Generischer Zugriff auf Tabellen
Risiko: historisch gewachsenen Berechtigungen
Das Security Audit Log protokolliert nun den Tabellen- bzw. View-Namen und die geplante Aktivität externer Tabellenzugriffe über RFC-Verbindungen; dafür wurde ein neuer Meldungstyp definiert. Sie finden diese Korrektur und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1539105.
Da ein Rollenkonzept in der Regel regelmäßigen Veränderungen und Aktualisierungen unterliegt, da z. B. neue Funktionen oder Module eingeführt werden oder neue organisatorische Werte hinzukommen, sollten Rollennamen so gestaltet sein, dass diese ausbaufähig sind. Legen Sie daher im nächsten Schritt fest, welche sinnvollen Kriterien Sie in Ihrem Rollennamen benötigen.
SAP Berechtigungen – Überblick HCM Berechtigungskonzepte
Zum Lesen oder Ändern von Daten muss ein Benutzer sowohl das Privileg haben, eine bestimmte Aktion ausführen zu dürfen, als auch das Privileg, auf das Objekt zugreifen zu können. In SAP HANA werden die folgenden Privilegien unterschieden.
EARLYWATCH: Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support. EARLYWATCH hat nur Anzeigerechte für Performance- und Monitoring-Funktionen. Schutzmaßnahmen: Sperren Sie den Benutzer EARLYWATCH, und schalten Sie ihn nur frei, wenn er durch den SAP-Support angefragt wird. Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Sie können mit Ihrem kundeneigenen Programm einen nächtlichen Hintergrundjob zum Abgleich der Zertifikate einrichten.
Die Zuordnung der Benutzerlisten zu den Berechtigungsprüfungen können Sie über die Check-ID herstellen.