S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren
Gleiche Berechtigungen
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Beim Abmischen von Rollen – sei es nach Upgradenacharbeiten oder bei Rollenmenüänderungen – werden Änderungen an den Berechtigungswerten vorgenommen. Diese Änderungen können Sie sich im Vorfeld als Simulation anzeigen lassen. Wie in Tipp 43, »Berechtigungen nach einem Upgrade anpassen«, beschrieben, erscheinen Administratoren so manche Upgradenacharbeiten wie eine Black Box. Sie klicken auf irgendwelche Buttons, und irgendetwas passiert mit den Berechtigungen in ihren Rollen. Wenn Sie z. B. Schritt 2c (Zu überprüfende Rollen) in der Transaktion SU25 aufrufen, werden alle Rollen mit einer roten Ampel markiert, bei denen ein Abmischen aufgrund der geänderten Daten aus der Transaktion SU24 notwendig ist. Sobald Sie eine dieser Rolle aufrufen und in die Berechtigungspflege einsteigen, ändern sich die Berechtigungswerte sofort. Anhand des Aktualisierungsstatus Alt, Neu oder Verändert erkennen Sie zwar, an welchen Stellen etwas geändert wurde, geänderte oder gelöschte Werte können hier jedoch nicht angezeigt werden. Ein einfaches Beispiel, um dieses Verhalten auch ohne Upgradeszenario nachzuspielen, ist das Ändern des Rollenmenüs. Löschen Sie aus einer Testrolle eine Transaktion, und mischen Sie diese Rolle neu ab. Sie wissen genau, dass nun bestimmte Berechtigungsobjekte verändert und andere sogar komplett entfernt worden sind, können aber nicht alle Änderungen auf der Werteebene nachvollziehen? Dank neuer Funktionen ist nun mit dieser Ungewissheit Schluss.
Berechtigungsprüfung
Anschließend sollten Sie die neueste Version der Hash-Algorithmen aktivieren, indem Sie den Profilparameter login/password_downwards_compatibility auf den Wert 0 setzen. Dies ist erforderlich, da SAP-Systeme standardmäßig die Abwärtskompatibilität beibehalten. Das heißt, dass, abhängig von Ihrem Basisrelease, entweder die neuen Hash-Algorithmen bei der Speicherung der Passwörter nicht verwendet werden, oder es werden zusätzliche veraltete Hash-Werte der Passwörter gespeichert. Anschließend sollten Sie prüfen, ob es noch veraltete Hash-Werte für Passwörter in Ihrem System gibt und diese gegebenenfalls löschen. Nutzen Sie dazu den Report CLEANUP_PASSWORD_HASH_VALUES.
Durch Hinzunahme bestimmter SAP Standardreports und des Benutzerinformationssystems („SUIM“) ist es Ihnen möglich, sicherheitsrelevante Sachverhalte schnell zu erfassen und etwaige Fehler zu beheben. Dadurch wird eine grundlegende Verwaltung Ihres bestehenden Sicherheitskonzeptes verbessert und Sie schützen sich vor äußeren und inneren Eingriffen. Sollten Sie bei Ihrer Systemanalyse Hilfe benötigen, können Sie uns gerne kontaktieren. Die Xiting bietet Ihnen verschiedenste Services rund um das Thema SAP Security an. Vor allem unser unternehmenseigenes Sicherheitstool, die Xiting Authorizations Management Suite, kurz XAMS, ermöglicht Ihnen den Bau eines neuen Rollenkonzepts auf Basis Ihrer Nutzungsdaten bis hin zur Generierung eines revisionskonformen Sicherheitskonzeptes per Knopfdruck. Überzeugen Sie sich doch einfach selber und schauen Sie bei einem unserer vielen verschiedenen Webinare vorbei.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Sie können nun die Benutzergruppe als Pflichtfeld im Benutzerstammsatz definieren, indem Sie die Standardbenutzergruppe in den Eintrag USER_GRP_REQUIRED der mandantenabhängigen Tabelle USR_CUST einpflegen.
Im Programm wird durch die Verwendung der entsprechenden Syntax ermittelt, ob der Benutzer eine ausreichende Berechtigung für eine bestimmte Aktivität hat, indem die im Programm vorgegebenen Feldwerte für das Berechtigungsobjekt mit den in den Berechtigungen des Benutzerstammsatzes enthaltenen Werten verglichen werden.