Berechtigungskonzept – Rezertifizierungsprozess
Berechtigungen nach einem Upgrade anpassen
Initialpasswörter bei Standardbenutzern sind extrem riskant, da diese veröffentlicht sind. Sorgen Sie dafür, dass diese Sicherheitslücke in Ihrer Systemlandschaft nicht existiert. Ein SAP-System wird immer mit bestimmten Standardbenutzern ausgeliefert bzw. diese werden z. B. für das Transportmanagementsystem automatisch eingerichtet. Diese Standardbenutzer verwenden Initialpasswörter, die hinlänglich bekannt sind. Schließen Sie diese Sicherheitslücke, indem Sie die Passwörter ändern und die Standardbenutzer gegen unbefugte Benutzung absichern. Wir zeigen Ihnen in diesem Tipp, wie Sie den Status der Passwörter Ihrer Standardbenutzer klären können und geben Ihnen Empfehlungen zu den Einstellungen Ihrer Profilparameter.
Das Security Audit Log kann ab SAP NetWeaver 7.31 auch kundenspezifische Ereignisse eingeschränkt protokollieren. Dazu werden die Ereignisdefinitionen DUX, DUY und DUZ für Kunden reserviert und mit einer Dummy-Ausprägung ausgeliefert. Für diese Ereignisse können Sie dann mittels des Funktionsbausteins RSAU_WRITE_CUSTOMER_EVTS individuell konfigurierbare Meldungen definieren. Zuerst müssen Sie hierzu die zusätzlich notwendigen Ereignisse identifizieren und deren Meldungstexte und Variablen definieren. Beachten Sie hierbei, dass Sie später keine Änderungen mehr an der Bedeutung der Meldung und der Anordnung der Variablen vornehmen dürfen, denn dies würde die Lesbarkeit älterer Protokolldateien verhindern. Abschließend müssen Sie noch die neuen Meldungsdefinitionen in Ihre Filter aufnehmen (Transaktion SM19). Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1941526. Da die Nutzung dieser Funktionalität umfangreiches Wissen über das Security Audit Log voraussetzt, sollten Sie unbedingt auch die Empfehlungen in SAP-Hinweis 1941568 berücksichtigen und sich durch einen Basisberater unterstützen lassen.
Dialogbenutzer
Wichtig ist, dass nach dem Aufruf des Befehls AUTHORITY-CHECK OBJECT insbesondere der Return-Code in SY-SUBRC geprüft wird. Dieser muss auf 0 gesetzt sein; nur dann ist ein Absprung erlaubt.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden dann in Ordnern und Seiten organisiert.
Nach erfolgreicher Implementierung Ihrer Berechtigungsprüfung muss das neue Berechtigungsobjekt für Ihre Anwendung in der Transaktion SU24 gepflegt werden. Wird Ihre Lösung in andere Systemlandschaften verteilt, erfolgt die Pflege der Berechtigungsvorschläge in der Transaktion SU22. Mit der Berechtigungsvorschlagswertpflege gehen Sie außerdem auf Nummer sicher, dass das neue Berechtigungsobjekt bei einer Rollenanlage nicht vergessen wird, da es nun beim Aufruf der Anwendung über das Rollenmenü automatisch in die PFCG-Rolle geladen wird. Im letzten Schritt kann der Berechtigungsadministrator die PFCG-Rolle erstellen bzw. muss die bestehenden PFCG-Rollen neu abmischen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Dazu müssen Sie einen Berechtigungstrace einschalten, der dies übernimmt.
Diesen können Sie manuell über die Transaktion PFUD ausführen oder als Job einplanen.