SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Fehleranalyse bei Berechtigungen (Teil 1)
Excel-basierte Werkzeuge, die nicht wie eCATT einfach die Transaktion PFCG im Hintergrund benutzen, funktionieren fast ausschließlich nach dem Einwegprinzip: Eine gleichzeitige Pflege von Rollen in der Transaktion PFCG ist nicht mehr möglich, und dortige Änderungen werden durch das Werkzeug überschrieben. Damit müssen alle Berechtigungsadministratoren ausschließlich mit der neuen Lösung arbeiten.
Eine Einschränkung der Berechtigungen wird oftmals nicht durchgeführt, da häufig die Informationen dazu fehlen, wie das Objekt auszuprägen ist. Die Ermittlung der erforderlichen Funktionsbausteine wird häufig als zu aufwendig eingestuft und die Risiken durch eine fehlende Einschränkung als zu niedrig eingeschätzt.
Berechtigungsobjekte der PFCG-Rolle
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Im nächsten Schritt werten Sie die Nutzungsdaten aus; hier reichen typischerweise die Monatsaggregate. Diese beinhalten die Benutzer-ID, den Funktionsbaustein sowie die Anzahl der Aufrufe. Eine Übersicht zu den im System bereits gespeicherten Nutzungsdaten erhalten Sie mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_DIRECTORY (Inputparameter GET_DIR_FROM_CLUSTER = X). Das eigentliche Herunterladen der Nutzungsdaten erfolgt anschließend mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Mit der neuen Transaktion SAIS gelangen Sie in das AIS Cockpit, in dem Sie die verschiedenen themenbezogenen Auditstrukturen auswerten können.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden in Ordnern und Seiten organisiert.
Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen.