Konzepte der SAP Security
Fehlendes Knowhow
Die Auswertungsperformance des Security Audit Logs wurde ab SAP NetWeaver 7.31 optimiert. Für die Einspielung dieser Erweiterung brauchen Sie einen Kernel-Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in SAP-Hinweis 1810913.
Mit Hilfe der Transaktion SU21 werden die Berechtigungsobjekte definiert. Jede SAP-Transaktion ist in der SU24 mit den erforderlichen Berechtigungobjekten, die den Zugriff auf bestimmte Funktionen innerhalb des jeweiligen Programms steuern, ausgestattet. Standardprogramme / Transaktionen eines ERP-Systems werden bei der Erstinstallation schon mit diesen Objekten ausgestattet. Für andere Plattformen wie CRM oder Solution Manager gilt das gleiche.
Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Die weiteren Felder in der Tabelle SMEN_BUFFC beschreiben die Struktur der Favoriten, wobei das Feld OBJECT_ID der eindeutige Schlüssel des Favoriteneintrags ist. Im Feld PARENT_ID finden Sie die Objekt-ID des übergeordneten Eintrags, und das Feld MENU_LEVEL beschreibt die Stufe des Eintrags in der Ordnerstruktur der Favoriten. Die Reihenfolge der Sortierung der Favoriteneinträge können Sie aus dem Feld SORT_ORDER ablesen.
Bei der Anzeige oder dem Buchen von Belegen im SAP-Finanzwesen reichen Ihnen die Standardberechtigungsprüfungen nicht aus? Nutzen Sie die Belegvalidierung, BTEs oder BAdIs für zusätzliche Berechtigungsprüfungen. Das Buchen von Belegen und häufig auch deren Anzeige wird durch Standardberechtigungsprüfungen geschützt; diese erfüllen aber gegebenenfalls nicht Ihre Anforderungen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können.
Da RFC-Schnittstellen für das gesamte System definiert werden, können diese aus jedem Mandanten des Startsystems heraus genutzt werden.