Wichtige Komponenten im Berechtigungskonzept
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Das Security Audit Log protokolliert nun auch Ereignisse, bei denen die Laufzeit über den Debugger beeinflusst wurde. In diesem Zusammenhang wurden auch neue Meldungstypen definiert. Zum Einspielen dieser Erweiterung benötigen Sie einen Kernel-Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in den SAP-Hinweisen 1411741 und 1465495.
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Basisadministration
Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet. Die Aufbauorganisation definiert Verantwortlichkeiten und die Genehmigungshierarchie, die Ablauforganisation legt Prozessschritte und dafür erforderliche Aktivitäten und Berechtigungsobjekte in SAP fest. Das Berechtigungskonzept muss daher flexibel genug sein, um künftige Änderungen in der Organisation schnell und regelkonform umsetzen zu können.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Vor der erneuten Umstellung des AIS auf themenbezogene Auditstrukturen wurden die AIS-Standardrollen der rollenbasierten Pflegeumgebung in den Kundennamensraum kopiert und den Benutzern zugeordnet.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Dazu gehören unter anderem Job Management und Schnittstellenkonvention.