Berechtigungskonzept des AS ABAP
System-Trace-Funktion ST01
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Bei der Einplanung eines Jobs kann ein anderer Benutzer als ausführender Benutzer hinterlegt werden. Somit werden die einzelnen Verarbeitungsschritte des Jobs technisch durch den hinterlegten Benutzer mit seinen Berechtigungen durchgeführt. Es könnten also Aktivitäten angestoßen werden, die mit den eigenen Berechtigungen nicht ausführbar wären.
Kritische Berechtigungen
Nur das Hinzufügen eines Berechtigungsobjektes über die SU24 ergibt nicht automatisch eine Prüfung innerhalb der Transaktion. Der Entwickler hat genau für diese Objekt eine Berechtigungsprüfung in den Programmcode einzubauen.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Damit steht Ihnen nun diese Rolle für die Zuweisung an die Benutzer zur Verfügung. Als Design-Time-Objekt können Sie diese Rolle über das HANAeigene Transportwesen (HALM) oder mithilfe des SAP Solution Managers mit der Erweiterung CTS+ transportieren. Nach dem Transport in das Zielsystem wird diese Rolle als Runtime-Objekt aktiviert. Die Zuordnung von HANA-Rollen können Sie sowohl über das SAP HANA Studio als auch über das SAP Identity Management (SAP ID Management) vornehmen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
In einschlägigen Internetforen ist es nicht schwer, Anleitungen zur Ausnutzung dieser Sicherheitslücken zu finden.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Geänderte SU24-Daten werden erkannt und müssen manuell abgeglichen werden.