sind. Sie können diese Vorschlagswerte aus Tabelle USOB_AUTHVALTRC übernehmen. Hier sollten Sie mindestens das Berechtigungsobjekt UIU_COMP pflegen, damit diese Informationen in die PFCG-Rolle geladen werden, sobald Sie den externen Service in Ihr Rollenmenü aufnehmen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Prägen Sie daher immer zwei Versionen des Berechtigungsobjekts P_ORGIN aus, einmal mit den funktionalen Berechtigungen (Berechtigungslevel, Infotypen und Subtypen) und einmal mit den organisatorischen Abgrenzungen (Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis und Organisationsschlüssel).
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Das ABAP-Berechtigungskonzept schützt Transaktionen, Programme und Services in SAP-Systemen vor unberechtigtem Zugriff.