Manuelle Berechtigungen
Passwörter schützen
Im IT Bereich müssen wir uns täglich neuen Herausforderungen stellen. Neue Technologien erfordern ein entsprechendes Handeln, um die aktuelle Systemlandschaft immer auf dem neuesten Stand zu halten, die Position am Markt zu stärken und natürlich um sich gegenüber anderen Mitbewerbern einen technologischen Vorsprung zu erarbeiten. Dies macht sich auch in der entsprechenden SAP Systemlandschaft bemerkbar. Lesen Sie in der zweiteiligen Blogreihe, wieso ein Berechtigungskonzept so früh wie möglich in einer Projektphase berücksichtigt werden sollte – vor allem bei der Umstellung auf SAP S/4HANA.
Für die Pflege und Zuordnung von HANA-Berechtigungen zu Benutzern steht Ihnen die Anwendung SAP HANA Studio zur Verfügung. Das SAP HANA Studio wird auf Ihrem Arbeitsplatzrechner installiert. Anschließend können Sie sich darüber mit Benutzer und Passwort an einer oder mehreren HANA-Datenbanken anmelden. Das SAP HANA Studio und die HANADatenbank unterliegen aktuell noch umfangreichen Weiterentwicklungen; daher müssen die jeweiligen Versionen des SAP HANA Studios mit den zu verbindenden HANA-Datenbanken kompatibel sein. Aus diesem Grunde empfehlen wir Ihnen, die Informationen zur Nutzung bestimmter Versionen des SAP HANA Studios in den SAP-Hinweisen zu prüfen.
Berechtigungsrollen (Transaktion PFCG)
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Mit dem SAP-Hinweis 1707841 wird eine Erweiterung für den Systemtrace in der Transaktion STAUTHTRACE ausgeliefert, die es ermöglicht, den Berechtigungstrace auf allen oder auf bestimmten Anwendungsservern zu verwenden. Zur Auswahl der Anwendungsserver, auf dem der Trace gestartet werden soll, klicken Sie auf den Button Systemweiter Trace. Markieren Sie nun die Anwendungsserver in der Liste, auf denen der Systemtrace ausgeführt werden soll, und starten Sie den Trace mit einem Klick auf Trace einschalten. In der Auswertung des Berechtigungstrace ist nun eine zusätzliche Spalte Server Name zu sehen, in der Ihnen der Name des Anwendungsservers angezeigt wird, auf dem die jeweiligen Berechtigungsprüfungen protokolliert wurden.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Sie können diese Vorschlagswerte aus Tabelle USOB_AUTHVALTRC übernehmen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Den Berechtigungstrace können Sie über den dynamischen Profilparameter auth/authorization_trace aktivieren.