Den Berechtigungspuffer prüfen und auffrischen
Berechtigungstraces anwendungsserverübergreifend auswerten
In SAP-Hinweis 1763089 finden Sie Informationen zu den Systemvoraussetzungen und Support Packages, die Sie benötigen, um auf die neue Funktion zuzugreifen. Mit diesen Support Packages wird die Transaktion SAIS, das neue AIS Cockpit, ausgeliefert. Damit wurde das AIS vom vorherigen Rollenkonzept wieder auf themenbezogene Auditstrukturen umgestellt und bietet neue Funktionen, wie die Protokollierung aller Prüfungsaktivitäten. Das AIS gibt es im SAP-System schon recht lange; es wurde als Arbeitsmittel zur Prüfung und Bewertung von SAP-Systemen konzipiert und wird im Standardumfang von SAP ERP ausgeliefert. Es beinhaltet die Funktion der Auditstrukturen, einer Sammlung von Prüfungsfunktionen zu den Bereichen des kaufmännischen Audits und des Systemaudits, inklusive deren Dokumentation. Das kaufmännische Audit beinhaltet organisatorische Übersichten und bilanzorientierte bzw. prozessorientierte Funktionen. Damit können Sie z. B. Informationen zur Finanzbuchhaltung und zu Steuerbelangen auswerten. Das Systemaudit des AIS deckt die allgemeinen Systemprüfungen und die Analyse der Benutzer und Berechtigungen ab. Es beinhaltet z. B. Funktionen zur Überprüfung von Profilparametern oder des Transportwesens.
Sie sollten daher eine kryptografische Authentifizierung und eine Verschlüsselung der Kommunikation erzwingen, indem Sie Secure Network Communication (SNC) einrichten. SNC bietet einen starken kryptografischen Authentifizierungsmechanismus, verschlüsselt die Datenübertragung und wahrt die Integrität der übertragenen Daten. Seit einiger Zeit ist SNC ohne einen SSOMechanismus (SSO = Single Sign-on) für SAP GUI und die RFC-Kommunikation aller SAP-NetWeaver-Kunden frei verfügbar. Sie sollten SNC immer zwischen SAP GUI und Anwendungsserver implementieren, da diese Kommunikation auch über offene Netze laufen kann. Für die RFC-Kommunikation brauchen Sie eine SNC-Implementierung, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte.
Sofortige Berechtigungsprüfung – SU53
Sie haben eine Organisationsstruktur, die 4 Hierarchieebenen - Behörde, Abteilung, Referat, Sachgebiet) umfasst. Das Berechtigungskonzept in Ihrer Organisation sieht vor, dass der Zugriff (Bearbeitung) auf die Records Management Objekte für einen Mitarbeiter nur innerhalb seiner eigenen Organisationseinheit erlaubt sein soll. Die Berechtigungsprüfung soll aber nur auf drei Ebenen erfolgen. Wenn also ein Referat in weitere Sachgebiete untergliedert ist, sollen alle Mitarbeiter des Referats und der Sachgebiete dieselben Berechtigungen haben. Da Abteilung 2 und Abteilung 3 sehr eng zusammen arbeiten, sollen die Mitarbeiter von Abteilung 2 alle Akten, Vorgänge und Dokumente der Abteilung 3 lesen können und umgekehrt.
WF-BATCH: Der Benutzer WF-BATCH dient der Hintergrundverarbeitung in SAP Business Workflow und wird beim Customizing von Workflows automatisch angelegt. WF-BATCH ist häufig das Profil SAP_ALL zugeordnet, da die genauen Anforderungen an die Berechtigungen von der Nutzung des Benutzers abhängig sind. Das Passwort des Benutzers können Sie über die Transaktion SWU3 setzen und synchronisieren. Schutzmaßnahmen: Ändern Sie nach der automatischen Generierung das Passwort des Benutzers, und ordnen Sie ihn der Benutzergruppe SUPER zu.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können.
Das BAdI BADI_IDENTITY_SU01_CREATE wird mit der neuen Benutzer-ID aufgerufen.