Den Zeichenvorrat für die Benutzer-ID einschränken
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Abhilfe schafft hier der Report PRGN_COMPRESS_TIMES. Diesen können Sie direkt oder im Editiermodus einer PFCG-Rolle in der Transaktion PFCG überHilfsmittel > Benutzerzuordnung optimieren aufrufen.
Ein sorgloser Umgang mit den Berechtigungen bei sensiblen Mitarbeiterdaten kann ganz schön in die Hose gehen. Verhindern Sie einen unkontrollierten und weitreichenden Reporting-Zugriff auf Ihre HCM-Daten, indem Sie das Berechtigungsobjekt P_ABAP richtig nutzen. In vielen Unternehmen ist der korrekte Einsatz von P_ABAP nicht bekannt. Daher kommt es häufig zu falschen Ausprägungen, die im schlimmsten Fall unkontrollierten Reporting-Zugriff auf alle Daten der logischen Datenbank PNPCE (bzw. PNP) erlauben. Auf diesem Weg können Sie also Ihre vorher mühsam in einem Berechtigungskonzept definierten Zugriffsbeschränkungen wieder aushebeln. Daher gilt es, den Einsatz von P_ABAP im Einzelfall zu prüfen und die vorhandenen Einschränkungsmöglichkeiten zu nutzen. Im Folgenden beschreiben wir die Logik, die hinter diesem Berechtigungsobjekt steckt, und welche Ausprägungen Sie unbedingt vermeiden sollten.
Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter. Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Mit dem SAP Code Vulnerability Analyzer lassen sich sowohl kundeneigene On-Premise- als auch On-Demand-Anwendungen scannen, die in ABAP programmiert sind. Der SAP Code Vulnerability Analyzer ist ab SAP NetWeaver AS ABAP 7.02 enthalten; eine Installation ist nicht notwendig. Details zu den relevanten Support Packages erhalten Sie in den SAP-Hinweisen 1921820 und 1841643. Sie benötigen keine zusätzlichen Server oder zusätzliche Administration. Den SAP Code Vulnerability Analyzer können Sie mit dem Report RSLIN_SEC_LICENSE_SETUP aktivieren, müssen für ihn allerdings zusätzliche Lizenzgebühren zahlen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Legen Sie fest, was man mit diesem Programm ausführen darf, und auch, was man explizit nicht können darf! Bei einer Berechtigungsprüfung kann nicht nur die auszuführende Aktivität wie Lesen, Ändern, Anlegen usw. geprüft werden.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Sollte also der Wert eines Customizing-Parameters kleiner sein als der Wert des korrespondierenden Profilparameters, wird stattdessen der Standardwert des Customizing-Parameters gezogen.