Den Zeitstempel in der Transaktion SU25 verwenden
Kommunikationsbenutzer
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an. Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an. Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten > Tabelle einfügen (oder über den Button ) können Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_ 1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERS für die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
Die mit dem Berechtigungstrace (mit Filter für das Berechtigungsobjekt S_DATASET) gewonnenen Daten können Sie natürlich auch gleich zur Ausprägung von Berechtigungen für das Objekt selbst verwenden. Hierzu sollten Sie in jedem Fall auch die für das Feld PROGRAM gewonnenen Werte nutzen. Auf diese Weise schließen Sie den Missbrauch durch modifizierte Kopien von ABAP-Programmen aus. Diese Einschränkung der zugreifenden Programme stellt bereits einen Sicherheitsgewinn dar, auch wenn Sie den Zugriff auf Pfade und Dateien nicht einschränken möchten.
Security Audit Log konfigurieren
Die zweite Möglichkeit ist die Pflege der HANA-Benutzer über die Transaktion SU01. Diese Möglichkeit besteht seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767). Dazu richten Sie über die Transaktion DBCO eine Verbindung zur Datenbank ein, die Sie über den Report ADBC_TEST_CONNECTION testen können. Dieser Report wird mit dem SAP-Hinweis 1750722 ausgeliefert. Im nächsten Schritt tragen Sie die Datenbankverbindung und den Mandanten, in dem die Funktionalität zur Verfügung stehen soll, in die Tabelle USR_DBMS_SYSTEM ein. Nun steht Ihnen die neue Funktionalität in der Transaktion SU01 über die Registerkarte DBMS zur Verfügung. Mit der Anlage des ABAP-Benutzers wird automatisch ein Benutzer in der Datenbank angelegt und eine Zuordnung zwischen ABAP-Benutzer und Datenbankbenutzer gespeichert. Dem Datenbankbenutzer (DBMS Benutzer) können Sie dann in der Spalte Datenbankmanagementsystem-Rolle Datenbankrollen zuweisen.
Bei der Kopie der Werte in die Zwischenablage sollten Sie beachten, dass nur solche Werte in die Zwischenablage kopiert werden, die Sie zuvor markiert haben. Dabei werden die Werteintervalle, die in den Berechtigungsfeldwerten gepflegt sein können, durch einen Tabstopp separiert, in der Zwischenablage gespeichert.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Es steht Ihnen frei, noch manuelle Anpassungen an den Feldwerten vorzunehmen.
Dies kann, im schlimmsten Fall, einen DSGVO-Verstoß darstellen und zu einem Bußgeld für das Unternehmen führen.