Basis schaffen für die SAP-Landschaft
SM59 Konfiguration der RFC-Verbindungen
Um alle Funktionen des SAP Patch Manager nutzen zu können, benötigen Sie die folgenden Berechtigungen: S_TRANSPRT S_CTS_ADMIN Beide befinden sich im Berechtigungsprofil S_A.SYSTEM. Wenn Sie sich im Mandant 000 anmelden und Ihr Benutzerstamm das entsprechende Berechtigungsprofil enthält, dann können Sie alle Funktionen des SAP Patch Manager nutzen. Bei Anmeldung in einem anderen Mandanten oder ohne das passende Benutzerprofil können Sie nur die Anzeigefunktionen verwenden. Ordnen Sie dieses Berechtigungprofil nur dem Systemadministrator zu. Nur der Systemadministrator sollte die Berechtigung für die folgenden Aktionen haben: Support Packages herunterladen Support Packages einspielen Erfolgreich eingespielte Support Packages bestätigen Status eines Support Package zurücksetzen Support Packages beseitigen Fehler im SAP-System oder nehmen nötige Anpassungen zB aufgrund gesetzlicher Änderungen vor. Die jeweils betroffenen Objekte werden in Ihrem System ersetzt. Jedes Support Package ist für genau einen Release-Stand gültig (aber für alle Datenbanken und Betriebssysteme) und setzt eine exakt definierte Anzahl von Vorgängern voraus. Der Upgrade des folgenden Release- bzw. Korrekturstandes enthält alle Support Packages der vorangegangenen Stände, die bis zur Auslieferung des Upgrades verfügbar waren. SPAM stellt sicher, daß Support Packages nur in der vorgegebenen Reihenfolge eingespielt werden. Um Probleme zu vermeiden, spielen Sie alle Support Packages ein, sobald sie bereitgestellt werden. So können Sie Ihr System auf dem neuesten Stand halten.
Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen. Wie funktioniert das SAP Berechtigungsvererbung? Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalss Änderungen am Masterobjekt direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfacherere Wartung ermöglicht und die Fehlerquote drastisch minimiert. Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen. Vererbung für SAP Berechtigungen anlegen Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen. Schritt 1: Masterrolle anlegen Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button "Einzelrolle" legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle "findepartment_r".
SUIM Benutzerinformationssystem
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
SAP-Basis bezieht sich auf die Verwaltung des SAP-Systems, die Aktivitäten wie Installation und Konfiguration, Lastausgleich und Leistung von SAP-Anwendungen, die auf dem Java-Stack und SAP ABAP laufen, umfasst. Dazu gehört auch die Wartung verschiedener Dienste in Bezug auf Datenbank, Betriebssystem, Anwendungs- und Webserver in der SAP-Systemlandschaft sowie das Stoppen und Starten des Systems. Hier finden Sie einige nützliche Informationen zu dem Thema SAP Basis: www.sap-corner.de.
Hintergrundjobs werden nicht nur über die Dialogtransaktion (Transaktion SM36) eingeplant, sondern auch direkt aus Programmen über die bekannten Funktionsbausteine JOB_OPEN, JOB_CLOSE usw., um länger laufende Aktivitäten in den Hintergrund zu schicken. Auch in diesem Fall wird, wenn Sie den Parameter strtimmed im Funktionsbaustein JOB_CLOSE setzen, der Job Scheduler direkt aufgerufen und der Job auch sofort gestartet, sofern ein Hintergrund-Workprozess frei ist.
Etliche Aufgaben der SAP Basis können mit "Shortcut for SAP Systems" einfacher und schneller erledigt werden.
Im Bereich der SAP-Basis ist es im Zuge von Systemupdates notwendig, zeitlich begrenzte Änderungen in den Sicherheitseinstellungen der Mandanten und Systeme vorzunehmen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Beim REOPEN werden der Datenbank die konkreten Werte für die WHERE-Bedingung übergeben.