Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Konzepte der SAP Security
Zum Freigeben von Jobs – eigenen Jobs oder Jobs anderer Benutzer – wird zusätzlich weiterhin immer eine Berechtigung für das Objekt S_BTCH_JOB mit der Ausprägung JOBACTION = RELE benötigt. Im laufenden Betrieb kommt es immer wieder vor, dass eingeplante Batch- Jobs abbrechen, weil ein Step-Benutzer gelöscht oder gesperrt ist. Mithilfe des Programms BTCAUX09 können Sie als Administrator Jobs überprüfen, um festzustellen, ob es künftig zu Jobabbrüchen kommen kann. Wenn Sie die betreffenden Jobs unter einem anderen Step-Benutzer laufen lassen wollen, können Sie diese entweder mit der Transaktion SM37 oder mit dem Report BTC_MASS_JOB_CHANGE ändern.
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
S_TABU_NAM in ein Berechtigungskonzept integrieren
Berechtigungen dienen dazu, die Organisationsstruktur, die Geschäftsprozesse und die Funktionstrennung abzubilden. Daher steuern sie im SAP-System die Zugriffsmöglichkeiten der Benutzer. Die Sicherheit der Geschäftsdaten hängt direkt von den vergebenen Berechtigungen ab. Aus diesem Grund muss die Vergabe von Berechtigungen gut geplant und durchgeführt werden, um die gewünschte Sicherheit zu erreichen.
Dabei müssen Sie die Vorlage an die Gegebenheiten in Ihrem Unternehmen anpassen, also vermutlich die Ablage der Zertifikate abhängig von der Namenskonvention für Ihre Benutzer definieren und die Prüfung der Zertifikate anpassen. Diese Prüfung der Zertifikate stellt in der Vorlage sicher, dass keine bereits vorhandenen Zertifikate hinzugefügt werden und nur ein Zertifikat zu einer E-Mail-Adresse eingetragen wird. Diese Prüfung ist notwendig, da der Versand einer verschlüsselten E-Mail abgebrochen wird, wenn mehr als ein gültiges Zertifikat zu einer E-Mail-Adresse gefunden wurde. Über dieses kundeneigene Programm können Sie Massenimporte der Zertifikate abbilden. Zusätzlich müssen Sie aber auch eine Vorgehensweise für die Verwaltung von Zertifikaten in Ihrem Unternehmen definieren, d. h. sich überlegen, wie Änderungen an den Zertifikaten in das SAP-System übertragen werden können.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Änderungen an den SAP-Benutzerdaten sollten unkompliziert und schnell erfolgen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Verwenden Sie hierzu die Transaktion SE18, in der Sie auch die Implementierungsbeispielklasse einsehen können.