Wesentliche Berechtigungen und Parameter im SAP®-Umfeld
Inaktive Benutzer sperren
Berechtigungen für das Datenbanksystem (System Privileges): System Privileges sind SQL-Berechtigungen, die administrative Aktionen auf der gesamten Datenbank steuern. Derartige Aktionen sind z. B. das Anlegen eines (Datenbank-)schemas (CREATE SCHEMA), das Anlegen und Ändern von Rollen (ROLE ADMIN), das Anlegen und Löschen eines Benutzers (USER ADMIN) oder das Ausführen eines Datenbank-Backups (BACKUP ADMIN).
Anschließend sollten Sie die neueste Version der Hash-Algorithmen aktivieren, indem Sie den Profilparameter login/password_downwards_compatibility auf den Wert 0 setzen. Dies ist erforderlich, da SAP-Systeme standardmäßig die Abwärtskompatibilität beibehalten. Das heißt, dass, abhängig von Ihrem Basisrelease, entweder die neuen Hash-Algorithmen bei der Speicherung der Passwörter nicht verwendet werden, oder es werden zusätzliche veraltete Hash-Werte der Passwörter gespeichert. Anschließend sollten Sie prüfen, ob es noch veraltete Hash-Werte für Passwörter in Ihrem System gibt und diese gegebenenfalls löschen. Nutzen Sie dazu den Report CLEANUP_PASSWORD_HASH_VALUES.
Durch rollenbasierte Berechtigungen Ordnung schaffen
Zum anderen kann man den Systemtrace über die Transaktion ST01 aufrufen. Hierbei gibt es die Möglichkeit, einzelne Filter für die Prüfungen einzustellen. Zudem hinaus kann man über den Button “Trace aus” oder die F8-Taste den Trade ausschalten und über den dann angezeigten Button “Trace an” oder die F7-Taste den Trace wieder anschalten. Klickt man auf den Button “Auswertung” oder die F2-Taste kann man sich die Auswertung anzeigen lassen.
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dieses enthält die Vorgaben für die Konfiguration der SAP-Systeme.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Sie können den Report, wie bereits beschrieben, für Benutzer, Rollen, Profile und Berechtigungen ausführen.