Bereits enthaltene Berechtigungsobjekte
SAP Security Automation
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Achten Sie bei der Verwendung von Verschlüsselungsmechanismen darauf, dass Sie den Zugriff auf die PSE-Dateien (PSE = Personal Security Environment) im Dateisystem des Servers und in der Datenbank verhindern. Legen Sie dazu eine eigene Tabellenberechtigungsgruppe für die Tabelle SSF_PSE_D an, und schränken Sie den Zugriff von Programmen auf das Verzeichnis /sec im Dateisystem ein. Details zur Absicherung der Schlüsseltabellen finden Sie im SAP-Hinweis 1485029.
Kritische Berechtigungen
Sie führen SAP HANA in Ihrem Unternehmen ein und brauchen für Zugriffe auf die Datenbank auch eine Benutzerverwaltung für SAP HANA? Wir zeigen Ihnen die verschiedenen Möglichkeiten der Benutzersynchronisation zwischen ABAP-System und HANA-Datenbank. Die HANA-Datenbank dient ebenso wie die klassischen Datenbanken als Persistenz für das ABAP-System und liegt damit in der Datenbankschicht. In einem solchen Szenario steuern Sie die Berechtigungen der Benutzer über die Applikationsschicht im SAP NetWeaver Application Server ABAP (SAP NetWeaver AS ABAP). Datenbankseitig, d. h. in SAP HANA sind nur technische Benutzer erforderlich. Darüber hinaus gibt es aber auch Anwendungsszenarien, die es erforderlich machen, dass Ihre Anwender Benutzer und Berechtigungen direkt in der HANA-Datenbank erhalten. Im Business-Intelligence-Umfeld (BI-Umfeld) kann dies z. B. bei direkten Zugriffen auf Data Marts in der Datenbank der Fall sein. Zusätzlich hat die HANA-Datenbank eine eigene Anwendungsschicht (SAP HANA Extended Application Services, SAP HANA XS), die Sie auch ohne ABAP-System nutzen können, z. B. für Webzugriffe, die von mobilen Endgeräten ausgehen.
Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert. In älteren Releases wird im Startbild des Reports anstelle der Übersicht über die Sicherheitsrichtlinien eine Selektionsseite für die Profilparameter angeboten. Wenn Sie in dieser Selektionssicht Profilparameter anzeigen auswählen, erhalten Sie in der oberen Hälfte des Bildschirms eine Übersicht zu den Profilparametereinstellungen. Hier sollten Sie besonders auf die Einstellung des Parameters login/no_ automatic_user_sapstar achten und dessen Einstellung auch nach der Umstellung auf die Sicherheitsrichtlinien kontrollieren.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Transaktionen aus anderen SAP-Systemen wie SAP CRM, SAP SCM usw. können Sie ebenfalls in den NWBC einbinden.
Daher sollten Sie solche Einträge bereits vorher bereinigen und gegebenenfalls zwei unterschiedliche Rollen erstellen.