Generierte Profilnamen in komplexen Systemlandschaften verwalten
Konzepte der SAP Security
Unsere Beispielrolle MODELING macht deutlich, dass es möglich ist, verschiedene Privilegtypen einer Rolle zuzuordnen. Das SAP HANA Studio zeigt Ihnen in der Administrationsoberfläche an, welcher Benutzer (der sogenannte Grantor) das jeweilige Privileg dieser Rolle zugeordnet (granted) hat. Durch Filtern und Sortieren können Sie die Darstellung der Rolleninhalte optimieren. Je nach Typ des Privilegs werden Ihnen durch Markieren eines Eintrags die entsprechenden Details angezeigt.
Achten Sie darauf, dass die für die Protokollierung vorgesehenen mandantenunabhängigen Tabellen immer protokolliert werden, wenn die Parameter nicht auf OFF gesetzt sind. Zusätzlich zu den hier angeführten Parametern muss auch in der Tabelle selbst der Haken für die Tabellenprotokollierung gesetzt sein; dies erfolgt üblicherweise mithilfe der Transaktion SE13. Die Einstellungen werden in der Entwicklung vorgenommen und dann in die weiteren Systeme transportiert. Im SAP-Standard sind bereits einige Tabellen für die Protokollierung vorgesehen; einen Überblick über diese Tabellen verschafft Ihnen der SAP-Hinweis 112388 (protokollierungspflichtige Tabellen). Die Einstellungen der Tabellen zur Protokollierung können Sie mit dem Report RDDPRCHK bzw. der Transaktion RDDPRCHK_AUDIT im SAP-System auswerten. Die Selektion erfolgt im Startbild des Reports, z. B. über den Tabellennamen oder die Auswahl der Optionen zur Protokollierung.
Berechtigungskonzepte – Vorteile und Architektur
Wollen Sie einen neuen Mandanten aufsetzen oder in einem Entwicklungssystem die Bewegungsdaten des produktiven Systems übernehmen, sollten Sie ebenfalls die Änderungsbelege betrachten. Bei einer Mandantenkopie sollten Sie vorher die Indizierung der Änderungsbelege (Tabelle SUIM_CHG_IDX) löschen, da Sie die Indizierung nach der Kopie wiederherstellen können. Nutzen Sie dazu den Report SUIM_CTRL_CHG_IDX, ohne ein Datum zu selektieren, und markieren Sie das Feld Index zuvor zurücksetzen. Nach der erfolgten Kopie sollten Sie die mandantenabhängigen Änderungsbelege löschen; dies gilt ebenso für die mandantenunabhängigen Änderungsbelege (z. B. Berechtigungsvorschlagswerte, Tabellenprotokolle), wenn Sie die Mandantenkopie in ein neues System durchgeführt haben. Zusätzlich sollten Sie vor der Kopie des Mandanten die Änderungsbelege der Schattendatenbank entfernen und nach der Kopie einen vollständigen Indexaufbau durchführen. Markieren Sie dabei in jedem Fall das Feld Index zuvor zurücksetzen im Report SUIM_CTRL_CHG_IDX!
Zur Erstellung von PFCG-Rollen sind gut gepflegte Vorschlagswerte überaus hilfreich. Wir geben Ihnen einen groben Leitfaden, wann es sinnvoll ist, Vorschlagswerte zu pflegen. SAP liefert Vorschlagswerte für die Erstellung von PFCG-Rollen in den Tabellen USOBT und USOBX mittels Upgrades, Support Packages oder Hinweisen aus. Diese Vorschlagswerte beinhalten Wertvorschläge für Berechtigungen von SAP-Standardapplikationen, die in PFCG-Rollen gepflegt werden können. Vorschlagswerte werden nicht nur für Transaktionscodes ausgeliefert, sondern auch für Web-Dynpro-Anwendungen, RFC-Funktionsbausteine oder externe Services. Diese Vorschlagswerte können Sie an Ihre Anforderungen anpassen. Dies geschieht jedoch nicht in den ausgelieferten Tabellen, sondern in den Kundentabellen USOBT_C und USOBX_C. Die Pflege wird in der Transaktion SU24 vorgenommen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen.
Der einzige Weg zur Berechtigung Ihrer UI-Komponenten wäre nun ein manuelles Pflegen des Berechtigungsobjekts UIU_COMP.