SAP Berechtigungen Fehlgeschlagene Berechtigungsprüfungen in der Transaktion SU53 zentral einsehen

Direkt zum Seiteninhalt
Fehlgeschlagene Berechtigungsprüfungen in der Transaktion SU53 zentral einsehen
Passwortparameter und gültige Zeichen für Passwörter einstellen
Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen. Es gibt verschiedene rechtliche Anforderungen, die ein regelmäßiges Prüfen und Bewerten (Audit) Ihres SAP-Systems erfordern. In der Regel gibt es interne und externe Revisoren, die solche Audits durchführen. Zusätzlich kann die Benutzer- und Berechtigungsverwaltung ein eigenes Monitoring der Berechtigungen einführen, um unangenehme Überraschungen während der Audits zu vermeiden. Die Dokumentation der Audits erfolgt bei den externen Auditoren oft standardisiert; für die interne Revision oder Ihr eigenes Monitoring fehlt aber in vielen Fällen eine passende Dokumentation. Häufig fordern auch externe Revisoren trotz automatisierter Auswertungen eine Aktivierung des Audit Information Systems (AIS). Wir zeigen Ihnen daher wie Sie das AIS aktivieren und die Vorteile des neuen AIS Cockpits nutzen.

Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer
Sämtliche externe Services zur Cross-Navigation sind im Rollenmenü im Ordner GENERIC_OP_LINKS gespeichert. Neben diesen Informationen enthält dieser Ordner außerdem externe Services, die die bereits erwähnten Bereichsstartseiten und logischen Links repräsentieren. Letztere können Sie löschen, da es sich hier um Duplikate aus den anderen Ordnern oder nicht relevante externe Services handelt. Um nun korrekte Berechtigungen für die unüberschaubaren externen Services im Ordner GENERIC_OP_LINKS einzurichten, können Sie die externen Services identifizieren, die Sie für Ihre CRM-Business-Rolle benötigen, und alle anderen externen Services löschen. Hier besteht aber wie gesagt die Gefahr, dass zu viele externe Services gelöscht werden und die Cross-Navigation oder das Aufrufen der gespeicherten Suchen nicht mehr funktioniert. Besser ist es daher, wenn Sie den Ordner GENERIC_OP_LINKS in eine separate Rolle auslagern.

Zentrale Plattform für alle technisch unterstützten Services ist dabei der SAP Solution Manager, denn dort stehen Ihnen Informationen zu den angeschlossenen Systemen zur Verfügung, wenn Sie Datensammlungen für diese Systeme über Hintergrundjobs einplanen. Die Dokumentationen für den sicheren Betrieb von SAP-Systemen sind im SAP End-to-End Solution Operations Standard for Security (Secure Operations Standard) zusammengestellt. Dieser bietet Ihnen einen Überblick zu Sicherheitsaspekten des SAP-Betriebs und soll Sie durch die vorhandenen Informationen und Empfehlungen führen und auf relevante Inhalte verweisen.

Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.

Sind in der Transaktion PFCG keine Buttons zum Kopieren und Einfügen vorhanden, können Sie diese einfach einspielen.

Textbausteine in Berechtigungsrollen können Sie einzeln mithilfe der Transaktion SE63 übersetzen.
SAP Corner
Zurück zum Seiteninhalt