SAP_NEW nicht zuweisen
BERECHTIGUNGEN IN SAP-SYSTEMEN
Wenn Sie den Button Initialisierung SU24-Daten wählen, entspricht das Schritt 1, und Sie überschreiben für die ausgewählten Anwendungen Ihre SU24-Daten mit den SU22-Daten. Die Auswahl Automatischer Abgleich entspricht Schritt 2a. Alle neuen SU22-Daten werden in die Transaktion SU24 übernommen. Geänderte SU24-Daten werden erkannt und müssen manuell abgeglichen werden. Diese Informationen werden Ihnen jedoch in der Spalte Ermittelter Abgleichstatus mitgegeben. Möchten Sie für bestimmte Anwendungen Ihre SU24-Daten so behalten, wie sie sind, wählen Sie dafür den Button Setze Status »Geprüft« aus. Um Ihnen mehr Transparenz hinsichtlich der Auswirkung Ihrer Tätigkeiten zu geben, gibt es einen Rollenverwendungsnachweis über den Button Rollen. Hierüber können Sie für die ausgewählten Anwendungen prüfen, in welchen Rollen diese Verwendung finden. Mit der Auswahl Änderungsvorschau sehen Sie, welche Vorschlagswerte für Ihre Auswahl in der Transaktion SU24 geändert würden.
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Bei der Anzeige oder dem Buchen von Belegen im SAP-Finanzwesen reichen Ihnen die Standardberechtigungsprüfungen nicht aus? Nutzen Sie die Belegvalidierung, BTEs oder BAdIs für zusätzliche Berechtigungsprüfungen. Das Buchen von Belegen und häufig auch deren Anzeige wird durch Standardberechtigungsprüfungen geschützt; diese erfüllen aber gegebenenfalls nicht Ihre Anforderungen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Mit dem BAdI BADI_IDENTITY_UPDATE können Sie beim Ändern von Benutzerdaten verschiedene Aktionen veranlassen (siehe Tipp 98, »E-Mails verschlüsseln«).