Das SAP-Berechtigungskonzept
FAQ
Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.
Die voreingestellten Berechtigungsrollen des neuen SAP-Systems für die Konsolidierung und Planung, SAP Group Reporting,sind in der folgenden Grafik dargestellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik dargestellten Berechtigungsrollen zeigen lediglich die durch SAP voreingestellten technischen Spezifikationen. Allerdings können diese als Aufsatzpunkt genutzt und nach der Erstellung einer Kopie entsprechend angepasst werden.
Gesetzeskritische Berechtigungen
Unabdingbar ist das Gebot, adäquate Berechtigungsprüfungen in jede ABAP-Eigenentwicklung zu implementieren. Hierfür wird der sogenannte AUTHORITY-CHECK genutzt, der die erforderlichen Berechtigungsobjekt-Ausprägungen abfragt und somit nur befugte Benutzer den Code ausführen lässt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
WF-BATCH: Der Benutzer WF-BATCH dient der Hintergrundverarbeitung in SAP Business Workflow und wird beim Customizing von Workflows automatisch angelegt. WF-BATCH ist häufig das Profil SAP_ALL zugeordnet, da die genauen Anforderungen an die Berechtigungen von der Nutzung des Benutzers abhängig sind. Das Passwort des Benutzers können Sie über die Transaktion SWU3 setzen und synchronisieren. Schutzmaßnahmen: Ändern Sie nach der automatischen Generierung das Passwort des Benutzers, und ordnen Sie ihn der Benutzergruppe SUPER zu.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Wir empfehlen Ihnen, mit den Ergebnissen des SOS wie folgt umzugehen: Prüfen Sie, ob alle identifizierten Benutzer die kritische Berechtigung benötigen.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Möchten Sie diese Berechtigungen in verschiedenen Mandanten nutzen, müssen Sie die jeweiligen Organisationskriterien für den jeweiligen Mandanten aktivieren.