Berechtigungsobjekte einfacher pflegen
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Es werden immer nur aktuelle Profildaten aufgezeichnet, sodass keine Löschung obsoleter Profile und Berechtigungen im Zielsystem per Transport möglich ist. Diese Daten bleiben den Benutzern zugeordnet und so lange wirksam, bis sie ein Benutzerabgleich mit der Option Bereinigung durchführen (Transaktion PFUD) löscht.
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
Vorteile von Berechtigungstools
Für den Fall, dass dennoch solche Konflikte auftreten, sind regelmäßige Kontrollen als Teil eines internen Kontrollsystems festzuschreiben. Des Weiteren finden sich im Berechtigungskonzept Inhalte wie z. B. die Einbindung des Dateneigentümers, sicherheitsrelevante Systemeinstellungen, Vorgaben zur Pflege der Berechtigungsvorschlagswerte (Transaktion SU24) und Dokumentationspflichten.
Ihnen ist aufgefallen, dass sich der Pflegestatus der Berechtigungen in PFCG-Rollen ändert, wenn Sie Berechtigungsobjekte pflegen, ändern oder manuell hinzufügen? Erfahren Sie, was es mit den Berechtigungsstatus auf sich hat. Beim Löschen oder Hinzufügen von Transaktionen im Rollenmenü von PFCG-Rollen haben die jeweiligen Berechtigungen in der PFCG-Rolle den Pflegestatus Standard. Ergänzen oder ändern Sie die Berechtigungen, ändert sich der Pflegestatus entweder auf Gepflegt oder auf Verändert. Den Pflegestatus Manuell haben Sie vielleicht auch schon einmal gesehen. Welches sind die Hintergründe für diese Pflegestatus, und was sagen sie eigentlich aus?
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Beim Entwickeln und Anlegen von Berechtigungsobjekten sind einige Funktionalitäten des SAP-Hinweises überaus hilfreich, die wir in diesem Tipp vorstellen.
Deshalb sollten Sie sehr gut prüfen, ob das Werkzeug, das Sie gerade näher ins Auge fassen, tatsächlich für Ihre Zwecke geeignet ist.