AGS Security Services nutzen
Gewährleistung einer sicheren Verwaltung
Mit dem Security Audit Log kontrollieren Sie sicherheitsrelevante Ereignisse. Erfahren Sie, wie Sie es konfigurieren, um die für Sie relevanten Vorgänge zu überwachen. Sie möchten das Security Audit Log für die Überwachung bestimmter sicherheitsrelevanter Vorgänge oder besonders weitreichend berechtigter Benutzer im SAP-System nutzen. So können Sie z. B. fehlgeschlagene RFC-Aufrufe systemweit aufzeichnen, das Löschen von Benutzern oder alle Aktivitäten des Standardbenutzers DDIC protokollieren. Für diese Protokollierungen benötigen Sie verschiedene Aufzeichnungsfilter und gegebenenfalls auch die Möglichkeit, generisch Mandanten oder Benutzer zu selektieren. Daher zeigen wir Ihnen im Folgenden, welche Einstellungen Sie bei der Konfiguration des Security Audit Logs vornehmen können.
In diesen Fällen werden die Gesamtberechtigungen aus den Feldern RFC_SYSID, RFC_CLIENT und RFC_USER nicht übernommen. Es wird Ihnen aber immer eine Systemnachricht angezeigt. Diese Einschränkungen lassen sich auch nicht über die Einstellungen des Customizing-Schalters ADD_S_RFCACL in der Tabelle PRGN_CUST verändern.
Benutzerinformationssystem (SUIM)
Man kann mit der System-Trace-Funktion (Transaktion ST01) die Berechtigungsprüfungen in allen Modi aufzeichnen, wenn Trace und zu verfolgende Transaktion auf dem gleichen Anwendungsserver laufen. Es werden alle Objektfelder und deren Werte aufgezeichnet während der Prüfung der Berechtigungsobjekten.
Die Auswertung des Security Audit Logs erfolgt über die Transaktion SM20 bzw. SM20N oder den Report RSAU_SELECT_EVENTS. Wir empfehlen die Verwendung des Reports, da Sie hier mehr Möglichkeiten haben, um die Auswertung zu personalisieren und archivierte Logs verschiedener Anwendungsserver in die Auswertung einzubeziehen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen.
Im SAP-Standard setzt sich der Name eines generierten Profils wie folgt zusammen, wenn die System-ID z. B. ADG lautet: T-AG######.