Berechtigungsprüfungen in SAP HANA verstehen
SIVIS as a Service
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Außerdem stellen Berechtigungskonzepte sicher, dass Mitarbeiter keine Bilanzen schönen und so Stakeholdern und Steuerbehörden Schaden zugefügt wird. Ein Missbrauch von SAP Berechtigungen wird schwieriger und das Unternehmen wird damit vor erheblichen finanziellen Schaden sowie Reputationsschäden geschützt.
Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden
Mithilfe eigener Berechtigungsobjekte können Sie Berechtigungsprüfungen entwickeln, um Ihre kundeneigenen Anwendungen zu berechtigen oder Standardberechtigungen zu erweitern. Dabei war die Pflege der Berechtigungsobjekte bisher sehr unhandlich. Berechtigungsobjekte können in der Transaktion SU21 angezeigt und neu angelegt werden. Das Anlegen von Berechtigungsobjekten über diese Transaktion war bisher nicht sehr benutzerfreundlich. Wurden Eingaben nicht korrekt vorgenommen, war die Dialogführung für den Anwender mitunter nicht transparent und verwirrend. Dasselbe galt für das Speichern eines Berechtigungsobjekts. Mehrere Pop-up-Fenster weisen hier auf weitere Pflegeaktivitäten hin. Ein anderes Problem ist, dass der Verwendungsnachweis des Berechtigungsobjekts darauf beschränkt ist, Implementierungen des Berechtigungsobjekts zu finden. Berechtigungsobjekte werden allerdings an anderen Stellen, wie z. B. der Vorschlagswertepflege und der Berechtigungspflege, ebenfalls verwendet. Eine weitere Problematik ist die Verwendung von Namensräumen. Für SAPPartner, die Ihre Berechtigungsprüfungen in ihren Namensräumen pflegen möchten, sind die klassischen Namenräume, mit J beginnend, aufgebraucht.
Da Entwicklerberechtigungen einer Vollberechtigung entsprechen, sollten diese nur restriktiv vergeben werden. Dies gilt vor allen Dingen für die Berechtigung zum „Debugging mit Replace“ (siehe „Gesetzes kritische Berechtigungen“). Das Risiko durch falsch vergebene Entwicklerberechtigungen ist auch durch das Wegfallen des Zusatz-Schutzes über Entwickler- und Objektschlüssel in S/4 HANA Systemen gestiegen (siehe u.a. SAP-Hinweis 2309060). Entwicklerberechtigungen für originale SAP-Objekte sollten hier also nur noch auf Antrag vergeben werden, um unautorisierte Modifikationen zu vermeiden. Falls Entwicklerschlüssel in dem vorhandenen SAP-Release also noch relevant sind, sollten zunächst die vorhandenen Entwicklerschlüssel in der Tabelle DEVACCESS überprüft und mit den für die Entwicklung vorgesehenen Benutzern abgeglichen werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Über das Customizing in der Transaktion SPRO lässt sich im Bereich Unternehmensstruktur sowohl die Definition der Organisationsfelder als auch deren jeweilige Zuordnung vornehmen und einsehen.