Bereits enthaltene Standardberechtigungen
Favoriten der Benutzer zentral einsehen
Ihre Systemlandschaft entspricht keiner typischen Dreisystemlandschaft? Erfahren Sie, was Sie in diesem Fall bei Upgradenacharbeiten für die Vorschlagswerte von Rollen beachten sollten. Ihre Systemlandschaft kann sich von den typischen Dreisystemlandschaften z. B. dadurch unterscheiden, dass Sie mehrere Entwicklungssysteme bzw. Entwicklungsmandanten haben. Über Transporte werden dann alle Entwicklungen und Customizing-Einträge in einem Konsolidierungssystem zusammengefügt. Führen Sie Ihre Upgradenacharbeiten in der Transaktion SU25 durch, und transportieren Sie mit Schritt 3 Ihre Vorschlagswerte, d. h. Ihre SU24-Daten. Führen Sie diesen Schritt hingegen in allen Entwicklungssystemen aus, laufen alle Transporte in Ihrem Konsolidierungssystem zusammen, und nur der letzte Import der Tabellen wird verwendet. Gleiche Einträge werden außerdem als zu löschende Einträge erkannt. Ähnlich verhält es sich mit Ihren PFCG-Rollen. Pflegen Sie diese in mehreren Entwicklungssystemen bzw. –mandanten, und möchten Sie nun die Rollen mit ihren generierten Profilen transportieren, besteht die Gefahr, dass die Nummern für die Profile gleichlauten, da sich die Profilnamen aus dem ersten und dritten Zeichen der System-ID des Systems und einer sechsstelligen Nummer zusammensetzen. Stammen nun auch noch die Profile aus demselben System (auch wenn der Mandant ein anderer ist), kann es aufgrund der gleichen Profilnamen zu Importfehlern kommen. Außerdem kann die Herkunft des Profils im Nachhinein nicht mehr nachvollzogen werden. Daher brauchen Sie eine Möglichkeit, um die Daten für die Berechtigungsvorschlagswerte und die PFCG-Rollen in Y-Landschaften transparent und konsistent zu transportieren.
Wenn Sie die Kommunikation zwischen dem Client und den Anwendungsservern nicht verschlüsseln, ist es für einen Dritten erstaunlich einfach, den Benutzernamen und das dazugehörige Passwort abzufangen. Verschlüsseln Sie diese Schnittstelle daher unbedingt! Es gibt häufig Unklarheit darüber, ob das Passwort in SAP-Systemen im Standard verschlüsselt ist und ob es während der Kommunikation zwischen dem Client und den Anwendungsservern im Standard eine Verschlüsselung gibt. Dieses Unwissen kann zu fatalen Sicherheitslücken in Ihrer Systemlandschaft führen. Wir möchten Ihnen daher an dieser Stelle erklären, wie Sie die Passwörter in Ihrem System absichern und sich gegen ein Abgreifen der Passwörter während der Übertragung schützen können.
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
Unter Beachtung des Minimalprinzips und der Funktionstrennung sind die verwendeten Rollen zu definieren und damit einhergehend Vorgaben zu ihrer Benennung, Struktur und Nutzung. Auch auf das Beantragungs- und Vergabeverfahren sollte ein genaues Augenmerk gerichtet werden, um Berechtigungskonflikten vorzubeugen, die vor allem durch wechselnde oder sich erweiternde Aufgabenbereiche von Mitarbeitern entstehen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Wir stellen Ihnen die vom SAP Active Global Support (AGS) angebotenen Security Services vor.
Das Security Audit Log (SAL) verfügt in den aktuellen Releases über zehn verschiedene Filter, über die gesteuert wird, welche Ereignisse protokolliert werden.