Generischer Zugriff auf Tabellen
Berechtigungen mit dem Pflegestatus Gepflegt
Die vier wichtigen Konzepte der SAP Security erfordern erst einmal einen gewissen Aufwand. Sie müssen nicht nur abgestimmt, ausformuliert und bereitgestellt, sondern eben auch fortlaufend aktualisiert und vor allem aktiv gelebt werden. Dennoch ist der Return of Investment groß, denn sie wappnen für alle Fälle, liefern Revisionssicherheit, außerdem ein hohes Schutzpotenzial fürs SAP-System und somit auch für das Unternehmen selbst.
Über die Schaltfläche Feldpflege können auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Für noch umfangreichere Operationen auf Jobs muss eine Berechtigung zum Objekt S_BTCH_ADM vorhanden sein, in der das Feld BTCADMIN (Kennung für den Batchadministrator) den Wert ‚Y‘ hat. Dies ermöglicht mandantenübergreifend alle Operationen auf beliebigen Jobs. S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht. Mit den in Hinweis 1702113 genannten Änderungen lässt sich über das Objekt S_BTCH_ADM die Berechtigungsvergabe genauer einschränken.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Durch das Einspielen des SAP-Hinweises 1723881 lösen Sie das dritte der genannten Probleme, weil die Aufzeichnung derselben Rolle auf verschiedenen Transportaufträgen verboten wird. Um diese Änderung des Systemverhaltens zu aktivieren, müssen Sie den Customizing-Schalter CLIENT_SET_FOR_ROLES in der Tabelle PRGN_CUST auf den Wert YES setzen. Damit wird gleichzeitig die Berücksichtigung der Einstellung in der Transaktion SCC4 für die Änderung und Aufzeichnung mandantenspezifischer Customizing- Objekte (»Mandantenänderbarkeit«) für die Rollenpflege eingeschaltet.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Um einen genauen Überblick über alle SAP-Transaktionen zu erhalten, ist das Software-Lizenzmanagement unabdingbar.