Gewährleistung einer sicheren Verwaltung
Einstellungen zur Systemänderbarkeit einsehen
Der nächste Schritt ist nun die Pflege der Berechtigungswerte. Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen. Wenn Sie aus dem Rollenmenü auf die Registerkarte Berechtigungen wechseln, werden Startberechtigungen für alle im Rollenmenü enthaltenen Anwendungen generiert und Standardberechtigungen aus den Berechtigungsvorschlägen angezeigt. Sie können diese Vorschlagswerte nun mit den Tracedaten ergänzen, indem Sie in der Button-Leiste auf den Button Trace klicken.
Die Konfigurationsvalidierung nutzt die Konfigurationsdaten der CCDB für den Abgleich der Einstellungen. Dazu definieren Sie Ihre kundenspezifischen Sicherheitseinstellungen technisch in einem Zielsystem. Dieses enthält die Vorgaben für die Konfiguration der SAP-Systeme. Dabei ist es Ihnen auch möglich, ein Zielsystem, basierend auf den Einstellungen eines existierenden Systems, zu definieren und an Ihre Anforderungen anzupassen. Anschließend vergleichen Sie täglich die Einstellungen Ihrer SAP-Systeme mit diesem Zielsystem und erhalten so einen Überblick über die Abweichungen. Da es natürlich unterschiedliche Sicherheitsanforderungen an die Systeme in Ihrer Landschaft geben kann (z. B. Entwicklungs- und Produktivsysteme), können Sie verschiedene Zielsysteme mit den entsprechenden Einstellungen definieren. Den Abgleich mit einem Zielsystem starten Sie dann jeweils für die relevanten Systeme. Alternativ können Sie auch einen Vergleich mit einem tatsächlich vorhandenen System durchführen; dies ist z. B. im Rahmen eines Roll-outs eine sinnvolle Funktion.
Audit Information System Cockpit nutzen
Die Angabe des Programmnamens im Feld PROGRAM ist einfacher, da der Maximalwert von 40 Zeichen der Beschränkung für Programmnamen im SAP NetWeaver Anwendungsserver ABAP entspricht. Falls es sich um einen Funktionsbaustein oder eine Webanwendung handelt, können Sie den Programmnamen über den Systemtrace für Berechtigungen (Transaktion ST01 oder Transaktion STAUTHTRACE) ermitteln. In der Tabelle SPTH können Sie Zugriffsrechte für Pfade definieren, und ob für sie eine zusätzliche Berechtigungsprüfung auf das Objekt S_PATH durchgeführt werden soll.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Auf diese Weise werden alle in einer CRM-Business- Rolle konfigurierten Bereichsstartseiten und logischen Links in Form von externen Services berechtigt.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Diesen können Sie manuell über die Transaktion PFUD ausführen oder als Job einplanen.