Sofortige Berechtigungsprüfung – SU53
Traceauswertung optimieren
Zu Beginn waren die FI- und CO-Module voneinander getrennt. Beide Module sind von der SAP als übergeordnete Module im Bereich Rechnungswesen zusammengefasst worden. Grund dafür ist vor allem die enge Prozessstruktur, die einen fließenden Übergang zwischen den beiden Modulen ermöglicht. Folglich treten SAP FI und CO nur noch als gemeinschaftliches Modul SAP FICO auf.
Legen Sie ein bestimmtes Kürzel oder Zeichen fest, um zu kennzeichnen, ob Ihre Rolle über kritische Zugriffe verfügt, sodass für solche Rollen gesonderte Zuweisungs- bzw. Genehmigungsregeln beachtet werden können. Definieren Sie hier, was »kritisch« für Ihr Projekt bedeutet. Wollen Sie nur Berechtigungen kennzeichnen, die für den Betrieb des SAP-Systems kritisch sind, oder auch geschäftskritische Prozesse? Definieren Sie ebenfalls, welche Konsequenz eine kritische Rolle für die Zuweisung zum Benutzer hat.
Berechtigungswerte mithilfe von Traceauswertungen pflegen
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Der Abschnitt zur Sicherheit im EWA dient als Einstiegspunkt für die Auswertung von Berechtigungen; daher enthält er aktuell die folgenden sieben besonders kritischen Prüfungen: Super User Accounts (Accounts mit dem Berechtigungsprofil SAP_ALL), Benutzer mit der Berechtigung Display all Tables, Benutzer mit der Berechtigung Start all Reports, Benutzer mit der Berechtigung Debug/Replace, Benutzer mit der Berechtigung Display Other Users Spool Request, Benutzer mit der Berechtigung Administer RFC Connections, Benutzer mit der Berechtigung Reset/Change User Passwords.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden.