Berechtigungen für User-Interface-Clients
Gewährleistung einer sicheren Verwaltung
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
Schützen Sie Ihr System vor unbefugten Aufrufen von RFC-Funktionsbausteinen über das Berechtigungsobjekt S_RFC, indem Sie die erforderlichen Berechtigungen mithilfe der statistischen Nutzungsdaten ermitteln. In vielen Unternehmen liegt das primäre Augenmerk im Berechtigungsumfeld auf dem Schutz von Dialogzugriffen. Für jede erforderliche Transaktion entscheiden Sie im Einzelnen, welche Personengruppen Zugriff erhalten dürfen. Oft wird dabei übersehen, dass für das kritische Berechtigungsobjekt S_RFC eine analoge Berechtigungszuweisung erfolgen muss. Sind die Berechtigungen zum externen RFC-Zugriff (RFC = Remote Function Call) über Funktionsbausteine unsauber definiert und den Anwendern zugewiesen, wird der Primärschutz für startbare Anwendungen durch das Berechtigungsobjekt S_TCODE schnell umgangen.
Mit den Standardbenutzern und deren Initialpasswörtern umgehen
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Logische Datenbanken (z. B. SAPDBADA, SAPDBBRF) sind grundlegende Datenselektionsprogramme und werden insbesondere in der Finanzbuchhaltung verwendet.
Fügen Sie der Sammelrolle das Rollenmenü über den Button Menü einlesen hinzu.