Kritische Berechtigungen
Anwendungsberechtigungen
Für ein Berechtigungskonzept muss zunächst ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt. Außerdem sollten einheitliche Namenskonventionen verwendet werden, da einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits auf diese Weise die Suchbarkeit im SAP-System sichergestellt wird. Mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben werden. Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier ist zu beschreiben, wie Anwender vorhandene SAP Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen verantwortlich ist. Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten darf und wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist. Im Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können beschrieben werden. Im Kapitel Rollenkonzept wird erläutert, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
SAP Berechtigungstrace – Einfache Übersicht über Berechtigungen
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden. Berechtigungen werden dem User nicht mehr über „Transaktions-Einträge“ im Menü einer Rolle zur Verfügung gestellt. Stattdessen kommen hier nun Kataloge und Gruppen zum Einsatz. Diese werden, ähnlich der „Transaktions-Einträge“ im Menü einer Rolle hinterlegt und dem User zugeordnet. Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden. Hierbei ist darauf zu achten, dass immer alle relevanten Komponenten (Kachelkomponente und Zielzuordnungskomponente(n)) mit im Katalog hinterlegt werden. Der FIORI Katalog dient dazu einem User den technischen Zugriff auf eine Kachel zu ermöglichen. Eine korrespondiere FIORI Gruppe dient dazu, diese Kacheln dem User dann auch optisch zum Zugriff im Launchpad zur Verfügung zu stellen.
Eine Möglichkeit, einen direkten Zugriff auf die nachgelagerten Systeme vom Entwicklungssystem aus zu erhalten und dort evtl. unautorisierte Aktivitäten durchzuführen, besteht in der Nutzung fehlerhaft konfigurierter Schnittstellen. Grundsätzlich sollten Schnittstellen innerhalb einer Transportlandschaft bezüglich der Kritikalität der Systeme „bergauf“, also von einem „unsicheren“ auf ein „sicheres“ System (z.B. E-System auf Q- oder P-System) vermieden werden. Dies lässt sich allerdings nicht immer umsetzen, beispielsweise werden innerhalb des Transportwesens solche Schnittstellen benötigt. Ohne zu tief in die Thematik einzusteigen, lassen sich jedoch kritische Schnittstellen über folgende Eigenschaften charakterisieren. Kritische Schnittstellen verweisen auf ein kritisches System und einen kritischen Mandanten, beinhalten einen Schnittstellenbenutzer mit kritischen Berechtigungen im Zielmandanten, beinhalten dessen hinterlegtes Kennwort.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Im Feld PARENT_ID finden Sie die Objekt-ID des übergeordneten Eintrags, und das Feld MENU_LEVEL beschreibt die Stufe des Eintrags in der Ordnerstruktur der Favoriten.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden.