Berechtigungen nach einem Upgrade anpassen
Aufgabe & Funktionsweise vom SAP Berechtigungskonzept
Diese Startberechtigungsprüfung wird inaktiv ausgeliefert. Damit sie verwendet werden kann, müssen Sie sie aktivieren. Nach der Aktivierung können Sie über Berechtigungen gezielt steuern, welche Web-Dynpro-ABAP-Anwendungen Benutzer ausführen dürfen. Bei der Startberechtigungsprüfung von Web-Dynpro-ABAP-Anwendungen verwendet das System das Berechtigungsobjekt S_START analog zum Berechtigungsobjekt S_TCODE für Transaktionen. Das Objekt hat die Felder AUTHPGMID, AUTHOBJTYP und AUTHOBJNAM, die den Schlüsselfeldern PGMID, OBJECT und OBJ_NAME des Objektkatalogs (Tabelle TADIR) entsprechen. Während der Startberechtigungsprüfung prüft die Web-Dynpro-ABAP-Laufzeit also den Schlüssel des Objektkatalogeintrags für die Web-Dynpro-ABAP-Anwendung.
Mit dem SAP Code Vulnerability Analyzer lassen sich sowohl kundeneigene On-Premise- als auch On-Demand-Anwendungen scannen, die in ABAP programmiert sind. Der SAP Code Vulnerability Analyzer ist ab SAP NetWeaver AS ABAP 7.02 enthalten; eine Installation ist nicht notwendig. Details zu den relevanten Support Packages erhalten Sie in den SAP-Hinweisen 1921820 und 1841643. Sie benötigen keine zusätzlichen Server oder zusätzliche Administration. Den SAP Code Vulnerability Analyzer können Sie mit dem Report RSLIN_SEC_LICENSE_SETUP aktivieren, müssen für ihn allerdings zusätzliche Lizenzgebühren zahlen.
Vorschlagswerte für Batch-Jobs pflegen
Falls Ihrem Benutzer das Privileg ROLE ADMIN zugeordnet ist (entweder direkt oder über eine Rolle), können Sie eigene Rollen erstellen und diese Benutzern zuweisen. Dabei können Sie auf vorhandene Privilegien und Rollen zurückgreifen. Die Privilegien selbst werden von Entwicklern mit entsprechenden Berechtigungen zur Erstellung von Anwendungen einschließlich der darin benötigten Privilegien bereitgestellt. Häufig besitzen Sie als Berechtigungsadministrator nicht das Privileg zur Erstellung von Privilegien. Dies ist auch sinnvoll, da nur der Anwendungsentwickler entscheiden kann, welche Eigenschaften die Privilegien für die Nutzung der Objekte in der Anwendung haben sollen. Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Für die Berechnung der Empfehlungen können Sie die SAP-Hinweise nach ihrem produktiven System, nach der SAP-Lösung sowie nach den Anwendungen und Komponenten, dem technischen Systemnamen und dem Zeitraum der Veröffentlichung filtern. Die Empfehlung wird in die folgenden Kategorien unterteilt ausgegeben: Sicherheitsrelevante SAP-Hinweise, Hinweise zur Performanceoptimierung, HotNews, Hinweise zu Änderungen der rechtlichen Vorgaben, Hinweise zu Korrekturen im ABAP-System.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Transaktionale Kacheln: Diese Kacheln stellen den Zugriff auf „alte“ Transaktionen in der FIORI Oberfläche sicher, oder es werden in „alten“ Transaktionen neue Features hinterlegt, die dann nur in der FIORI Oberfläche genutzt werden können, nicht aber in der GUI Oberfläche.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Für die hier beschriebenen Aktivitäten sind administrative Berechtigungen für die Änderungsbelege (S_SCD0 und S_ARCHIVE) und gegebenenfalls für die Tabellenprotokolle (S_TABU_DIS oder S_TABU_NAM und S_ARCHIVE) notwendig.