Berechtigungen für den Dateizugriff steuern
Werte aus der Zwischenablage in die Berechtigungsfelder der Transaktion PFCG kopieren
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Nachträglich können Sie die Aufbewahrungszeit nicht mehr hochsetzen; daher sollten Sie die Konfiguration rechtzeitig vor Beginn eines Projekts anpassen. Zusätzlich sollten Sie die Einstellungen der Profilparameter stat/rfcrec und stat/rfc/distinct ändern. Den Wert für stat/rfcrec sollten Sie z. B. auf den Wert 30 erhöhen, und stat/rfc/distinct sollten Sie auf den Wert 1 setzen. Dies verbessert die Vollständigkeit der aufgezeichneten RFC-Nutzungsdaten. Details zu den technischen Verbesserungen finden Sie im SAP-Hinweis 1964997.
Weiterbildung im Bereich Berechtigungswesen
Mit dem SAP Code Vulnerability Analyzer lassen sich sowohl kundeneigene On-Premise- als auch On-Demand-Anwendungen scannen, die in ABAP programmiert sind. Der SAP Code Vulnerability Analyzer ist ab SAP NetWeaver AS ABAP 7.02 enthalten; eine Installation ist nicht notwendig. Details zu den relevanten Support Packages erhalten Sie in den SAP-Hinweisen 1921820 und 1841643. Sie benötigen keine zusätzlichen Server oder zusätzliche Administration. Den SAP Code Vulnerability Analyzer können Sie mit dem Report RSLIN_SEC_LICENSE_SETUP aktivieren, müssen für ihn allerdings zusätzliche Lizenzgebühren zahlen.
Mit den Releases SAP NetWeaver 7.03 und 7.30 wurden für Web-Dynpro- ABAP-Anwendungen (sowie für weitere Web-Dynpro-ABAP-Funktionen, siehe SAP-Hinweis 1413011) die Prüfung der Berechtigung zum Start derartiger Anwendungen eingeführt. Das Berechtigungsobjekt, das diese Startberechtigung steuert ist S_START. Dieses Berechtigungsobjekt wird analog zum Berechtigungsobjekt S_TCODE eingesetzt.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Vermeiden Sie dies, indem Sie grundsätzlich die Tabellenprotokollierung aktivieren und dann die Protokollierung für bestimmte zusätzliche Tabellen einstellen.
In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«).