AUFBAU VON IT-PRODUKTKATALOG UND DEFINITION VON IT-PRODUKTEN
SQ03 Pflege Benutzergruppen
Für die Berechtigungsanforderung eines Nutzers sollen entsprechend die bereits vergebenen Transaktionen mit Nutzerzuordnung ermittelt werden, um diese beim Heraussuchen einer passenden Rolle ausschließen zu können. Wie gelingt dies? Für die Ermittlung bestimmter Transaktionen mit Nutzerzuordnung bestehen verschiedene Möglichkeiten mit unterschiedlicher Ausprägung des Ergebnisses. Im folgenden Beitrag werden zwei Varianten vorgestellt. Im ersten Abschnitten wird zunächst beschrieben, wie das Problem mittels SUIM angegangen werden kann und welche Probleme dabei auftreten. Anschließend wird erläutert, wie die Aufgabe durch die Nutzung der Transaktion SE16N gelöst werden kann. Wie schon im vorangegangenen Blog-Beitrag Ermittlung aller Transaktionen mehrerer Rollen werden hierfür die Rollen Test_Schmidt1 und Test_Schmidt2 genutzt. Diesen Rollen wurden jeweils zwei der Transaktionen MM01, MM02, MM03 sowie MM04 auf unterschiedlichen Wegen zugeordnet. Bei der Rolle Test_Schmidt1 wurden die Transaktionen MM01 und MM02 im Menü der Rolle eingepflegt. Bei der Rolle Test_Schmidt2 wurde die Transaktion MM03 im Menü der Rolle, die Transaktion MM04 jedoch lediglich im Berechtigungsobjekt S_TCODE der Rolle gepflegt. Dem Nutzer SCHMIDT_TEST wurden beide Rollen zugeordnet. Ermittlung bestimmter Transaktionen mit Nutzerzuordnung mittels SUIM Diese Variante bietet sich an, wenn lediglich eine Transaktion auf ihre bestehende Zuordnung zu einem bestimmten Nutzer hin geprüft werden soll. Die Prüfung erfolgt hier mittels der Transaktion SUIM. Zunächst muss hierfür in der SUIM die Variante "Rollen nach komplexen Selektionskriterien" ausgeführt werden. Nach Aktivierung der Option "Mit gültiger Zuordnung von" wird hier nun der entsprechende Nutzer und die zu überprüfende Transaktion eingetragen. Außerdem empfiehlt es sich, die Anzeige von Sammelrollen in den Suchergebnissen auszublenden.
Die dritte Alternative für ein initiales Sizing ist die direkte Anwendung von Sizing-Formeln, die Sie in den Anleitungen zum Sizing auf dem SAP Support Portal finden. Das Dokument SAP Bank Analyzer ist ein Beispiel für eine Sizing-Anleitung mit expliziten Sizing-Formeln.
Verarbeitung über Schnittstellen
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen. Das Thema Security Automation bietet für viele Unternehmen noch eine Menge Potential in Bezug auf Zeitersparnis und Prozessoptimierung. Unser tägliches Arbeitsumfeld bietet zahlreiche Aufgaben, die schon heute exzellent automatisch bearbeitet werden könnten. Aus diesem Grund stelle ich in diesem Artikel zwei der Möglichkeiten vor, welche im weit gefassten Bereich Security Automation bereits bestehen. Security Automation mittels SAP Security Check Die erste Möglichkeit der Security Automation, die ich hier vorstellen möchte, ist die automatische Prüfung der vorhandenen Berechtigungen. Haben Sie sich schon einmal gefragt, wer von den Usern in Ihrem SAP-System kritische Berechtigungen besitzt? Und haben Sie dies schon einmal per Hand versucht nachzuvollziehen? Dies ist je nach Kenntnisstand und Erfahrung des Berechtigungsadministrators eine Arbeit, bei der einiges an Zeit ins Land geht. Wenn zusätzlich eine Wirtschaftsprüfung angekündigt wird und das SAP-System bezüglich kritischer Berechtigungen sowie Segregation of Duties überprüft werden soll, dann ist es sehr schwierig allen Anforderungen zu genügen und die Berechtigungslandschaft diesbezüglich abzusichern. Aus diesem Grund stellen verschiedene Anbieter Lösungen bereit, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. So können Berechtigungsadministratoren ihre wertvolle Zeit dazu nutzen, die Fehler zu beheben, anstatt eben diese Fehler erst zu suchen. Wir nutzen beispielsweise ein Tool, welches die Überprüfung von über 250 Regeln durchläuft. Anschließend erhalten wir eine Auswertung darüber, gegen welche Regeln verstoßen wird und welche Punkte in Ordnung sind. Ein einfaches Beispiel für solche Regeln ist die Verwendung des Profils SAP_ALL. Ein weiteres wäre die Vergabe der Sprungberechtigung im Debugging (Berechtigungsobjekt S_DEVELOP mit dem Feld ACTVT = 02). Dies sind zwei relativ simple Beispiele des Regelwerks von Security Check-Tools. Weiterführend werden auch Abfragen getätigt, welche im Bereich Segregation of Duties angesiedelt sind. Die Verwendung dieses Tools ermöglichte es uns, von der manuellen Überprüfung von kritischen Berechtigungen zu einem automatischen Ablauf überzugehen.
In jedem Unternehmen mit mehreren SAP Systemen gibt es einen verantwortlichen für die kompletten SAP Basis Themen, in der Regel gibt es dafür sogar eine eigene Abteilung. Diese Person sorgt für den störungsfreien Betrieb der SAP Systeme. Der Verantwortliche begleitet auch die Wartungsarbeiten oder Upgrades und greift bei besonderen Situation, wie zum Beispiel schlechter Performance, ein. Auch für Unternehmen, die den Betrieb der SAP Basis an einen externen Dienstleister übergeben, ergeben sich an dieser Stelle oft noch Aufgaben aus dem Umfeld des Benutzer- und Berechtigungsmanagement.
Basisadministratoren steht mit "Shortcut for SAP Systems" eine PC-Anwendung zur Verfügung, die etliche Tätigkeiten in der SAP Basis vereinfacht bzw. ermöglicht.
Einen ABAP-Trace für eine SAP-GUI-Transaktion erstellen Sie wie folgt: In den Eingangsbildschirm des ABAP-Trace gelangen Sie über den folgenden Menüpfad: System > Hilfsmittel > Laufzeitanalyse > Ausführen.
Die kontinuierliche Systemüberwachung prüft, ob alle Komponenten verfügbar sind und performant arbeiten.