Sofortige Berechtigungsprüfung – SU53
Berechtigungskonzept des AS ABAP
Anmeldung mit Benutzer und Passwort einer anderen Anwendung (z. B. eines ADs oder Portals) In diesem Fall muss die Webanwendung dazu in der Lage sein, eine eindeutige SAP-Benutzer-ID zu den Anmeldedaten zu ermitteln. Sie sollten eine Anwendung wählen, bei der der Benutzer sein Passwort nicht so leicht vergisst.
SNC sichert die Kommunikation mit bzw. zwischen ABAP-Systemen ab, es gibt aber auch viele webbasierte Anwendungen in SAP-Systemlandschaften. Diese kommunizieren über das Hypertext Transfer Protocol (HTTP). Auch bei der Kommunikation mittels HTTP werden die Daten unverschlüsselt übertragen; daher sollten Sie diese Kommunikation auf Hypertext Transfer Protocol Secure (HTTPS) umstellen. HTTPS nutzt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zur sicheren Datenübertragung im Internet. Die Verwendung von HTTPS sollten Sie daher für alle Webzugriffe von Anwendern einrichten. Für die Kommunikation zwischen SAP-Systemen, sollten Sie HTTPS verwenden, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte. Sie sollten HTTPS entweder auf einzelnen Komponenten der Infrastruktur einrichten (z. B. Proxys), oder die ABAP-Systeme sollten direkt HTTPS bzw. TSL unterstützen. Details zur Konfiguration finden Sie im SAPHinweis 510007.
Die Zentrale Benutzerverwaltung temporär abschalten
Sie können sich die Inhalte der geprüften Berechtigungsfelder anschauen, indem Sie doppelt auf die jeweiligen Variablen klicken. Auf der Registerkarte Variablen 1 werden die Variablen mit den jeweiligen Werten, die für diese Berechtigungsprüfung herangezogen werden, angezeigt. Diese Werte entsprechen den Werten, die Sie auch im Systemtrace für Berechtigungen sehen. Wenn eine Berechtigungsprüfung mit SY-SUBRC = 0 endet, obwohl keine passenden Berechtigungen vorliegen, prüfen Sie, ob die Prüfung lokal über die Transaktionen SU24 oder global über die Transaktion SU25 bzw. AUTH_SWITCH_OBJECTS abgeschaltet wurde.
Welche Anwendungen verfügen über ähnliche oder gleiche Funktionen? Verwenden Sie die Anwendungssuche, um dies herauszufinden. Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben. Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden. Die eigentliche Funktion der alternativen Anwendung soll dabei aber nicht genutzt werden.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Starte hierzu die Transaktion SE38 und führe den o.g. Report aus.
Anders als beim EWA ist es für den SOS möglich, Benutzer aufzulisten, die weitreichende Berechtigungen benötigen.