Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Mitigierung von GRC-Risiken für SAP-Systeme
Spielen Sie den SAP-Hinweis 1171185 in Ihr ZBV-System ein. Mit diesem Hinweis wird der Report RSUSR_SYSINFO_LICENSE ausgeliefert, der die Nutzertypen aus den an die ZBV angeschlossenen Systemen abruft und anzeigt. Zusätzlich muss allerdings der SAP-Hinweis 1307693, der neue Funktionalitäten der Lizenzvermessung enthält, auf den an die ZBV angeschlossenen Tochtersystemen installiert sein. Ergänzend müssen Sie gegebenenfalls die Berechtigungen der Benutzer in den RFC-Verbindungen zu den Tochtersystemen der ZBV um die Berechtigung zum Objekt S_RFC mit den Funktionsgruppen SUNI und SLIM_REMOTE_USERTYPES erweitern. Sollte der SAPHinweis 1307693 auf einem Tochtersystem nicht installiert oder die Berechtigungen des RFC-Benutzers nicht entsprechend angepasst worden sein, gibt der Report RSUSR_SYSINFO_LICENSE im Anwendungs-Log (Transaktion SLG1) eine entsprechende Warnung aus.
Eine weitere Möglichkeit besteht darin, die Berechtigung SAP_NEW keinem Benutzer zuzuweisen. So werden während der durchzuführenden Tests sowohl im Entwicklungs- als auch im Qualitätssicherungssystem Berechtigungsfehler auftreten. Diese sollten dann entsprechend bewertet und für eine fehlerfreie Abarbeitung der Geschäftsvorfälle in die dazu passenden Berechtigungsrollen aufgenommen werden.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Diese neue Verhaltensweise für das Profil SAP_ALL können Sie durch die Einstellung des Customizing-Schalters ADD_S_RFCACL auf den Wert YES in der Tabelle PRGN_CUST wieder abschalten. Hat der Eintrag ADD_S_RFCACL den Wert YES, enthält SAP_ALL also weiterhin die Gesamtberechtigung für das Berechtigungsobjekt S_RFCACL.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Konzeptuell wird zwischen den Benutzertypen Database User und Technical User unterschieden. Database User sind Benutzer, die eine reale Person in der Datenbank repräsentieren. Sobald ein Database User gelöscht wird, werden zugleich alle (!) Datenbankobjekte, die von diesem Database User angelegt worden sind, ebenfalls gelöscht. Technical User sind Benutzer, die technische Aufgaben in der Datenbank wahrnehmen. Beispiele hierzu sind die Benutzer SYS und _SYS_REPO, mit denen administrative Aufgaben, wie z. B. die Erzeugung eines neuen Datenbankobjekts oder das Zuweisen von Privilegien, ermöglicht werden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Zusätzlich bietet UCON die Möglichkeit, die Konfiguration im Rahmen einer Evaluierungsphase zu prüfen.