Abfrage der Daten aus dem Active Directory
User- & Berechtigungs-Management mit SIVIS as a Service
Manche Abfragen sind auch mit der Transaktion SUIM ein wenig umständlich. Mit SAP Query können Sie schnell Abfragen zusammenbauen, die individuelle und komplexere Datenauswertungen ermöglichen. Wollen Sie schnell wissen, welche gültigen Benutzer aktuell einen ändernden Zugriff auf eine bestimmte Tabelle haben oder über welche Rollen die Benutzer die Berechtigung für eine bestimmte Transaktion erhalten? Für Datenabfragen dieses Typs ist das SAP-Standardwerkzeug, das Benutzerinformationssystem, für die meisten Recherchefälle eine hervorragende Lösung. Allerdings passiert es spätestens bei der nächsten Prüfung durch die Revision, dass gezielte Abfragen mit Datenkombinationen – und damit mehrere SUIM-Abfragefolgen – innerhalb kurzer Zeit geliefert werden müssen. SAP Queries können diese Tätigkeit erleichtern. Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabellen abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten. Dabei gibt es die Möglichkeit, mehrere Tabellen zu verknüpfen (Join), wodurch aus mehreren SE16-Abfragen nur eine SAP Query wird. Wollen Sie z. B. wissen, über welche Rollen die Benutzer die Berechtigung beziehen, die Transaktion SCC4 auszuführen, können Sie über die Transaktion SUIM zwar mit einer Abfrage feststellen, welche Benutzer die Transaktion ausführen können und sich in einer anderen Abfrage anzeigen lassen, welche Rollen dies ermöglichen – jedoch gibt es hier kein Ergebnis, in dem beides angezeigt wird.
SNC sichert die Kommunikation mit bzw. zwischen ABAP-Systemen ab, es gibt aber auch viele webbasierte Anwendungen in SAP-Systemlandschaften. Diese kommunizieren über das Hypertext Transfer Protocol (HTTP). Auch bei der Kommunikation mittels HTTP werden die Daten unverschlüsselt übertragen; daher sollten Sie diese Kommunikation auf Hypertext Transfer Protocol Secure (HTTPS) umstellen. HTTPS nutzt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zur sicheren Datenübertragung im Internet. Die Verwendung von HTTPS sollten Sie daher für alle Webzugriffe von Anwendern einrichten. Für die Kommunikation zwischen SAP-Systemen, sollten Sie HTTPS verwenden, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte. Sie sollten HTTPS entweder auf einzelnen Komponenten der Infrastruktur einrichten (z. B. Proxys), oder die ABAP-Systeme sollten direkt HTTPS bzw. TSL unterstützen. Details zur Konfiguration finden Sie im SAPHinweis 510007.
Sicherheit innerhalb des Entwicklungssystems
Sollen Ihre Benutzer ihre eigenen Hintergrundjobs freigeben dürfen, benötigen Sie dafür die Berechtigung JOBACTION = RELE zum Objekt S_BTCH_JOB. In diesem Fall dürfen sie alle Jobs zu einem gewünschten Zeitpunkt starten lassen. In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«). Der Vorteil dabei ist, dass die Berechtigungen genauer gesteuert werden können und Sie nicht das Risiko eingehen, dass ein Job nicht mehr läuft, sollte der Benutzer, unter dem er eingeplant war, einmal Ihr Unternehmen verlassen. Die Zuordnung zu einem Systembenutzer können Sie realisieren, indem Sie dem Benutzer, der den Job einplant, eine Berechtigung für das Objekt S_BTCH_NAM erteilen. Im Feld BTCUNAME wird der Name des Step- Benutzers eingetragen, d. h. des Benutzers, unter dem der Job laufen soll, z. B. MUSTERMANN.
Berechtigungsdaten der Rolle, die durch die letzte Bearbeitung gespeichert wurden, werden angezeigt. Diese Option ist nicht empfehlenswert, wenn Transaktionen im Rollenmenü geändert wurden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Prüfungen in diesem User-Exit können Sie relativ frei gestalten.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Haben Sie eigene Berechtigungsprüfungen entwickelt, um diese in kundeneigenen Programmen zu verwenden oder um Erweiterungen am SAPStandard vorzunehmen, ist es unbedingt notwendig, dass Sie die Z-Berechtigungsobjekte als Vorschlagswerte für die jeweiligen Anwendungen pflegen.