Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Welche Vorteile haben SAP Berechtigungen?
Textbausteine in Berechtigungsrollen können Sie einzeln mithilfe der Transaktion SE63 übersetzen. Wenn Sie viele Rollen übersetzen müssen, gibt es aber auch Automatisierungsoptionen, die wir Ihnen hier vorstellen. Es gibt verschiedene Szenarien, in denen es interessant wird, die Texte von Berechtigungsrollen zu übersetzen, z. B. wenn Ihr Unternehmen international agiert. Auch kann es vorkommen, dass Sie ein Drittunternehmen mitsamt den dort genutzten SAP-Systemen übernommen haben oder Sie eine Vereinfachung der SAP-Systemlandschaft anstreben und dafür verschiedene Sparten in einem System vereinen. In allen genannten Fällen müssen Sie die Texte der Berechtigungsrollen vereinheitlichen oder übersetzen. Für die reine Übersetzung können Sie die Transaktion SE63 nutzen, die wir im ersten Abschnitt dieses Tipps erläutern. Im Regelfall müssen Sie aber bei den genannten Szenarien eine große Anzahl von Rollentexten übersetzen; daher erläutern wir im zweite Abschnitt wie Sie die Übersetzung mithilfe der Transaktion LSMW (Legacy System Migration Workbench) automatisieren und gehen auf den Aufbau eines kundeneigenen ABAP-Programms ein.
Sicherheitshinweise korrigieren Schwachstellen in der SAP-Standardsoftware, die intern oder extern ausgenutzt werden können. Sorgen Sie mithilfe der Anwendung »Systemempfehlungen« dafür, dass Ihre Systeme auf dem aktuellen Stand sind. SAP-Software wird hohen Qualitätssicherungsstandards unterzogen – trotzdem kann es zu Sicherheitslücken im Code kommen. Diese Sicherheitslücken können im schlimmsten Fall externen und internen Eindringlingen Tür und Tor öffnen. In einschlägigen Internetforen ist es nicht schwer, Anleitungen zur Ausnutzung dieser Sicherheitslücken zu finden. Ein Berechtigungskonzept ist nur so gut wie der Code, der die Berechtigungsprüfungen ausführt. Findet keine Berechtigungsprüfung im Code statt, kann auch das Berechtigungskonzept den Zugriff nicht einschränken. Aus diesen Gründen hat SAP den Security Patch Day (jeden zweiten Dienstag im Monat) eingeführt, der Ihnen eine bessere Planung für die Implementierung der Sicherheitshinweise ermöglichen soll. Zusätzlich können Sie die Anwendung Systemempfehlungen im SAP Solution Manager nutzen, um eine detaillierte, systemübergreifende Übersicht der benötigten Sicherheitshinweise zu erhalten. Der Systemstatus und die bereits implementierten SAP-Hinweise werden dabei berücksichtigt. Sorgen Sie mit dieser Unterstützung dafür, dass sich Ihre Systemlandschaft auf dem aktuellen Sicherheitsstand befindet.
Rollenmassenpflege mithilfe von eCATT vornehmen
Änderungen im Customizing und verschiedene sicherheitsrelevante Änderungen, wie etwa die Pflege von RFC-Schnittstellen sind über Tabellenänderungsprotokolle einsehbar. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Strukturelle Berechtigungen arbeiten mit dem SAP HCM Organisationsmanagement und definieren, wer gesehen werden darf, aber nicht was gesehen werden darf. Dies geschieht auf Basis von Auswertungswegen im Org-Baum. Strukturelle Berechtigungen sind deshalb nur gemeinsam mit allgemeinen Berechtigungen einzusetzen. Genau wie die allgemeinen Berechtigungen in SAP ECC HR ermöglichen sie einen geregelten Zugriff auf Daten in zeitabhängigen Strukturen. Über ein Berechtigungsprofil läuft die Ermittlung ab. Zudem wird definiert, wie die Suche auf dem Org-Baum erfolgt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln.
Natürlich müssen auch hier dann noch u.a. die Themen wie Update von internen und Third-Party Tools, Integration von Cloud Lösungen, moderne hybride Infrastrukturen, Definition und Betrieb bei laufenden dynamische Veränderungen, usw. berücksichtigt werden.