Werte des Berechtigungstrace ins Rollenmenü übernehmen
In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren
Zunächst müssen die Softwareentwickler der Webanwendung geeignete Berechtigungsprüfungen implementieren und für die Nutzung bei der Rollenpflege in der Transaktion PFCG verfügbar machen. Dies beinhaltet auch die Vorschlagswertepflege in der Transaktion SU22. Alle hierzu notwendigen Details liefert der SAP-Hinweis 1413012 (neue wiederverwendbare Startberechtigungsprüfung).
Sie setzen neben der SAP-Standardsoftware auch kundeneigene ABAP-Programme ein? Erfahren Sie, wie Sie mithilfe des SAP Code Vulnerability Analyzers Ihren Kundencode auf potenzielle Sicherheitslücken scannen und diese gegebenenfalls bereinigen können. Berechtigungskonzepte, Firewalls, Antiviren- und Verschlüsselungsprogramme reichen alleine nicht aus, um Ihre IT-Infrastruktur und IT-Systeme gegen innere und äußere Angriffe und Missbrauch zu schützen. Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen. Ferner ist zu erwähnen, dass die eingesetzten Berechtigungskonzepte durch ABAP-Code umgangen werden können, was das Gewicht von Sicherheitslücken im ABAP-Code unterstreicht. Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen. Unternehmen unterliegen einer ganzen Reihe von gesetzlichen Vorgaben zum Thema Datenschutz und Datenintegrität, und Sie können diese mithilfe eines neuen Werkzeugs weitestgehend erfüllen. Der SAP Code Vulnerability Analyzer ist im ABAP Test Cockpit (ATC) integriert und somit in allen ABAP-Editoren wie SE80, SE38, SE24 usw. vorhanden. Entwickler können damit während der Programmierung und vor der Freigabe ihrer Aufgaben ihren Code auf Schwachstellen hin scannen und diese bereinigen. Dadurch sinken die Testaufwände und Kosten.
Customizing
Im SAP-System werden Passwörter gesperrt, wenn die maximale Anzahl erlaubter Fehlversuche bei der Passwortanmeldung erreicht ist. Dieser Zähler wird bei jeder erfolgreichen Anmeldung mit einem Passwort wieder zurückgesetzt. Darüber hinaus kann ein Initialpasswort gesperrt werden, wenn seine Gültigkeit abgelaufen ist. Sowohl die Gültigkeit des Initialpassworts als auch der Maximalwert für Fehlversuche bei der Passwortanmeldung werden über Profilparameter gesetzt. Details hierzu finden Sie in Tipp 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«. Eine Passwortsperre verhindert nur die weitere Anmeldung eines Benutzers über sein Passwort, da die Anzahl der Fehlversuche nur dann ausgewertet wird, wenn die Anmeldung mittels Passwort erfolgt. Erfolgt also nun eine Anmeldung über andere Authentifizierungsverfahren (wie z. B. SSO), sind diese nicht von der Passwortsperre betroffen. Dies gilt ebenso für interne Ablaufverfahren (wie z. B. Hintergrundjobs) da bei Ihnen ebenfalls keine Passwortanmeldung notwendig ist. Dies verhindert z. B. sogenannte Denial-of-Service-Attacken, die zunächst die Sperre eines Passworts bewirken, um darüber interne Prozesse zu blockieren.
Der Zugriff auf Tabellen und Reports sollte nur eingeschränkt erlaubt werden. Eine generelle Vergabe von Berechtigungen, z. B. für die Transaktion SE16 oder SA38, wird nicht empfohlen. Stattdessen können Parameteroder Reporttransaktionen Abhilfe schaffen. Mithilfe dieser Transaktionen können Sie Berechtigungen nur für bestimmte Tabellen oder Reports erteilen. In der Vorschlagswertepflege können Sie weiterführende Berechtigungsobjekte, wie z. B. S_TABU_NAM, pflegen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Mit der Implementierung des SAP-Hinweises 1870622 wird eine Funktionserweiterung für die Transaktion SE97 bereitgestellt.
Damit einem Nutzer eine passende Berechtigung für einen betriebswirtschaftlichen Funktionsumfang in der Webanwendung zugewiesen werden kann, müssen die Softwareentwickler in der Transaktion SU22 alle für diese Anwendung benötigten Berechtigungsobjekte an die entsprechende Web-Dynpro-Anwendung anbinden, also nicht nur S_START.