Konzepte der SAP Security
Berechtigungen mit dem Pflegestatus Verändert oder Manuell
Berechtigungstrace - Transaktion: STUSOBTRACE - Mit der Transaktion STUSOBTRACE wertet man den Berechtigungstrace im SAP-System aus. Hierbei handelt es sich um einen Trace, der über einen längeren Zeitraum in mehreren Mandanten und benutzerunabhängig die Berechtigungsdaten sammelt und in einer Datenbank (Tabelle USOB_AUTHVALTRC) ablegt.
Der Pflegestatus von Berechtigungen in PFCG-Rollen spielt eine wichtige Rolle bei der Verwendung des Rollenmenüs. Mithilfe des Pflegestatus können Sie eine Aussage darüber treffen, wie das Berechtigungsobjekt in die Rolle gelangt ist und wie es dort gepflegt wurde. Die Abmischfunktion von Berechtigungsdaten der Rollenpflege in der Transaktion PFCG ist ein mächtiges Werkzeug, das Sie bei der Rollenbearbeitung unterstützt. Wenn das Rollenmenü geändert wurde, werden mithilfe der Abmischfunktion die in einer Einzelrolle enthaltenen Berechtigungsvorschläge automatisch ergänzt. Grundlage hierzu sind die in der Transaktion SU24 definierten Berechtigungsvorschlagswerte, deren Pflegestatus in der Berechtigungspflege Standard ist. Diese Berechtigungswerte werden auch als Standardberechtigungen bezeichnet. Berechtigungen mit anderen Pflegestatus, also Gepflegt, Verändert oder Manuell werden während des Abmischens nicht geändert – Ausnahme ist das Entfernen von Transaktionen.
Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Single Sign-on (SSO): Diese Lösung ist sinnvoll, wenn Sie SSO bisher noch nicht für Ihre SAPSysteme im Einsatz haben oder nicht alle SAP-Systeme in die SSO-Lösung eingebunden sind. In solchen Fällen müssen Sie die Webanwendung in einem System implementieren, das die Anmeldungen per SSO unterstützt, z. B. die Zentrale Benutzerverwaltung (ZBV), das SAP Identity Management (ID Management) oder ein Active Directory (AD).
Excel-basierte Werkzeuge, die nicht wie eCATT einfach die Transaktion PFCG im Hintergrund benutzen, funktionieren fast ausschließlich nach dem Einwegprinzip: Eine gleichzeitige Pflege von Rollen in der Transaktion PFCG ist nicht mehr möglich, und dortige Änderungen werden durch das Werkzeug überschrieben. Damit müssen alle Berechtigungsadministratoren ausschließlich mit der neuen Lösung arbeiten.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Entferne falsch definierte SAP-Orgebene ($CLASS): Diese Funktion löscht die Organisationsebene $CLASS, die mit dem GRCPlug-in (Governance, Risk and Compliance) fehlerhaft ausgeliefert wurde.