Systemsicherheit
SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
Legen Sie eine Nachricht an, die dem Benutzer bei fehlgeschlagenen Berechtigungsprüfungen angezeigt werden soll. Die Prüfungen in diesem User-Exit können Sie relativ frei gestalten. So können Sie Tabelleneinträge lesen, Daten aus dem Speicher der ABAP-Anwendung ablegen oder dort bereits vorhandene Daten auslesen. Eingeschränkt sind Sie allerdings durch die Schnittstellenparameter der Anwendung. In unserem Beispiel sind dies die Strukturen BKPF und BSEG sowie die Systemvariablen. Sollten Ihnen die Informationen aus den Schnittstellenparametern nicht für die Prüfung ausreichen, können Sie mithilfe Ihrer Programmierkenntnisse und dem Wissen über die Zusammenhänge der Substitution und Validierung im Finanzwesen zusätzliche Daten ermitteln. Mit dem folgenden Coding können Sie die selektierten Posten zum Ausgleichsbeleg ermitteln, die Sie in der Tabelle POSTAB (mit der Struktur RFOPS) im Programm SAPMF05A finden können. Auf diesem Weg können Sie viele zusätzliche Daten ermitteln. Wichtig ist dabei, dass das Rahmenprogramm die User-Exits prozessiert.
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen nur Zugriff auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss. Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
Sofortige Berechtigungsprüfung – SU53
Berechtigungsobjekt S_PROJECT: Das Berechtigungsobjekt S_PROJECT berechtigt zum Arbeiten mit Customizing-Projekten. So können Sie Projekte ändern, anzeigen oder löschen, Statusinformationen sowie Projektdokumentationen pflegen und Projektauswertungen durchführen.
Berechtigungen für Datenbankschemata (Schema Privileges): Schema Privileges sind SQL-Objekt-Berechtigungen, die den Zugriff auf und das Ändern eines (Datenbank-)schemas einschließlich der in diesem Schema enthaltenen Objekte steuern. Ein Benutzer, der ein Object Privilege für ein Schema besitzt, hat damit auch das gleiche Object Privilege für alle in diesem Schema enthaltenen Objekte.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Ergänze fehlende Modifikationsflags in SU24-Daten: Diese Funktion ergänzt das Modifikationsflag für die Einträge, die seit der letzten Ausführung von Schritt 2a in der Transaktion SU25 geändert wurden, d. h., bei denen ein Unterschied zu den SAP-Daten aus der Transaktion SU22 besteht.
Dazu übergibt er den kompletten Datensatz pro Belegzeile und erwartet diesen angereichert wieder zurück.