Inaktive Benutzer sperren
ABAP-Quelltexte über RFC installieren und ausführen
Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.
Dabei müssen Sie die Vorlage an die Gegebenheiten in Ihrem Unternehmen anpassen, also vermutlich die Ablage der Zertifikate abhängig von der Namenskonvention für Ihre Benutzer definieren und die Prüfung der Zertifikate anpassen. Diese Prüfung der Zertifikate stellt in der Vorlage sicher, dass keine bereits vorhandenen Zertifikate hinzugefügt werden und nur ein Zertifikat zu einer E-Mail-Adresse eingetragen wird. Diese Prüfung ist notwendig, da der Versand einer verschlüsselten E-Mail abgebrochen wird, wenn mehr als ein gültiges Zertifikat zu einer E-Mail-Adresse gefunden wurde. Über dieses kundeneigene Programm können Sie Massenimporte der Zertifikate abbilden. Zusätzlich müssen Sie aber auch eine Vorgehensweise für die Verwaltung von Zertifikaten in Ihrem Unternehmen definieren, d. h. sich überlegen, wie Änderungen an den Zertifikaten in das SAP-System übertragen werden können.
Allgemeine Berechtigungen
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hinweis werden die Reports RSUSR200 und RSUSR002 um die Selektion verschiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht. Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen. Dabei werden lokale und globale Administratorsperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskriterien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heute gültig und Benutzer heute nicht gültig wählen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Stellen Sie sicher, dass Referenzbenutzern nur minimale Berechtigungen zugeordnet werden, um zu weitreichende Berechtigungen der Dialogbenutzer zu vermeiden. Es sollte keine Referenzbenutzer mit Berechtigungen geben, die ähnlich umfangreich sind wie das Profil SAP_ALL.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinationen als sogenanntes Risiko abzubilden.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Diese werden im Rollenmenü der PFCG-Rolle angezeigt.