SAP Systeme: User Berechtigungen mit Konzept steuern
Rollenverwaltung
Rote Ampeln nach einem Rollentransport verheißen nichts Gutes. Um die Aktualität der Profilzuordnung zu jeder Zeit sicherzustellen, sollten Sie regelmäßig einen Benutzerabgleich durchführen. Sicherlich haben Sie festgestellt, dass es Situationen gibt, in denen die Profile Ihrer Anwender nicht aktuell sind. Dies kann z. B. nach einem Rollentransport oder beim Zuweisen von Benutzern zu Rollen in der Transaktion PFCG geschehen. Es verhält sich ähnlich, wenn Sie die Rollen indirekt über das Organisationsmanagement (siehe Tipp 13, »Rollen über das Organisationsmanagement zuordnen«) zuordnen oder die Gültigkeitsdauer von Rollen für Benutzer einschränken. In diesen Fällen kann es sein, dass der Anwender zwar über eine PFCG-Rollenzuweisung verfügt, das dazugehörige Profil allerdings nicht aktuell ist. Eine rote Ampel vor einem Rollennamen im Benutzerstamm in der Transaktion SU01 oder eine gelbe Ampel in der Transaktion PFCG auf der Registerkarte Benutzer macht Sie auf solche Unstimmigkeiten aufmerksam.
Im Prüfungsergebnis werden die Sicherheitslücken nach Prioritäten sortiert aufgelistet, wobei eine hohe Priorität mit einer hohen Treffersicherheit einer Fundstelle und eine niedrige Priorität mit einer niedrigen Treffersicherheit einhergehen. Zudem sind zu jeder Fundstelle weitergehende Informationen innerhalb des ABAP-Editors verfügbar. Mithilfe dieses Prioritätsindikators können Sie leichter erkennen, ob es sich um ein False Positive oder um ein tatsächliches Sicherheitsproblem handelt. Bei den Prioritäten 1 und 2 handelt es sich mit großer Wahrscheinlichkeit um eine echte Fundstelle. Das Tool gibt Empfehlungen, wie der Quelltext geändert werden kann, um die Schwachstellen zu beseitigen. Neben den individuellen Checks für einzelne Entwickler bietet das Werkzeug auch Massenchecks an, etwa um eine gesamte Anwendung in einem Schritt auf Schwachstellen zu prüfen.
Berechtigungen mit SAP Query analysieren und evaluieren
Werden RFC-Funktionsbausteine über RFC-Verbindungen (z.B. von einem RFC-Client-Programm oder einem anderen System) aufgerufen, wird im aufgerufenen System eine Berechtigungsprüfung auf das Berechtigungsobjekt S_RFC ausgeführt. Bei dieser Prüfung wird der Name der Funktionsgruppe geprüft, zu der der Funktionsbaustein gehört. Schlägt diese Prüfung fehl, prüft das System auch die Berechtigungen für den Namen des Funktionsbausteins. Konfigurieren Sie diese Prüfung mit dem Parameter auth/rfc_authority_check.
Die SAP Berechtigungsvorschlagswerte stellen die Grundlage bei der Rollenerstellung dar und gelten auch als Ausgangsbasis für das Berechtigungswesen seitens der SAP. Hierfür müssen die SU22 SAP Berechtigungsvorschlagswerte über die SU25 in die kundeneigenen Tabellen der SU24 transportiert werden. Zuvor sollte daher die Konsistenz der Vorschlagswerte mit Hilfe des Reports SU2X_CHECK_CONSISTENCY überprüft werden. Sollten Inkonsistenzen vorhanden sein, können diese mit Hilfe des Reports SU24_AUTO_REPAIR korrigiert werden. Detaillierte Informationen bezüglich der Vorgehensweise können dem SAP Hinweis 1539556 entnommen werden. Dadurch können Sie nicht nur Ihre SU24 Werte bereinigen, sondern gleichzeitig eine performante Ausgangslage für die Rollen- und Berechtigungsverwaltung erzielen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Wenn Ihre Kundenentwicklung einen direkten Zugriff auf eine Tabelle implementiert, verwenden Sie den Funktionsbaustein VIEW_AUTHORITY_CHECK für die Durchführung der Berechtigungsprüfung.
Dies können geschäftskritische oder personenbezogene Daten oder auch Passwörter sein.