Berechtigungen mit dem Pflegestatus Verändert oder Manuell
BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Zu guter Letzt hilft Ihnen eine gut geführte Vorschlagswertepflege bei Upgradenacharbeiten an Vorschlagswerten und PFCG-Rollen. Hier wird sichergestellt, dass Ihre Änderungen und die Verbindungen zu den jeweiligen PFCG-Rollen erhalten bleiben und neue Berechtigungsprüfungen für das neue Release zu den Anwendungen hinzukommen.
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Die erste Zeile definiert, dass der Zugriff auf alle Dateien verboten ist, sofern für sie nicht in den weiteren Zeilen andere Einstellungen vorgenommen worden sind. Der Asterisk (*) steht hier an erster Position und in diesem Fall für alle Dateien und Pfade. Steht der Asterisk an einer anderen Position, wird er als Teil des Dateinamens interpretiert, was z. B. in Microsoft Windows gar nicht erlaubt ist. In unserer Beispieltabelle wird durch das Setzen der Schalter FS_NOREAD = X und FS_NOWRITE = X für alle Pfade das Lesen und Schreiben untersagt. Die Tabelle wird damit zu einer White List. Diese ist aus Sicherheitsgründen einer Black List vorzuziehen. SPTH wird dagegen zur Black List, wenn Sie die erste Zeile mit PATH = * in unserem Beispiel entfernen oder keinen der Schalter FS_NOREAD, FS_NOWRITE oder FS_BRGRU setzen. Die zweite Zeile mit PATH = /tmp erlaubt als Ausnahme von dem in der ersten Zeile für alle Dateien und Pfade definierten Zugriffsverbot den Lese- und Schreibzugriff für alle Dateien, die mit /tmp beginnen, analog zu einem Berechtigungswert /tmp*. Diese Einstellung beschränkt sich nicht auf Unterverzeichnisse, sondern umfasst z. B. auch alle Dateien, deren Name mit /tmp-xy beginnt. Die dritte Zeile mit PATH = /tmp/myfiles definiert mit FS_BRGRU = FILE eine Berechtigungsgruppe und löst damit die anschließende Berechtigungsprüfung auf das Objekt S_PATH aus. Der Schalter SAVEFLAG = X definiert, dass diese Dateien in eine Sicherungsprozedur aufgenommen werden; dies ist allerdings für die Berechtigungsvergabe nicht relevant.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Bei der Einplanung eines Jobs kann ein anderer Benutzer als ausführender Benutzer hinterlegt werden. Somit werden die einzelnen Verarbeitungsschritte des Jobs technisch durch den hinterlegten Benutzer mit seinen Berechtigungen durchgeführt. Es könnten also Aktivitäten angestoßen werden, die mit den eigenen Berechtigungen nicht ausführbar wären.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Mit dem SAP Code Vulnerability Analyzer lassen sich sowohl kundeneigene On-Premise- als auch On-Demand-Anwendungen scannen, die in ABAP programmiert sind.