Berechtigungsvorschlagswerte
Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Eine Möglichkeit, einen direkten Zugriff auf die nachgelagerten Systeme vom Entwicklungssystem aus zu erhalten und dort evtl. unautorisierte Aktivitäten durchzuführen, besteht in der Nutzung fehlerhaft konfigurierter Schnittstellen. Grundsätzlich sollten Schnittstellen innerhalb einer Transportlandschaft bezüglich der Kritikalität der Systeme „bergauf“, also von einem „unsicheren“ auf ein „sicheres“ System (z.B. E-System auf Q- oder P-System) vermieden werden. Dies lässt sich allerdings nicht immer umsetzen, beispielsweise werden innerhalb des Transportwesens solche Schnittstellen benötigt. Ohne zu tief in die Thematik einzusteigen, lassen sich jedoch kritische Schnittstellen über folgende Eigenschaften charakterisieren. Kritische Schnittstellen verweisen auf ein kritisches System und einen kritischen Mandanten, beinhalten einen Schnittstellenbenutzer mit kritischen Berechtigungen im Zielmandanten, beinhalten dessen hinterlegtes Kennwort.
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Im IT Bereich müssen wir uns täglich neuen Herausforderungen stellen. Neue Technologien erfordern ein entsprechendes Handeln, um die aktuelle Systemlandschaft immer auf dem neuesten Stand zu halten, die Position am Markt zu stärken und natürlich um sich gegenüber anderen Mitbewerbern einen technologischen Vorsprung zu erarbeiten. Dies macht sich auch in der entsprechenden SAP Systemlandschaft bemerkbar. Lesen Sie in der zweiteiligen Blogreihe, wieso ein Berechtigungskonzept so früh wie möglich in einer Projektphase berücksichtigt werden sollte – vor allem bei der Umstellung auf SAP S/4HANA.
Im SAP-Standard gibt es keine allgemein anwendbare Möglichkeit für die Automatisierung der Massenpflege von Rollenableitungen. Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar) (BRM) von SAP Access Control.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Zwei gleiche Berechtigungen, die die erste Bedingung für den Pflegestatus erfüllen, werden ebenfalls zusammengefasst, sobald sich alle Werte der beiden Berechtigungen in genau einem Feld unterscheiden oder wenn eine Berechtigung mit all ihren Feldern in der anderen Berechtigung enthalten ist.
Analog zur Implementierung der Filterung der Postenjournalanzeige können Sie bei der Anzeige von Belegen in der Transaktion FB03 vorgehen.