RS_ABAP_SOURCE_SCAN
WARUM ACCESS CONTROL
Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern.
Wenn Sie den Button Expertenmodus für Schritt 2 in der Transaktion SU25 nicht sehen, prüfen Sie, ob Sie den Expertenmodus aus der Transaktion SU24 über den Button Vorschlagswerteabgleich aufrufen können. In dieser Sicht besteht die Möglichkeit, die abzugleichenden Vorschlagswerte über bestimmte Selektionen auszuwählen, sodass nicht alle Vorschlagswerte für den Abgleich verwendet werden. In der ersten Auswahl können Sie bezüglich der zu übernehmenden Daten eine Auswahl treffen. Sie können hier auswählen, ob nur SAP-Standardanwendungen oder auch kundeneigene bzw. Partneranwendungen berücksichtigt werden sollen. Die Auswahl können Sie im Bereich Weitere Einschränkungen noch nach Typ der Anwendung, Paket oder Komponentenkürzel einschränken. Unter Suchbereich für Anwendungen haben Sie außerdem die Möglichkeit, die Übernahme der SU22-Daten auf eine Uploaddatei, Transportaufträge oder Rollenmenüs zu begrenzen.
Security Audit Log konfigurieren
Das Security Audit Log kann ab SAP NetWeaver 7.31 auch kundenspezifische Ereignisse eingeschränkt protokollieren. Dazu werden die Ereignisdefinitionen DUX, DUY und DUZ für Kunden reserviert und mit einer Dummy-Ausprägung ausgeliefert. Für diese Ereignisse können Sie dann mittels des Funktionsbausteins RSAU_WRITE_CUSTOMER_EVTS individuell konfigurierbare Meldungen definieren. Zuerst müssen Sie hierzu die zusätzlich notwendigen Ereignisse identifizieren und deren Meldungstexte und Variablen definieren. Beachten Sie hierbei, dass Sie später keine Änderungen mehr an der Bedeutung der Meldung und der Anordnung der Variablen vornehmen dürfen, denn dies würde die Lesbarkeit älterer Protokolldateien verhindern. Abschließend müssen Sie noch die neuen Meldungsdefinitionen in Ihre Filter aufnehmen (Transaktion SM19). Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1941526. Da die Nutzung dieser Funktionalität umfangreiches Wissen über das Security Audit Log voraussetzt, sollten Sie unbedingt auch die Empfehlungen in SAP-Hinweis 1941568 berücksichtigen und sich durch einen Basisberater unterstützen lassen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
In der Transaktion SU24 können händisch keine externen Services hinzugefügt werden. Dazu müssen Sie einen Berechtigungstrace einschalten, der dies übernimmt. Den Berechtigungstrace können Sie über den dynamischen Profilparameter auth/authorization_trace aktivieren. Diesen Parameter können Sie über die Transaktion RZ11 (Pflege von Profilparametern) einschalten, indem Sie den Wert Y als neuen Wert eintragen und die Einstellung Auf allen Servern umschalten wählen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bevor Sie die Verwendung der Einstellung aus der Transaktion SCC4 für die Rollenpflege aktivieren, sollten Sie bestehende Rollentransporte freigeben, um Aufzeichnungskonflikte zu vermeiden.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Ein wahrscheinliches Ergebnis ist, dass Sie längst nicht alle technischen Organisationsmerkmale auch zur Differenzierung nutzen müssen.