SAP Security Automation
In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren
Die Berechtigungsprüfung für die Berechtigungsobjekte PS_RMPSORG und PS_RMPSOEH läuft im Anschluss an eine Benutzereingabe folgendermaßen ab: Das System ermittelt die Organisationseinheit, der der Benutzer zugeordnet ist. Von dieser Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der im ersten Schritt ermittelten Organisationseinheit in der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M1) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System ermittelt die Organisationseinheit, der das zu bearbeitende Objekt zugeordnet ist (entspricht der federführenden Organisationseinheit in den Attributen des zu bearbeitenden Objekts). Von dieser federführenden Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der ermittelten Organisationseinheit innerhalb der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M2) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System bildet die Schnittmenge (aus M1 und M2) der übereinstimmenden Organisationsobjekte von Benutzer und zu bearbeitendem Objekt. Das System ermittelt die Organisationsebenen, die für den Benutzer und das zu bearbeitende Objekt übereinstimmen. Sobald eine übereinstimmende Organisationsebene gefunden wird, führt das System die Berechtigungsprüfung für die anderen Felder des Berechtigungsobjekts (z. B. Art des Objekts oder Aktivität) aus; wenn das System keine gemeinsame Organisationsebene ermitteln kann, wird die Verarbeitung abgelehnt. Wenn der Benutzer die gewünschte Aktivität ausführen darf, ist die Verarbeitung erlaubt; andernfalls wird die Verarbeitung vom System abgelehnt.
Für den Fall, dass dennoch solche Konflikte auftreten, sind regelmäßige Kontrollen als Teil eines internen Kontrollsystems festzuschreiben. Des Weiteren finden sich im Berechtigungskonzept Inhalte wie z. B. die Einbindung des Dateneigentümers, sicherheitsrelevante Systemeinstellungen, Vorgaben zur Pflege der Berechtigungsvorschlagswerte (Transaktion SU24) und Dokumentationspflichten.
ABAP-Quelltexte über RFC installieren und ausführen
Abhängig von der aufgerufenen Transaktion, kann die Anwendung über diese zusätzliche Berechtigungsprüfung granularer geprüft werden. Aus diesem Grund erfordern Transaktionen, die mit zusätzlichen Parametern aufgerufen werden, unter Umständen mehr als ein Berechtigungsobjekt und müssen unbedingt programmatisch geschützt werden. Das folgende Listing zeigt ein Beispiel für eine Berechtigungsprüfung, die sicherstellt, dass der angemeldete Anwender die erforderliche Berechtigung hat, um die Transaktion SU24 zu starten.
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Bei Zugriffen von Prüferbenutzern (aus der Tabelle TPCUSERN) werden im Anwendungs-Log die Selektionsparameter der aufgerufenen Transaktion protokolliert und können mit dem Report CA_TAXLOG ausgewertet werden. Im Beispiel wurde hier die Einzelpostenliste für das Kreditorenkonto 100000 aufgerufen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Nachdem Sie die Änderungsbelege der Benutzer- und Berechtigungsverwaltung archiviert haben, können Sie über einen logischen Index für Änderungsbelegmerkmale die Performance der Auswertung erheblich verbessern.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert.