Ein kompliziertes Rollenkonstrukt
Hintergrundverarbeitung
Sie setzen neben der SAP-Standardsoftware auch kundeneigene ABAP-Programme ein? Erfahren Sie, wie Sie mithilfe des SAP Code Vulnerability Analyzers Ihren Kundencode auf potenzielle Sicherheitslücken scannen und diese gegebenenfalls bereinigen können. Berechtigungskonzepte, Firewalls, Antiviren- und Verschlüsselungsprogramme reichen alleine nicht aus, um Ihre IT-Infrastruktur und IT-Systeme gegen innere und äußere Angriffe und Missbrauch zu schützen. Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen. Ferner ist zu erwähnen, dass die eingesetzten Berechtigungskonzepte durch ABAP-Code umgangen werden können, was das Gewicht von Sicherheitslücken im ABAP-Code unterstreicht. Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen. Unternehmen unterliegen einer ganzen Reihe von gesetzlichen Vorgaben zum Thema Datenschutz und Datenintegrität, und Sie können diese mithilfe eines neuen Werkzeugs weitestgehend erfüllen. Der SAP Code Vulnerability Analyzer ist im ABAP Test Cockpit (ATC) integriert und somit in allen ABAP-Editoren wie SE80, SE38, SE24 usw. vorhanden. Entwickler können damit während der Programmierung und vor der Freigabe ihrer Aufgaben ihren Code auf Schwachstellen hin scannen und diese bereinigen. Dadurch sinken die Testaufwände und Kosten.
Geben Sie in der Transaktion SU01 eine noch nicht vorhandene Benutzer-ID ein, und klicken Sie auf den Button Anlegen ((F8)). Das BAdI BADI_IDENTITY_SU01_CREATE wird mit der neuen Benutzer-ID aufgerufen. Die Implementierung im BAdI wird ausgeführt. Hier können Sie z. B. zusätzliche Attribute zum neuen Benutzer aus einer externen Datenquelle lesen. Die innerhalb des BAdIs ermittelten Daten werden in die Felder der Transaktion SU01 geschrieben. Dort wird Ihnen der neue Benutzerstammsatz mit den vorbelegten Feldern angezeigt. Sie können den Benutzerstammsatz bearbeiten und z. B. Rollen zuordnen oder die vorbelegten Felder ändern.
SAP Berechtigungstrace – Einfache Übersicht über Berechtigungen
Pflegen Sie die Werte nicht oder setzen Sie sie auf einen anderen Wert als YES, werden die Rollenmenüs des Referenzbenutzers beim Aufbau des Benutzermenüs nicht berücksichtigt. Die beiden Schalter gelten systemweit; eine mandantenspezifische Ausprägung ist daher nicht möglich. Haben Sie beide Schalter auf YES gesetzt, können Sie an den Einträgen des Benutzermenüs nicht mehr erkennen, ob sie aus den Rollenmenüs des Referenzbenutzers oder des Benutzers selbst stammen. Referenzbenutzer haben noch einen weiteren Vorteil: Sie können sie auch für die Vererbung des vertraglichen Benutzertyps einsetzen. Ein Benutzer erbt die Klassifizierung des Referenzbenutzers, wenn er keine weiteren Rollen- oder Profilzuordnungen mit Klassifizierung hat, oder nicht manuell klassifiziert wurde.
SAP-Basis bezieht sich auf die Verwaltung des SAP-Systems, die Aktivitäten wie Installation und Konfiguration, Lastausgleich und Leistung von SAP-Anwendungen, die auf dem Java-Stack und SAP ABAP laufen, umfasst. Dazu gehört auch die Wartung verschiedener Dienste in Bezug auf Datenbank, Betriebssystem, Anwendungs- und Webserver in der SAP-Systemlandschaft sowie das Stoppen und Starten des Systems. Hier finden Sie einige nützliche Informationen zu dem Thema SAP Basis: www.sap-corner.de.
Sie wissen, dass ein Ändern Ihrer SU24-Daten ein Abmischen der betreffenden Rollen mit sich bringt. Bisher mussten sich die Berechtigungsadministratoren die Rollen, z. B. aus der Transaktion SUIM, heraussuchen, um diese dann zu bearbeiten. Oft wird das erneute Abmischen der entsprechenden Rollen auch vergessen. Um zu gewährleisten, dass Sie direkt bei der Pflege der Daten in der Transaktion SU24 für die betreffenden Rollen den Abmischmodus einstellen können, ist die Funktion hier mit den jeweiligen Support Packages, benannt im SAP-Hinweis 1896191, bereitgestellt worden. Über die Korrektur werden die Buttons Abmischmodus für PFCG: Ein/Aus bzw. Rollen zur Verfügung gestellt. Die Funktion weist den Rollen den Abmischmodus zu, was Schritt 2c aus der Transaktion SU25 entspricht (siehe Tipp 43, »Berechtigungen nach einem Upgrade anpassen«). Diese Funktion können Sie über den Wert Y für den Parameter SU2X_SET_FORCE_MIX in der Tabelle PRGN_CUST aktivieren. Den Status des Abmischmodus können Sie über den Button Abmischmodus für PFCG: Ein/Aus abfragen. Standardmäßig ist diese Funktion ausgeschaltet. Mithilfe des Buttons Rollen (Verwendung in Einzelrollen) werden alle Rollen, die die ausgewählte Anwendung beinhalten, ermittelt und direkt in der Transaktion SU24 angezeigt. Sie erhalten eine Liste über alle abzugleichenden Rollen in der Transaktion SUPC über die Option Auch abzugleichende Rollen und können die Rollen nun schrittweise aktualisieren.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Da die PFCG-Rollen nicht direkt dem Benutzer, sondern den Objekten im Organisationsmanagement zugeordnet sind und der Benutzer nur aufgrund seiner Zuordnung zu diesen Objekten den PFCG-Rollen zugeordnet wird, sprechen wir von einer indirekten Zuordnung.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden in Ordnern und Seiten organisiert.
Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss.