Basisadministration
Grundlagen SAP Berechtigungen inklusive Fiori - Online Training
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
Transaktion SE63 ermöglicht Ihnen die Übersetzung verschiedenster Textbausteine im SAP-System. Die für die Berechtigungsrollen relevanten Texte finden Sie über den Menüpfad: Übersetzung > ABAP-Objekte > Kurztexte Im daraufhin erscheinenden Pop-up-Fenster Objekttypauswahl wählen Sie den Knoten S3 ABAP-Texte aus und hier den Unterpunkt ACGR Rollen.
Traceauswertung optimieren
In unserem Beispiel meldet sich der Endanwender in einem SCM-System an, kann von hier aus aber auch ERP-Transaktionen aufrufen. Um diese ERPTransaktionen in SAP SCM verfügbar zu haben, legen Sie eine neue PFCGEinzelrolle in SAP SCM an, z. B. ZS:XXXX:ERP_MENU. Die ERP-Transaktionen, auf die der Benutzer Zugriff haben soll, fügen Sie dem Rollenmenü über die Option Übernahme von Menüs > Aus anderer Rolle > Zielsystem hinzu. Wählen Sie nun das entsprechende ERP-System und anschließend die entsprechende PFCG-Rolle aus SAP ERP aus. Für diese »Menürolle« benötigen Sie kein Profil, da diese Rolle nur das ERP-Menü beinhaltet. Die Anordnung der Transaktionen können Sie nun im Bereich Hierarchie über Drag & Drop oder über die Pfeiltasten so sortieren, wie Sie sie im NWBC benötigen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Im schlimmsten Fall entsteht durch kriminelles Handeln ein wirtschaftlicher Schaden.
Zwar werden diese noch nicht von vielen Unternehmen genutzt, sind jedoch der nächste Schritt in der digitalen Transformation.