SAP Code Vulnerability Analyzer verwenden
Manuelle Berechtigungen
Jede anklickbare UI-Komponente entspricht einem externen Service, für den jeweils eine Berechtigung eingerichtet werden muss. Zu den UI-Komponenten gehören auch das Erstellen oder Aufrufen von gespeicherten Suchen oder das Navigieren aus einem Datensatz direkt in einen anderen Datensatz, z. B. das Aufrufen eines Termins direkt aus einem Geschäftspartner; dies entspricht der Cross-Navigation. Alle Navigationsmöglichkeiten in Form von externen Services werden im Customizing der CRM-Business-Rolle in Form einer generischen Outbound- Plug-Zuordnung zur Navigationsleiste definiert. Outbound-Plugs (OP) definieren, was passiert, wenn ein Anwender einen View in SAP CRM verlässt. Hier ist das Customizing für Szenarien voreingestellt, die nicht zwingend zu allen CRM-Business-Rollen passen. Die entsprechenden CRM-Business- Rollen wurden so konfiguriert, dass sie Outbound-Plugs zugeordnet wurden, die für das jeweilige Szenario der CRM-Business-Rolle gar nicht erforderlich sind. Dies erklärt die große Anzahl an externen Services im Rollenmenü.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Das ABAP-Berechtigungskonzept schützt Transaktionen, Programme und Services in SAP-Systemen vor unberechtigtem Zugriff. Auf der Grundlage des Berechtigungskonzepts vergibt der Administrator den Benutzern Berechtigungen, die festlegen, welche Aktionen ein Benutzer im SAP-System ausführen darf, nachdem er sich am System angemeldet hat und authentifiziert wurde.
Diese erweiterte Funktionalität der Transaktion SU53 wird über einen Patch ausgeliefert. Im SAP-Hinweis 1671117 finden Sie weiterführende Informationen zu den erforderlichen Support Packages sowie technische Hintergründe. Nicht erfolgreiche Berechtigungsprüfungen werden nun in einen Ringpuffer des Shared Memorys des Anwendungsservers geschrieben. Damit können Sie nun fehlgeschlagene Berechtigungsprüfungen auch in Web-Dynpro-Anwendungen oder anderen Benutzeroberflächen anzeigen, was bisher nicht möglich war. Abhängig von der Größe des Ringpuffers und der Systemauslastung können je Benutzer bis zu 100 fehlgeschlagene Berechtigungsprüfungen für die letzten drei Stunden angezeigt werden. Die Größe des Ringpuffers wird aus der Anzahl der definierten Workprozesse berechnet. Standardmäßig können 100 Berechtigungsprüfungen je Workprozess gespeichert werden. Diese Größe können Sie mithilfe des Profilparameters auth/su53_buffer_entries anpassen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Setzen Sie das Prüfkennzeichen auf JA, wird die Transaktionsstartberechtigung mit dem Objekt S_TCODE durchgeführt.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Sie finden diese Korrektur und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1539105.