Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Da zumindest Entwickler im Entwicklungssystem wie erwähnt quasi über Vollberechtigungen verfügen, kann der konkrete Zugriff auf eine kritische RFC-Verbindung also auch nicht entzogen werden. Da RFC-Schnittstellen für das gesamte System definiert werden, können diese aus jedem Mandanten des Startsystems heraus genutzt werden. Vorhandenen Schnittstellen lassen sich über die Tabelle RFCDES im Start- (Entwicklungs-) System auslesen.
Sie möchten Ihr Berechtigungskonzept überarbeiten und die SAP-Rollen nur auf die produktiven Prozesse zuschneiden. Wir zeigen Ihnen, wie Sie die statistischen Nutzungsdaten aus dem Workload-Monitor für die SAP-Rollendefinition verwenden. Einer der größten Aufwandstreiber beim Redesign von SAP-Rollenkonzepten ist die Definition der transaktionalen Ausprägung von SAP-Rollen. Indem Sie die statistischen Nutzungsdaten aus dem Workload-Monitor verwenden, können Sie aufwendige Abstimmungen mit den Prozessverantwortlichen im Sinne eines Green Field Approachs vermeiden. Auf diese Weise können Sie Ihre SAP-Rollenkonzepte inhaltlich auf das Nutzungsverhalten abstimmen. Voraussetzung ist lediglich, dass die Daten für einen repräsentativen Zeitraum zur Verfügung stehen. Im SAP-Standard sind dies zwei Monate; Sie können diesen Zeitraum aber auch erweitern. Im Folgenden beschreiben wir, wie Sie die statistischen Nutzungsdaten aus dem Workload-Monitor für die SAP-Rollendefinition verwenden können.
Berechtigungen in SAP-Systemen: worauf Admins achten sollten
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Um fehlgeschlagene Berechtigungsprüfungen zentral einzusehen, können Sie ebenfalls die Transaktion SU53 verwenden. Öffnen Sie die Transaktion, und rufen Sie im Menü über den Pfad Berechtigungswerte > Anderer Benutzer oder mit der Taste (F5) die Benutzerauswahl auf. Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein. In der Ergebnisliste können Sie für jeden Anwender fehlgeschlagene Berechtigungen einsehen, wie in unserem Beispiel die fehlende Berechtigung zum Anzeigen der Tabelle AGR_1251. Sie sehen, dass in dieser Auswertung mehr als nur ein Berechtigungsobjekt angezeigt wird.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Diese Funktion kann auch für kundeneigene Entwicklungen verwendet werden.
Transportaufzeichnung für Profile geänderter Rollen: Hiermit können Sie die geänderten Profile in einen Transportauftrag schreiben lassen.