Unser Angebot
Fehlendes Knowhow
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
Ein wesentlicher Aspekt in der Risikobewertung eines Entwicklungssystems ist die Art der dort vorhandenen Daten. Normalerweise wird mindestens eine 3-System-Landschaft eingesetzt (Entwicklungs-, Test- und Produktivsystem). Dies dient u.a. dazu, dass (evtl. externe) Entwickler keinen Zugriff auf produktive bzw. produktionsnahe Daten haben. Da Entwickler mit den benötigten Entwicklerberechtigungen Zugriff auf alle Daten aller Mandanten des betroffenen Systems haben, sollten in einem Entwicklungssystem keine produktionsnahen Daten vorhanden sein. Auch eine Aufteilung in einen Entwicklungs- und einen Testmandanten (mit den sensiblen Daten) innerhalb des Systems schützt aus den oben genannten Gründen nicht vor unautorisierten Datenzugriffen. Nachfolgend wird davon ausgegangen, dass keine produktionsnahen Daten auf dem Entwicklungssystem existieren. Andernfalls müssen erweiterte Berechtigungsprüfungen in den Modulen durchgeführt und zuvor die Zugriffe auf produktionsnahe Daten gegenüber dem Produktivsystem durch die jeweiligen Dateneigentümer genehmigt werden. Da Entwickler wie beschrieben durch ihre Entwicklerrechte quasi über eine Vollberechtigung verfügen, kann der Entzug der nachfolgend aufgeführten Berechtigungen zwar die Hemmschwelle zur Ausführung unautorisierter Tätigkeiten erhöhen, letztendlich aber nicht verhindern.
Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
SAP-Basis bezieht sich auf die Verwaltung des SAP-Systems, die Aktivitäten wie Installation und Konfiguration, Lastausgleich und Leistung von SAP-Anwendungen, die auf dem Java-Stack und SAP ABAP laufen, umfasst. Dazu gehört auch die Wartung verschiedener Dienste in Bezug auf Datenbank, Betriebssystem, Anwendungs- und Webserver in der SAP-Systemlandschaft sowie das Stoppen und Starten des Systems. Hier finden Sie einige nützliche Informationen zu dem Thema SAP Basis: www.sap-corner.de.
Die Integration der HANA-Berechtigungen in die ABAP-Benutzerverwaltung bedeutet für Sie allerdings, dass Sie gewisse Tätigkeiten doppelt ausführen müssen, wie die zweimalige Eingabe der Benutzer-ID und die separate Zuweisung von Berechtigungen im ABAP-System und in SAP HANA. Diese Doppelarbeit können Sie durch den Einsatz von Anwendungen zur zentralen Verwaltung von Benutzern in der IT-Landschaft vermeiden. Die Lösungen von SAP für die Benutzer- und Berechtigungsverwaltung, SAP Identity Management und SAP Access Control, können auch die Benutzer und Berechtigungen für die HANA-Datenbank handhaben.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Diese Berechtigung beinhaltet keine Änderungsberechtigungen für die Benutzerverwaltung und kann daher auch an Auditoren vergeben werden.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
SAP Queries können diese Tätigkeit erleichtern.