BERECHTIGUNGEN IN SAP-SYSTEMEN
Einführung & Best Practices
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
SAP Access Control unterstützt ab Release 10.1 die Anlage von Benutzern sowie die Zuweisung von Rollen und Privilegien in HANA-Datenbanken. Nutzen Sie in SAP Access Control das Konzept der Business-Rollen, können Sie bei der Zuweisung einer Business-Rolle eine automatische Anlage der Benutzer im SAP NetWeaver AS ABAP und in der HANA-Datenbank sowie die Zuordnung der technischen ABAP- und HANA-Rollen (bzw. Privilegien) erreichen.
Zu umfangreiche Berechtigungen beim HR-Reporting verhindern
Eine solche Organisationsmatrix können Sie als Excel-Datei oder in ABAP anlegen; dies hängt davon ab, wie Sie die Daten einlesen möchten. Beim Einsatz einer gängigen Standardlösung (z. B. SAP Access Control) wird hierzu in der Regel ein entsprechender Pflege-View angeboten. Wir beschreiben zunächst, wie Sie die automatisierte Massenpflege in Form einer kundeneigenen Entwicklung bereitstellen können.
Um in Notsituationen jederzeit vollumfänglich agieren zu können, ist ein SAP-Notfallbenutzer bereitzuhalten, der über alle Berechtigungen fürs gesamte SAP-System verfügt (typischerweise mittels Sammelprofil SAP_ALL). Das macht ihn allerdings nicht nur zu einer großen Hilfe, sondern gleichzeitig ausgesprochen gefährlich, sodass sein Einsatz über ein dediziertes Konzept genau zu regeln ist.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Prozesse lassen sich immer wieder optimieren.
Durch die rollenspezifische Vergabe der SAP Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.