Analyse der Qualität des Berechtigungskonzeptes – Teil 1
Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Möchten Sie lediglich die Beschreibung der Rolle übersetzen, empfiehlt es sich, die Transaktion PFCG aufzuzeichnen und vor dem Durchlaufen des LSMW-Skripts die Quellsprache der Rolle mithilfe des Reports Z_ROLE_SET_MASTERLANG zu ändern. Den Report zum Ändern der Quellsprache erhalten Sie über den SAP-Hinweis 854311. Auf ähnliche Weise können Sie die Übersetzung auch mithilfe der Transaktion SECATT (Extended Computer Aided Test Tool, eCATT) anstelle der Transaktion LSMW durchführen. Des Weiteren ist eine Automatisierung mithilfe eines kundenspezifischen ABAP-Programms möglich. Hierzu sollten Sie sich die Tabelle AGR_TEXTS einmal genauer anschauen. Die Tabelle beinhaltet die verschiedenen Textbausteine in den verschiedenen Sprachen. Wir zeigen Ihnen hier einen Ausschnitt der Tabelle mit unserer Beispielrolle Z_SE63. Den Kurztexten wird in der Spalte LINE der Wert 00000 zugeordnet, und die Langtexte erhalten die Werte 00001 bis 0000x. Die Sprachschlüssel werden in der Spalte SPRAS angezeigt. Mithilfe eine ABAP-Programms lassen sich nun die Pendants für die Textfelder in der Zielsprache in die Felder der Tabellen schreiben.
Sobald Sie das Rollenmenü bearbeitet haben, können Sie die eigentlichen Berechtigungen in der PFCG-Rolle anpassen. Wechseln Sie hierzu auf die Registerkarte Berechtigungen. Je nach der Menge der externen Services aus dem Rollenmenü erscheinen nun die Berechtigungsobjekte. Die Berechtigungsobjekte werden je nach ihren Vorschlagswerten, die für jeden externen Service in den Tabellen USOBT_C sowie USOBX_C gepflegt sein müssen, in die PFCG-Rolle geladen. Diese Vorschlagswerte können Sie in der Transaktion SU24 bearbeiten. Achten Sie darauf, dass auch für externe Services im Kundennamensraum die Namen der externen Services sowie deren Vorschlagswerte in den Tabellen gepflegt sind (siehe Tipp 41, »Den Vorschlagswerten externe Services aus SAP CRM hinzufügen«). Die Sichtbarkeit und der Zugriff auf externe Services wird über das Berechtigungsobjekt UIU_COMP gewährleistet. Dieses Berechtigungsobjekt besteht aus drei Berechtigungsfeldern: COMP_NAME (Name einer Komponente), COMP_WIN (Komponentenfenstername), COMP_PLUG (Inbound-Plug).
Rollentyp
Standardberechtigungen, die für eine funktional vollständig zu beschreibende Rolle benötigt werden, sollten entsprechend gepflegt werden. Es ist empfehlenswert, nicht benötigte Berechtigungen oder auch ganze Berechtigungszweige zu deaktivieren und nicht zu löschen. Berechtigungen, die auf den Aktivstatus Inaktiv gesetzt wurden, werden zum einen bei einem erneuten Abmischen nicht erneut als neue Berechtigungen in den Berechtigungsbaum aufgenommen, und zum anderen werden diese Berechtigungen bei der Profilgenerierung nicht mitberücksichtigt und somit auch nicht im zugrunde liegende Profil einer Rolle zugewiesen.
Abhängig von Ihrem SAP-NetWeaver-Releasestand müssen Sie den SAP-Hinweis 1731549 oder ein entsprechendes Support Package einspielen. Danach ist es nicht mehr möglich, neue Benutzer anzulegen, deren Namen nur aus Varianten von Leerzeichen oder nicht sichtbaren Sonderzeichen bestehen. Änderungen an bestehenden Benutzern sind aber weiterhin möglich. Über den ebenfalls in SAP-Hinweis 1731549 enthaltenen Customizing-Schalter BNAME_RESTRICT können Sie selbst steuern, ob Sie alternative Leerzeichen an bestimmten Stellen der Benutzer-ID erlauben möchten.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Eine vollumfängliche SAP-Sicherheitsüberprüfung ist hier jedoch noch nicht zu Ende.
Transaktionen, die z. B. von einem Benutzer innerhalb von zwölf Monaten nur einmal verwendet wurden, könnten auf einen sehr privilegierten Benutzer oder aber auf den versehentlichen Aufruf einer Transaktion hindeuten, für die ein Benutzer Berechtigungen hat.