Vergabe von Rollen
FAQ
Sie möchten den Zugriff auf die Dateien des Anwendungsservers absichern? Erfahren Sie, welche Möglichkeiten Ihnen die Berechtigungsobjekte S_DATASET und S_PATH bieten, welche Einschränkungen bestehen und welche Fallstricke lauern. Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen. Die von SAP ausgelieferten Berechtigungsvorschläge zum Berechtigungsobjekt S_DATASET bieten Ihnen keine große Hilfestellung, und zu S_PATH gibt es praktisch keine Informationen, da Sie dieses Berechtigungsobjekt erst durch das Customizing der Tabelle SPTH aktivieren müssen. Häufig werden daher die Berechtigungen zu S_DATASET zu großzügig ausgeprägt, die Tabelle SPTH kaum gepflegt und S_PATH gar nicht benutzt. Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Sperren und Gültigkeiten des Benutzerkontos erfolgen über den Benutzeradministrator und sind auch für andere Authentifizierungsverfahren gültig. Das heißt, dass eine Anmeldung über SSO für einen ungültigen Benutzer oder einen Benutzer mit Administratorsperre nicht möglich ist. Wir empfehlen Ihnen daher immer, den Zugang zum System über das Setzen der Gültigkeit von Benutzern zu verhindern. Das Setzen von Gültigkeiten bei zugeordneten Rollen verhindert zwar ebenfalls, dass der Benutzer noch Aktionen im System durchführen kann, unterbindet aber nicht generell deren Anmeldung.
Security Automation bei HR Berechtigungen
Zum Freigeben von Jobs – eigenen Jobs oder Jobs anderer Benutzer – wird zusätzlich weiterhin immer eine Berechtigung für das Objekt S_BTCH_JOB mit der Ausprägung JOBACTION = RELE benötigt. Im laufenden Betrieb kommt es immer wieder vor, dass eingeplante Batch- Jobs abbrechen, weil ein Step-Benutzer gelöscht oder gesperrt ist. Mithilfe des Programms BTCAUX09 können Sie als Administrator Jobs überprüfen, um festzustellen, ob es künftig zu Jobabbrüchen kommen kann. Wenn Sie die betreffenden Jobs unter einem anderen Step-Benutzer laufen lassen wollen, können Sie diese entweder mit der Transaktion SM37 oder mit dem Report BTC_MASS_JOB_CHANGE ändern.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Cybersecurity ist ein weites Feld. Angefangen mit der technischen Infrastruktur der Unternehmen bis hin zu den Geschäftsprozessen in den SAP-Systemen. Solche Projekte müssen gut geplant und vorbereitet sein. Wir haben schon einige Negativ-Beispiele von Unternehmen erlebt, die zu viel auf einmal wollten und sich dann „verrannt“ haben. Insbesondere bei der Absicherung der Geschäftsprozesse ist zu beachten, dass die betroffenen Mitarbeitenden abgeholt und eingebunden werden müssen. Wählen Sie daher anhand einer Risikoanalyse die Themen und Prozesse aus, die an erster Stelle bei der Absicherung stehen sollen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
EARLYWATCH: Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Nach der Erstellung eines Berechtigungsobjekts sollten Sie noch die folgenden Aufgaben ausführen: Nehmen Sie die Implementierung der Berechtigungsprüfung an einer geeigneten Stelle im Code vor.