User- & Berechtigungs-Management mit SIVIS as a Service
Allgemeine Betrachtungen
Wir empfehlen Ihnen, alle Sicherheitshinweise der Priorität very high (1) und high (2) direkt zu implementieren. Sicherheitshinweise der Priorität medium (3) und low (4) implementieren Sie hingegen über Support Packages, die Sie ebenfalls regelmäßig einspielen sollten. Können Sie aktuell kein Support Package einspielen, stellt Ihnen SAP die Sicherheitshinweise der Priorität 3 und 4 ebenfalls zur Verfügung. Für die Auswertung der Sicherheitshinweise sollten Sie einen monatlichen Security-Patch-Prozess definieren.
Wenn Sie Jobs anderer Benutzer abbrechen, freigeben oder in den Status geplant zurücksetzen wollen, brauchen Sie eine Berechtigung für das Objekt S_BTCH_ADM mit dem Wert Y. Alternativ können Sie neuerdings auch die Berechtigung JOBACTION = MODI und JOBGROUP = für das Objekt S_BTCH_JOB erteilen. Die Aktion MODI wurde mit SAP NetWeaver AS ABAP 7.00 eingeführt oder kann über den SAP-Hinweis 1623250 eingespielt werden. In der folgenden Abbildung sehen Sie ein Beispiel zur Ausprägung der Berechtigung JOBACTION = MODI für die Jobs der unter JOBGROUP eingetragenen Benutzer.
Berechtigungstraces anwendungsserverübergreifend auswerten
Bei der Kopie der Werte in die Zwischenablage sollten Sie beachten, dass nur solche Werte in die Zwischenablage kopiert werden, die Sie zuvor markiert haben. Dabei werden die Werteintervalle, die in den Berechtigungsfeldwerten gepflegt sein können, durch einen Tabstopp separiert, in der Zwischenablage gespeichert.
Sie sollten daher eine kryptografische Authentifizierung und eine Verschlüsselung der Kommunikation erzwingen, indem Sie Secure Network Communication (SNC) einrichten. SNC bietet einen starken kryptografischen Authentifizierungsmechanismus, verschlüsselt die Datenübertragung und wahrt die Integrität der übertragenen Daten. Seit einiger Zeit ist SNC ohne einen SSOMechanismus (SSO = Single Sign-on) für SAP GUI und die RFC-Kommunikation aller SAP-NetWeaver-Kunden frei verfügbar. Sie sollten SNC immer zwischen SAP GUI und Anwendungsserver implementieren, da diese Kommunikation auch über offene Netze laufen kann. Für die RFC-Kommunikation brauchen Sie eine SNC-Implementierung, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Details zu den technischen Verbesserungen finden Sie im SAP-Hinweis 1964997.
Sollten einige relevante Felder des kompletten Belegs ausgeblendet sein, d. h. nicht zur Verfügung stehen, beachten Sie die Anleitungen im SAPHinweis 413956.