Löschen von Versionen
Security Audit Log konfigurieren
Ist der Wildwuchs dadurch entstanden, weil das Berechtigungskonzept nicht eingehalten wurde, reicht eine Bereinigung aus. Wenn der Wildwuchs entstanden ist, weil es Fehler und Lücken im Berechtigungskonzept gibt, müssen diese Fehler identifiziert, beseitigt und die Berechtigungen optimiert werden. Ist das Konzept mittlerweile nicht mehr sinnvoll umsetzbar oder bereits falsch aufgebaut, ist eine Neuerstellung notwendig.
Das Interface IF_IDENTITY der Klasse CL_IDENTITY stellt verschiedene Methoden für die Pflege der Felder des Benutzerstammsatzes zur Verfügung. Als Vorlage für die Implementierung des BAdIs können Sie das Implementierungsbeispiel CL_EXM_IM_IDENTITY_SU01_CREATE nutzen, in dem die Felder Nachname, Raumnummer, Telefon, E-Mail-Adresse, Benutzergruppe, Abrechnungsnummer und Kostenstelle der Transaktion SU01 automatisch vorbelegt werden. In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt. An dieser Stelle müssen Sie die Implementierung, abhängig von Ihren Anforderungen, ergänzen. Dabei gibt es verschiedene mögliche Datenquellen für die Benutzerstammdaten, die Sie aus dem BAdI aufrufen können.
Berechtigungen in SAP-Systemen: worauf Admins achten sollten
Die zweite Möglichkeit ist die Pflege der HANA-Benutzer über die Transaktion SU01. Diese Möglichkeit besteht seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767). Dazu richten Sie über die Transaktion DBCO eine Verbindung zur Datenbank ein, die Sie über den Report ADBC_TEST_CONNECTION testen können. Dieser Report wird mit dem SAP-Hinweis 1750722 ausgeliefert. Im nächsten Schritt tragen Sie die Datenbankverbindung und den Mandanten, in dem die Funktionalität zur Verfügung stehen soll, in die Tabelle USR_DBMS_SYSTEM ein. Nun steht Ihnen die neue Funktionalität in der Transaktion SU01 über die Registerkarte DBMS zur Verfügung. Mit der Anlage des ABAP-Benutzers wird automatisch ein Benutzer in der Datenbank angelegt und eine Zuordnung zwischen ABAP-Benutzer und Datenbankbenutzer gespeichert. Dem Datenbankbenutzer (DBMS Benutzer) können Sie dann in der Spalte Datenbankmanagementsystem-Rolle Datenbankrollen zuweisen.
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Alle neuen SU22-Daten werden in die Transaktion SU24 übernommen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern.