Allgemeine Berechtigungen
Das SAP-Berechtigungskonzept
Unabdingbar ist das Gebot, adäquate Berechtigungsprüfungen in jede ABAP-Eigenentwicklung zu implementieren. Hierfür wird der sogenannte AUTHORITY-CHECK genutzt, der die erforderlichen Berechtigungsobjekt-Ausprägungen abfragt und somit nur befugte Benutzer den Code ausführen lässt.
Nachdem Sie die Änderungsbelege der Benutzer- und Berechtigungsverwaltung archiviert haben, können Sie über einen logischen Index für Änderungsbelegmerkmale die Performance der Auswertung erheblich verbessern. Zuerst müssen Sie allerdings sicherstellen, dass die SAP-Hinweise 1648187 und 1704771 in Ihren Systemen installiert sind. Mit diesen Hinweisen wird der Report SUIM_CTRL_CHG_IDX ausgeliefert, mit dem Sie Schlüsselmerkmale für Änderungsbelegmerkmale der Objektklassen PFCG und IDENTITY in die Tabelle SUIM_CHG_IDX eintragen, wenn Sie das Feld Indiziere zentrale Änderungsbelege markiert haben. Dabei werden alle Änderungsbelege indiziert (beim ersten Durchlauf des Reports kann dies zu einer sehr langen Laufzeit führen). Später werden regelmäßig (z. B. wöchentlich oder monatlich) die neu hinzugekommenen Änderungsbelege indiziert. Dazu geben Sie das Zieldatum in der Selektion des Reports an und planen ihn als regelmäßigen Job ein. Beachten Sie dabei, dass Sie den Index immer nur bis zum vorangehenden Tag anlegen dürfen – andernfalls kann es zu Inkonsistenzen kommen.
Berechtigungskonzept
In Ihrem System gibt es inaktive Benutzer? Dies ist nicht nur ein Sicherheitsrisiko, da diese häufig noch ein Initialpasswort verwenden, sondern erzeugt auch unnötige Lizenzkosten. Es wird immer wieder Benutzer in Ihrem SAP-System geben, die inaktiv sind. Dies kann verschiedene Gründe haben. Beispielsweise kann es sich um Benutzer aus den Managementebenen handeln, die praktisch nicht benutzt werden, weil diese Führungskräfte nicht mit dem ERP-System arbeiten. Auch könnte es sein, dass Mitarbeiter ihren SAP-Benutzer aufgrund eines Positionswechsels nicht mehr nutzen oder dass Externe eine Zeit lang nicht am SAP-System arbeiten. Sie sollten auf alle Fälle dafür sorgen, dass diese inaktiven Benutzer entweder gesperrt oder ungültig werden. Bisher mussten Sie dazu mithilfe des Reports RSUSR200 alle inaktiven Benutzer selektieren und sie dann manuell in die Transaktion SU10 übertragen, um die Sperrung durchzuführen. Dies können Sie nun auch automatisiert durchführen.
Ist der Wildwuchs dadurch entstanden, weil das Berechtigungskonzept nicht eingehalten wurde, reicht eine Bereinigung aus. Wenn der Wildwuchs entstanden ist, weil es Fehler und Lücken im Berechtigungskonzept gibt, müssen diese Fehler identifiziert, beseitigt und die Berechtigungen optimiert werden. Ist das Konzept mittlerweile nicht mehr sinnvoll umsetzbar oder bereits falsch aufgebaut, ist eine Neuerstellung notwendig.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Ein Benutzer erbt die Klassifizierung des Referenzbenutzers, wenn er keine weiteren Rollen- oder Profilzuordnungen mit Klassifizierung hat, oder nicht manuell klassifiziert wurde.
Das Konzept für Eigenentwicklungen ist für jede Firma obligatorisch, in der eigene Software geschrieben wird.