User- & Berechtigungs-Management mit SIVIS as a Service
SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Grundsätzlich sollte die Berechtigung SAP_NEW nicht im Produktivsystem vergeben werden. Auf der Registerkarte Profile werden im Benutzerstammsatz die generieten Profile angezeigt, die einem konkreten Benutzer zugeordnet sind. Hier können Sie auch manuell angelegte Berechtigungsprofile aus der Transaktion SU02 zuordnen – auch ohne direkte Rollenzuordnung. Prinzipiell gilt die Empfehlung, den Profilgenerator (Transaktion PFCG) anzuwenden, um Berechtigungsprofile automatisch zu generieren. Besondere Vorsicht gilt, wenn Sie generierte Berechtigungsprofile direkt auf der Registerkarte Profile eintragen, da diese Zuweisungen durch den Abgleich von Benutzerzuordnungen mittels der Transaktion PFUD gelöscht werden, wenn für die Zuweisung kein Eintrag auf der Registerkarte Rollen vorhanden ist. Sie haben bisher wahrscheinlich Benutzern, für die es keine Beschränkungen im SAP-System geben soll, SAP_ALL und SAP_NEW zugewiesen. Worin aber unterscheiden sich diese beiden Profile und wozu sind sie eigentlich notwendig?
Der Berechtigungstrace ist jedoch ein Langzeittrace, den Sie über den dynamischen Profilparameter auth/authorization_trace einschalten können. Dieser Trace ist benutzer- und mandentenunabhängig. Der Trace ergänzt in Tabelle USOB_AUTHVALTRC die Berechtigungsprüfungen, die vor dem Ausführen der Anwendung noch nicht erfasst worden sind. Diese Funktion kann auch für kundeneigene Entwicklungen verwendet werden. Wechseln Sie nun in die Transaktion RZ11 (Pflege der Profilparameter), tragen Sie den Parameternamen auth/authorization_trace in das Selektionsfeld ein, und klicken Sie auf Anzeigen. Sie gelangen nun zur Detailansicht des Profilparameters mit sämtlichen Eigenschaften und der Verlinkung zu einer Dokumentation. Um den Trace einzuschalten, klicken Sie auf Wert ändern, und es öffnet sich ein Pop-up-Fenster. Tragen Sie hier im Feld Neuer Wert »Y« oder »F« für Filter ein, falls Sie einen Filter definieren möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), und speichern Sie Ihre Eingabe. Es erscheint nun eine Warnung mit der Information, dass der Parameterwert beim Durchstarten des Anwendungsservers wieder zurückgesetzt würde.
Benutzerstammdaten
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Bevor Sie mit dem Upgrade der Vorschlagswerte und Rollen loslegen können, müssen Sie einige Dinge beachten. Im SAP-Hinweis 1539556 sind sämtliche Fragen und Antworten zur Administration von Vorschlagswerten zusammengestellt. Schon beim Start der Transaktion SU25 werden Sie in einem Pop-up-Fenster auf den SAP-Hinweis 440231 (Upgradenachbereitung für den Profilgenerator) aufmerksam gemacht. Dieser Hinweis gibt Auskunft über Korrekturempfehlungen für bestimmte SAP-Basis-Versionen sowie Empfehlungen für weiterführende Hinweise, die im Anhang aufgeführt sind.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Markieren Sie jeweils die Zeilen, in denen die abzugleichenden Anwendungen stehen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Wildwuchs bei den in Benutzer-IDs verwendeten Zeichen kann negative Auswirkungen haben.