SWPM – der Software Provisioning Manager integriert die klassischen Tools wie sapinst, ehpup, etc. für die Wartung/Installation von SAP-Systemen
Was ist die SAP Basis?
Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems… RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung? Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert? Change now: Es geht um Pro-Aktivität! Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie: 1) Unser E-Book über SAP RFC-Schnittstellen 2) Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen 3) Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!
Über den in den SAP NetWeaver AS integrierten Internet Transaction Server (ITS) können Sie – bis auf wenige Ausnahmen – SAP-GUI-Transaktionen und Reports im Webbrowser nutzen. Das zweite Programmiermodell ist das der Business Server Pages (BSP) und deren Weiterentwicklung zu Web Dynpro ABAP, in dem mit ABAP als Programmiersprache HTML-Seiten dynamisch generiert werden. Technisch hat dieses Programmiermodell den Vorteil, dass keine weitere Softwarekomponente installiert werden muss; Business Server Pages bzw. Web-Dynpro-ABAP-Seiten werden direkt in den »normalen« SAP-Applikationsinstanzen generiert. Ein Beispiel für die Nutzung dieser Technologie ist SAP Customer Relationship Management (SAP CRM) ab Version 5.0.
DIGITALISIERUNGSSTRATEGIE VERSTEHEN UND MITGESTALTEN
Um zusätzliche Berechtigungen für definierte Gruppen im Launchpad zu PFCG-Rollen hinzuzufügen befolgen Sie die Schritte wie oben bereits beschrieben. Dieses Mal wählen Sie nur anstatt einem "SAP Fiori Kachelkatalog" eine "SAP Fiori Kachelgrupe". Hier unterscheiden sich die Vergaben von Berechtigungen nur sehr gering. Fiori Berechtigung für OData-Services Die Startberechtigung für den im Backend hinterlegten OData-Service von einer Fiori App wird sowohl auf dem Frontend-, als auch auf dem Backend-Server beim Aufrufen der Applikation abgefragt. Deshalb muss diese Berechtigung auf beiden Servern zu der entsprechenden Rolle hinzugefügt werden. Die typische Abfolge beim Anklicken einer Fiori App im Launchpad löst die folgenden Schritte aus: 1) Beim Auswählen der Kachel wird die App-Fiori-Implementierung aufgerufen 2) Die App ruft dynamische Daten aus dem HTTP-Endpunkt des OData-Services auf dem Frontend-Server ab 3) Es folgt ein RFC-Aufruf an die Gateway-Aktivierung des Backend Systems, dabei wird die relevante Geschäftslogik abgerufen 4) Nun wird die Fiori Berechtigung für den entsprechenden OData-Service auf dem Backend abgefragt 5) Wenn dies erfolgreich war werden die entsprechenden Berechtigungen für die Geschäftslogik im OData-Service abgefragt. Um die Fiori Berechtigung zur Ausführung eines OData-Services für eine App zu einer Rolle hinzuzufügen führen Sie bitte die folgenden Schritte durch: In der PFCG die entsprechende Rolle im Änderungsmodus öffnen Schritte auf dem folgenden Screenshot durchführen: 1) Menü-Reiter auswählen 2) Pfeil neben dem "Transaktion" Button klicken 3) Berechtigungsvorschlag auswählen.
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Die zuvor beschriebenen Aufgaben, die in eher unregelmäßigen Abständen anfallen und auf Grund der fehlenden Routine oder des fehlenden Prozess-Know-hows eine gewisse Komplexität mit sich bringen, sollten dahin gehend geprüft werden, ob diese von einem externen Dienstleister effizienter erbracht werden können. Eine Frage, die es zu beantworten gilt, ist, ob es erforderlich ist, das notwendige Wissen im Unternehmen vorzuhalten, um ggf schneller als der externe Dienstleister reagieren zu können. Beispielsweise bei unternehmenskritischen Systemen. Auch zu beachten sind Aspekte der Sicherheit, da externe Personen Zugriff auf das System erhalten. Fortführend müssen die durch Outtasking erbrachten Leistungen regelmäßig kontrolliert und auf deren Qualität und Dokumentation hin überprüft werden. Eine vollständige Abhängigkeit vom externen Partner darf nicht entstehen.
Verwenden Sie "Shortcut for SAP Systems", um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
In unserem Beispiel soll nun die Last unter Beibehaltung des Applikationsprofils vergrößert werden, d. h., weitere Benutzer sollen die Anwendungen Activity Management, Opportunity Management und Vertrieb nutzen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen.