Grenzen von Berechtigungstools
Unzufriedenheit und unklarer Bedarf im Prozess
Diese Auswertungswege können Sie in der Tabelle T77AW bzw. in der Transaktion OOAW anpassen. Wählen Sie hierzu den jeweiligen Auswertungsweg aus, indem Sie diesen markieren, und klicken Sie in der Menüführung links auf Auswertungsweg (Einzelpflege). In der daraufhin angezeigten Tabelle werden die Beziehungen zwischen den Objekten definiert. Für SAP CRM spielen lediglich die Objekte Organisationseinheit (O), Planstelle (S), zentrale Person (CP) sowie Anwender (US) eine Rolle. Der Einfachheit halber können Sie nun die Zeilen, die das Objekt Person (P) verwenden, kopieren. Vergeben Sie hier eine neue Nummer, und tauschen Sie das Objekt P mit dem Objekt CP aus.
RFC – Verbindungen sind gleichermaßen Schnittstelle für viele lokale und globale Systemprozesse, aber auch eine sicherheitsrelevante Fehlerquelle vieler Unternehmen. Die RFC Schnittstellen und dazugehörige Systembenutzer sind oftmals mit zu starken Berechtigungen ausgeprägt und können schnell von unberechtigten Personen missbraucht werden, um sensible Firmendaten einzusehen. Daher ist es wichtig, diese Systemverbindungen immer im Fokus des globalen Monitorings zu halten und zu prüfen, welche RFC Destinationen, wohin führen und was sie bewirken. Dafür gibt es das Programm RSRFCCHK wodurch Sie gezielte Tests für ihre RFC Systemlandschaft durchführen können. Dabei wird einerseits der Inhalt der Tabelle RFCDES geprüft und anderseits auch die dazugehörigen Benutzereigenschaften der Systembenutzer als Überblick dargestellt. Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
PRGN_COMPRESS_TIMES
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Anlage der Berechtigungsobjekte erfolgt für die Planung und die einzelpostenbasierten Berichte analog.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Dies können Sie in der Transaktion SCUG durchführen und dort Benutzerdaten aus dem Tochtersystem in das Zentralsystem übernehmen.