Berechtigungsfehler durch Debugging ermitteln
Servicebenutzer
Die Anforderungen im dritten Beispiel, die Postenjournalanzeige (Transaktion FAGLL03) zu filtern, können Sie mithilfe des BAdIs FAGL_ITEMS_CH_DATA umsetzen. Dabei sollen, abhängig von den erteilten Berechtigungen, bestimmte Posten oder Belege von der Anzeige ausgeschlossen werden. Die Definition des BAdIs können Sie über die Transaktion SE18 einsehen, und in der Transaktion SE19 legen Sie eine Implementierung des BAdIs im Kundennamensraum an.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Security Automation bei SAP Security Checks
Wenn Ihre Auswahl vollständig ist, verlassen Sie das Bild einfach mit dem grünen Zurückknopf. Sie gelangen nun auf den Detailauswahlbildschirm, in dem Sie die Selektionsfelder und die Ausgabefelder (die Registerkarten Listenfeldauswahl und Selektionsfelder) Ihrer Tabellenkombination auswählen können. Wir wählen die Berechtigungsobjekte und -werte als Selektion und den Rollennamen sowie den Benutzer als Ausgabefelder. Fertig! Jetzt kann die Query mit dem Button Ausführen gestartet werden. Dabei erstellt das System im Hintergrund ein Programm, das den Join aufbaut. Als Ergebnis wird Ihnen ein Selektionsbild angezeigt. Geben Sie dort »S_TCODE« als Objekt und »SCC4« als Feldwert an (wir haben bei diesem Objekt ja nur ein Feld). Wenn Sie dann auf Ausführen klicken, werden Ihnen alle Benutzer und die auslösenden Rollen ausgegeben.
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Identifizieren Sie Schwachstellen in der Konfiguration Ihrer RFC-Schnittstellen, also RFC-Verbindungen, in denen Benutzer mit weitreichenden Berechtigungen (z. B. mit dem Profil SAP_ALL) eingetragen sind. Diese RFC-Verbindungen können für das sogenannte RFC-Hopping verwendet werden, bei dem Zugriffe auf ein SAP-System über eine solch umfangreich berechtigte RFC-Verbindung erfolgen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Mithilfe des Funktionsbausteins schreiben Sie die statistischen Nutzungsdaten in eine temporäre Tabelle, aus der Sie die Daten zur weiteren Verwendung extrahieren können.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Im SAP-System können Sie Kostenstellenhierarchien und Profit-Center-Hierarchien definieren.