Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
SAP Systeme: User Berechtigungen mit Konzept steuern
Die Sicherheitsrichtlinien wurden mit dem Release SAP NetWeaver 7.31 eingeführt; für ihren Einsatz benötigen Sie also mindestens dieses Release. Sicherheitsrichtlinien lösen damit die Definition der Passwortregeln, Passwortänderungen und Anmelderestriktionen über Profilparameter ab. Die Zuordnung der Sicherheitsrichtlinie zum Benutzer erfolgt in Transaktion SU01 auf der Registerkarte Logondaten. Für Benutzerstammsätze, denen keine Sicherheitsrichtlinie zugeordnet worden ist, bleiben die Einstellungen der Profilparameter weiterhin relevant. Einige der Profilparameter sind auch nicht in den Sicherheitsrichtlinien enthalten und müssen daher weiterhin systemweit eingestellt werden. Sicherheitsrichtlinien enthalten immer alle Sicherheitsrichtlinienattribute und deren Vorschlagswerte. Die Vorschlagswerte können Sie natürlich immer entsprechend Ihren Anforderungen anpassen. Sie definieren Sicherheitsrichtlinien über die Transaktion SECPOL. Selektieren Sie die Attribute, für die Sie eigene Werte pflegen möchten, und tragen Sie die Werte entsprechend ein. Über den Button Verzichtbare Einträge werden Ihnen die Attribute angezeigt, die sich nicht von den globalen Einträgen unterscheiden.
Planen Sie den Report RHAUTUPD_NEW einmal täglich, am besten nach Mitternacht bzw. vor dem ersten Anmelden der Anwender ein. Dieser Hintergrundjob ist für den täglichen Abgleich zuständig. Führen Sie den Report RHAUTUPD_NEW mit der Option Bereinigung durchführen wöchentlich oder monatlich aus. Dadurch werden z. B. Profile samt ihrer Benutzerzuordnung gelöscht, wenn keine passende PFCG-Rolle existiert, oder fehlerhafte Zuordnungen zwischen Benutzern und Rollen bereinigt.
Bereits vorhandene Berechtigungen
Das Objekt S_PROGRAM prüft seit SAP Release 2.x auf das Feld TRDIR-SECU also die Berechtigungsgruppe des Programms. Ab Release 7.40 können Sie optional eine Prüfung auf das Objekt S_PROGNAM einschalten. Weitere Informationen finden Sie in Hinweis 2272827 gibt hierzu weitere Anweisungen. Die Prüfung auf S_PROGNAM MUSS erst im Kundensystem aktiviert werden. Beachten Sie aber, dass sie S_PROGNAM vorher KORREKT berechtigen, da ansonsten nach Aktivierung des SACF Szenarios NIEMAND außer den Notfallbenutzern irgendeinen Report oder eine Reporttransaktion starten kann.
Um den sicheren Betrieb von SAP-Systemen zu unterstützen, bietet SAP ein ganzes Portfolio an Services. Wir stellen Ihnen die vom SAP Active Global Support (AGS) angebotenen Security Services vor. Die Sicherheit eines SAP-Systems im Betrieb hängt von vielen Faktoren ab. Es gibt im SAP-Standard verschiedene Sicherheitsfunktionen, wie z. B. die Benutzerverwaltung, Authentifizierungs- und Verschlüsselungsfunktionen, Sicherheitsfunktionen für Webservices oder die verschiedenen Berechtigungskonzepte. Schwachstellen in der Standardsoftware werden ebenfalls regelmäßig in SAP-Hinweisen und Support Packages behoben. Sie sind verantwortlich für den sicheren Betrieb Ihrer SAP-Systemlandschaften; daher müssen Sie diese Funktionen und Korrekturen in Ihre Systeme einspielen. Die AGS Security Services unterstützen Sie dabei, indem Sie die Erfahrungen des AGS in konsolidierten Best Practices bündeln. Wir stellen diese Services vor und beschreiben, wie Sie mit ihrer Hilfe einen Überblick über die Sicherheit Ihres Betriebskonzepts erlangen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Dies hat zwar auf den Rollennamen nicht zwingend Einfluss, da dieser in allen Sprachen gleich ist, aber Sie haben sicher beschreibende Elemente in Ihren Rollennamen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Es kommt immer wieder vor, dass solche Daten auch per E-Mail versendet werden müssen.