Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
PRGN_COMPRESS_TIMES
Ein typisches Einsatzgebiet ergibt sich bei der Anforderung eines neuen SAP-Benutzers. Der Dateneigentümer prüft nun, ob der Beantragende und die zu berechtigende Person überhaupt jeweils dafür befugt sind, welche Daten betroffen wären, ob evtl. bereits ein SAP-User besteht, dem neue Rollen zugeteilt und alte entzogen werden können, ob der Datenzugriff zeitlich begrenzt werden kann etc..
Mit dem Security Audit Log kontrollieren Sie sicherheitsrelevante Ereignisse. Erfahren Sie, wie Sie es konfigurieren, um die für Sie relevanten Vorgänge zu überwachen. Sie möchten das Security Audit Log für die Überwachung bestimmter sicherheitsrelevanter Vorgänge oder besonders weitreichend berechtigter Benutzer im SAP-System nutzen. So können Sie z. B. fehlgeschlagene RFC-Aufrufe systemweit aufzeichnen, das Löschen von Benutzern oder alle Aktivitäten des Standardbenutzers DDIC protokollieren. Für diese Protokollierungen benötigen Sie verschiedene Aufzeichnungsfilter und gegebenenfalls auch die Möglichkeit, generisch Mandanten oder Benutzer zu selektieren. Daher zeigen wir Ihnen im Folgenden, welche Einstellungen Sie bei der Konfiguration des Security Audit Logs vornehmen können.
Fehlendes Knowhow
Haben Sie eigene Anwendungen erstellt, empfehlen wir Ihnen, dafür immer eine eigene Berechtigungsprüfung zu implementieren und sich nicht nur auf die Anwendungsstartberechtigungen wie S_TCODE, S_START, S_SERVICE und S_RFC zu verlassen. Möchten Sie Standardanwendungen um eigene Prüfungen erweitern, müssen Sie dafür erst die geeignete Stelle zur Implementierung der Prüfung finden. Um modifikationsfrei zu entwickeln, bietet SAP für solche Fälle User-Exits oder Business Add-ins (BAdIs). Einige SAP-Anwendungen haben außerdem eigene Frameworks im Einsatz, die ein modifikationsfreies Implementieren von eigenen Berechtigungsprüfungen erlauben, wie z. B. die Access Control Engine (ACE) in SAP CRM.
SAP-Kunden pflegen Vorschlagswerte nicht in dieser Transaktion. Es gibt jedoch Fälle, in denen Daten in der Transaktion SU22 auch in einer Kundenumgebung gepflegt werden. Werden vom Kunden oder Partner TADIR-Services bzw. externe Services entwickelt, sind diese Services nicht standardmäßig in der Transaktion SU22 oder in der Transaktion SU24 verfügbar. Für diese Services müssen erst die Headerdaten in die Tabelle USOBHASH geschrieben werden, die als Grundlage zur Pflege der Services dienen. Diese Einträge in der Tabelle USOBHASH werden beim Ausführen von TADIR-Services automatisch erzeugt. Lesen Sie Tipp 41, »Den Vorschlagswerten externe Services aus SAP CRM hinzufügen«, für den Umgang mit externen Services. Sobald die Daten in dieser Tabelle verfügbar sind, haben Sie die Möglichkeit, die Vorschlagswerte zu pflegen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Den SAP Code Vulnerability Analyzer können Sie mit dem Report RSLIN_SEC_LICENSE_SETUP aktivieren, müssen für ihn allerdings zusätzliche Lizenzgebühren zahlen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen.