Pflege der Berechtigungsobjekte (Transaktion SU21)
Kundenspezifische Berechtigungen einsetzen
Die wichtigsten Security Services im Hinblick auf Berechtigungen sind der EarlyWatch Alert (EWA) und der SAP Security Optimization Service (SOS). Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP. Beide Services werden als teilautomatisierte Remote Services geliefert; den SOS können Sie auch als vollautomatisierten Self-Service nutzen. Im EWA und SOS werden Berechtigungsprüfungen durchgeführt, deren Ergebnis immer wie folgt aufgebaut ist: Die Überschrift benennt den betreffenden Check. Ein kurzer Text beschreibt die Bedeutung der geprüften Berechtigung und das Risiko, das bei einer unnötigen Vergabe entsteht. Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an. Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen. Im SOS folgt für jeden Check eine Empfehlung, wie Sie das identifizierte Risiko minimieren können. Eine abschließende formale Beschreibung stellt die geprüften Berechtigungen dar. Es werden allerdings nicht nur die explizit genannten Transaktionen ausgewertet, sondern auch äquivalente Parameter- oder Variantentransaktionen.
Zusätzlich zu Ihren kundeneigenen Berechtigungsobjekten müssen Sie auch die anderen relevanten Berechtigungsobjekte für CO-PA in den Berechtigungen Ihrer Benutzer ausprägen. So müssen Sie in der Regel den Zugriff auf die Ergebnisberichte über das Objekt K_KEB_REP auf den Ergebnisbereich und den Berichtsnamen begrenzen und die Funktionen des Infosystems im Objekt K_KEB_TC einschränken, z. B. auf die Ausführung oder die Aktualisierung von Berichten. Für die Pflege der Berechtigungsobjekte im Customizing der Ergebnis- und Marktsegmentrechnung brauchen Sie ebenfalls Berechtigungen. Vergeben Sie dazu Berechtigungen für das Objekt K_KEPL_BER. Im Feld CEERKRS definieren Sie den Ergebnisbereich, für den Berechtigungsobjekte angelegt werden, und im Feld ACTVT definieren Sie die Aktivität, wobei die Aktivität 02 für Anlegen und Ändern steht.
Vergabe von Rollen
Partner, die ihre Entwicklungen ausliefern, pflegen die Vorschlagswerte für ihre Anwendungen ebenfalls in der Transaktion SU22. Nehmen Kunden Entwicklungen in Systemen vor, die außer Ihrer Systemlandschaft noch weitere Systemlandschaften beliefern und in denen jeweils unterschiedliche SU24- Vorschlagswerte je System benötigt werden, werden die Vorschlagswerte in der Transaktion SU22 gepflegt. Der Profilgenerator verwendet als Datenbasis nur die Werte der Transaktion SU24 in Ihrer Kundenumgebung. Zur Pflege der Vorschlagswerte können Sie in der Transaktion SU24 sowohl die Daten des Systemtrace für Berechtigungen aus den Transaktion ST01 bzw. STAUTHTRACE als auch die Daten des Berechtigungstrace verwenden (siehe Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«).
Mit der Einführung der Sicherheitsrichtlinien ist es nun möglich, für Benutzer vom Typ System oder Service eigene Sicherheitsrichtlinien zu definieren. Auf diesem Wege können Sie sicherstellen, dass abwärtskompatible Passwörter für diese Benutzer weiterhin verwendet werden. Damit ist der Grund, aus dem Passwortregeln nicht für Benutzer vom Typ System bzw. Service gültig waren, weggefallen; daher gelten die Regeln für die Inhalte der Passwörter nun auch für Benutzer dieser Typen. Regeln für die Änderung von Passwörtern sind weiterhin nicht für Benutzer vom Typ System oder Service gültig. Wenn Sie in Ihrem System Sicherheitsrichtlinien einsetzen, können Sie sich mithilfe des Reports RSUSR_SECPOL_USAGE einen Überblick über die Zuordnung von Sicherheitsrichtlinien zu Benutzern verschaffen. Diesen Report finden Sie im Benutzerinformationssystem (Transaktion SUIM). Zusätzlich wurde in den Reports des Benutzerinformationssystems die Selektion nach Benutzern mit ausgewählten Sicherheitsrichtlinien ergänzt. Diese Änderung wurde über ein Support Package bereitgestellt; Details hierzu finden Sie im SAP-Hinweis 1611173.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Eine erste Übersicht zu den Sicherheitshinweisen für SAP-Systeme finden Sie im SAP Service Marketplace unter https://service.sap.com/securitynotes.