Inaktive Benutzer sperren
SAP S/4HANA® Migrationsprüfung
Bei der Kopie der Werte in die Zwischenablage sollten Sie beachten, dass nur solche Werte in die Zwischenablage kopiert werden, die Sie zuvor markiert haben. Dabei werden die Werteintervalle, die in den Berechtigungsfeldwerten gepflegt sein können, durch einen Tabstopp separiert, in der Zwischenablage gespeichert.
Zwei weitere sehr wichtige Einstellungen sind die Aktivierung des Security Audit Logs und der Tabellenprotokollierung. Beide Parameter müssen aktiviert sein, um in weiterer Folge die Nachvollziehbarkeit auf Benutzer- aber auch auf Tabellenebene zu gewährleisten. Es sollte also überprüft werden, ob die Detaileinstellungen für das Security Audit Log gemäß den Unternehmensvorgaben eingerichtet sind und auf jeden Fall ausnahmslos alle Benutzer mit umfassenden Berechtigungen, wie z.B. SAP_ALL, vollständig von der Protokollierung umfasst sind.
Aktuelle Situation prüfen
Um Tabellenberechtigungen in der Transaktion PFCG zu definieren, reicht es nicht zwingend aus, wenn Sie im Rollenmenü die generischen Tabellenanzeigewerkzeuge, wie z. B. die Transaktionen SE16 oder SM30, angeben. Die Vorschlagswerte für diese Transaktionen sind sehr allgemein und sehen nur vor, die Berechtigungsobjekte S_TABU_DIS oder S_TABU_CLI zu verwenden. Explizite Werte müssen Sie in Abhängigkeit von den von Ihnen zur Berechtigung ausgewählten Tabellen eintragen. Möchten Sie den Zugriff auf die Tabellen explizit über das Berechtigungsobjekt S_TABU_NAM gewähren, können Sie für jeden Tabellenzugriff eine Parametertransaktion erstellen. Mithilfe einer Parametertransaktion kann man Tabellen z. B. über die Transaktion SE16 aufrufen, ohne den Tabellennamen im Selektionsbildschirm angeben zu müssen, da dieser übersprungen wird. Für die erstellte Parametertransaktion können Sie anschließend Vorschlagswerte pflegen.
RFC – Verbindungen sind gleichermaßen Schnittstelle für viele lokale und globale Systemprozesse, aber auch eine sicherheitsrelevante Fehlerquelle vieler Unternehmen. Die RFC Schnittstellen und dazugehörige Systembenutzer sind oftmals mit zu starken Berechtigungen ausgeprägt und können schnell von unberechtigten Personen missbraucht werden, um sensible Firmendaten einzusehen. Daher ist es wichtig, diese Systemverbindungen immer im Fokus des globalen Monitorings zu halten und zu prüfen, welche RFC Destinationen, wohin führen und was sie bewirken. Dafür gibt es das Programm RSRFCCHK wodurch Sie gezielte Tests für ihre RFC Systemlandschaft durchführen können. Dabei wird einerseits der Inhalt der Tabelle RFCDES geprüft und anderseits auch die dazugehörigen Benutzereigenschaften der Systembenutzer als Überblick dargestellt. Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die Selektionsmaske zur Auswahl von Änderungsbelegen in der Transaktion SCUH unterteilt sich in vier Abschnitte: Standardselektion (ähnlich wie in anderen SUIM-Reports), Ausgabe, Selektionskriterien und Verteilungsparameter.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens.