SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Berechtigungen in SAP BW, HANA und BW/4HANA
Es werden immer nur aktuelle Profildaten aufgezeichnet, sodass keine Löschung obsoleter Profile und Berechtigungen im Zielsystem per Transport möglich ist. Diese Daten bleiben den Benutzern zugeordnet und so lange wirksam, bis sie ein Benutzerabgleich mit der Option Bereinigung durchführen (Transaktion PFUD) löscht.
Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Nach Benutzer- und Passwortsperren suchen
Die Transaktion SU10 unterstützt Sie als Benutzeradministrator bei der Massenpflege von Benutzerstammsätzen. Dazu können Sie die Benutzerdaten nun auch nach Anmeldedaten selektieren. Sie kennen das sicher: Sie haben Benutzer gesperrt, damit z. B. ein Support Package eingespielt werden kann. Einige Benutzer, wie z. B. Administratoren, sind davon nicht betroffen. Zur kollektiven Entsperrung möchten Sie nur die Benutzer mit einer Administratorsperre selektieren. Hierzu bietet sich das Werkzeug zur Massenpflege von Benutzern in der Transaktion SU10 an. Mithilfe dieser Transaktion können Sie nach Benutzern selektieren, um anschließend eine Aktion für alle selektierten Benutzer auszuführen. Bislang konnten Benutzer nur nach Adressdaten und Berechtigungsdaten selektiert werden.
Der SAP-Standard bietet verschiedene Möglichkeiten, um Aktivitäten aufzuzeichnen und massenhaft abzuspielen. Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege. Daher sind sie auch komplexer in der Bedienung, um möglichst flexibel alle denkbaren Einsatzszenarien abdecken zu können. Auch eCATT bildet hier keine Ausnahme, weswegen viele Anwender nach wie vor vor dessen Verwendung zurückschrecken. Wir können Ihnen aber aus Erfahrung sagen: Nach dem zweiten oder dritten Mal geht Ihnen die Erstellung der Testskripts so schnell von der Hand, dass Sie sich fragen werden, warum Sie es nicht schon immer so gemacht haben.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Die Vorbereitung wird wesentlich erschwert, wenn keine hilfreichen Kommentare oder Berichte aus dem vergangenen Geschäftsjahr vorliegen oder wenn es sich um eine Erstprüfung bzw. um einen Wechsel des Wirtschaftsprüfers handelt.