Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Berechtigungswerte mithilfe von Traceauswertungen pflegen
Unsere Beispielrolle MODELING macht deutlich, dass es möglich ist, verschiedene Privilegtypen einer Rolle zuzuordnen. Das SAP HANA Studio zeigt Ihnen in der Administrationsoberfläche an, welcher Benutzer (der sogenannte Grantor) das jeweilige Privileg dieser Rolle zugeordnet (granted) hat. Durch Filtern und Sortieren können Sie die Darstellung der Rolleninhalte optimieren. Je nach Typ des Privilegs werden Ihnen durch Markieren eines Eintrags die entsprechenden Details angezeigt.
Sie müssen das Berechtigungsobjekt S_TABU_NAM in Ihr bestehendes Berechtigungskonzept integrieren? In diesem Tipp zeigen wir Ihnen, welche Schritte dazu notwendig sind – von der Pflege der Vorschlagswerte bis hin zum Überblick über berechtigte Tabellen. Sie haben Ihr Berechtigungskonzept um das Berechtigungsobjekt S_TABU_NAM erweitert, sodass die Anwender nicht nur über das Berechtigungsobjekt S_TABU_DIS, sondern auch über S_TABU_NAM Zugriff auf die Tabellen erhalten. Damit wird der Zugriff auf die Tabellen über Tabellenberechtigungsgruppen oder, wenn der Zugriff über Tabellenberechtigungsgruppen nicht erlaubt ist, über die Berechtigung auf die Tabelle direkt geregelt (siehe Tipp 73, »Berechtigungsobjekte für die Tabellenbearbeitung verwenden«). Sie möchten nun die Tabellen bzw. die erstellten Parametertransaktionen, die den Zugriff nur auf bestimmte Tabellen erlauben, ermitteln, um für diese Vorschlagswerte in der Transaktion SU24 zu pflegen? Auf diese Weise wird das Pflegen von PFCG-Rollen erleichtert. Des Weiteren wäre ein Werkzeug sinnvoll, das Ihnen einen Überblick über die Tabellen verschafft, für die ein Anwender berechtigt ist.
ABAP-Quelltexte über RFC installieren und ausführen
Ein wesentlicher Aspekt in der Risikobewertung eines Entwicklungssystems ist die Art der dort vorhandenen Daten. Normalerweise wird mindestens eine 3-System-Landschaft eingesetzt (Entwicklungs-, Test- und Produktivsystem). Dies dient u.a. dazu, dass (evtl. externe) Entwickler keinen Zugriff auf produktive bzw. produktionsnahe Daten haben. Da Entwickler mit den benötigten Entwicklerberechtigungen Zugriff auf alle Daten aller Mandanten des betroffenen Systems haben, sollten in einem Entwicklungssystem keine produktionsnahen Daten vorhanden sein. Auch eine Aufteilung in einen Entwicklungs- und einen Testmandanten (mit den sensiblen Daten) innerhalb des Systems schützt aus den oben genannten Gründen nicht vor unautorisierten Datenzugriffen. Nachfolgend wird davon ausgegangen, dass keine produktionsnahen Daten auf dem Entwicklungssystem existieren. Andernfalls müssen erweiterte Berechtigungsprüfungen in den Modulen durchgeführt und zuvor die Zugriffe auf produktionsnahe Daten gegenüber dem Produktivsystem durch die jeweiligen Dateneigentümer genehmigt werden. Da Entwickler wie beschrieben durch ihre Entwicklerrechte quasi über eine Vollberechtigung verfügen, kann der Entzug der nachfolgend aufgeführten Berechtigungen zwar die Hemmschwelle zur Ausführung unautorisierter Tätigkeiten erhöhen, letztendlich aber nicht verhindern.
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein? Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System auswerten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführbaren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgenden klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Je nach Typ des Privilegs werden Ihnen durch Markieren eines Eintrags die entsprechenden Details angezeigt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie werden feststellen, dass sämtliche Tabellen der Benutzerverwaltung der Tabellenberechtigungsgruppe SC zugeordnet sind.