Anforderungen an ein Berechtigungskonzept umsetzen
Audit Information System Cockpit nutzen
Authorization object: Berechtigungsobjekte sind Gruppen von Berechtigungsfeldern, die eine bestimmte Aktivität steuern. Berechtigungsobjekte sollten immer im Vorfeld mit dem Nutzerkreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.
Zum Aufbau einer effizienten und konsistenten Struktur im Bereich des SAP-Berechtigungswesens sind funktionsbezogene Rollen- und Berechtigungszuweisungen das A und O. Zudem muss das bestehende Berechtigungskonzept stetig auf Änderungen und sicherheitsrelevante Fehler durch ein proaktives Monitoring analysiert werden. Damit beugen Sie negativen und höchst sicherheitskritischen Auswirkungen auf Ihre gesamte Systemlandschaft vor. Um Ihnen diese Aufgabe zu erleichtern, stellt Ihnen das Unternehmen Xiting ein umfassendes Analysewerkzeug, den Xiting Role Profiler, zur Verfügung. Darüber hinaus können Sie schon vorab eine Grundanalyse fahren, die auch Hauptaugenmerk dieses Blogs sein wird. Ziel ist es, Ihnen SAP Standardmethoden aufzuzeigen, mit denen Sie bereits selbstständig Ihre Berechtigungs- und Rollenverwaltung optimieren können.
Manuell gepflegte Organisationsebenen in Rollen zurücksetzen
Diese Startberechtigungsprüfung wird inaktiv ausgeliefert. Damit sie verwendet werden kann, müssen Sie sie aktivieren. Nach der Aktivierung können Sie über Berechtigungen gezielt steuern, welche Web-Dynpro-ABAP-Anwendungen Benutzer ausführen dürfen. Bei der Startberechtigungsprüfung von Web-Dynpro-ABAP-Anwendungen verwendet das System das Berechtigungsobjekt S_START analog zum Berechtigungsobjekt S_TCODE für Transaktionen. Das Objekt hat die Felder AUTHPGMID, AUTHOBJTYP und AUTHOBJNAM, die den Schlüsselfeldern PGMID, OBJECT und OBJ_NAME des Objektkatalogs (Tabelle TADIR) entsprechen. Während der Startberechtigungsprüfung prüft die Web-Dynpro-ABAP-Laufzeit also den Schlüssel des Objektkatalogeintrags für die Web-Dynpro-ABAP-Anwendung.
Sämtliche externe Services zur Cross-Navigation sind im Rollenmenü im Ordner GENERIC_OP_LINKS gespeichert. Neben diesen Informationen enthält dieser Ordner außerdem externe Services, die die bereits erwähnten Bereichsstartseiten und logischen Links repräsentieren. Letztere können Sie löschen, da es sich hier um Duplikate aus den anderen Ordnern oder nicht relevante externe Services handelt. Um nun korrekte Berechtigungen für die unüberschaubaren externen Services im Ordner GENERIC_OP_LINKS einzurichten, können Sie die externen Services identifizieren, die Sie für Ihre CRM-Business-Rolle benötigen, und alle anderen externen Services löschen. Hier besteht aber wie gesagt die Gefahr, dass zu viele externe Services gelöscht werden und die Cross-Navigation oder das Aufrufen der gespeicherten Suchen nicht mehr funktioniert. Besser ist es daher, wenn Sie den Ordner GENERIC_OP_LINKS in eine separate Rolle auslagern.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY.
Kommunikationsbenutzer sind ebenfalls für die Verwendung durch Personen gedacht, die sich von außerhalb per RFC-Aufruf am SAP-System anmelden.