Berechtigungsprüfungen
Gesetzeskritische Berechtigungen
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
SAPconnect verwendet den S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions) für die Signierung beim Versand von E-Mails, bzw. um empfangene E-Mails zu verifizieren und zu entschlüsseln. S/MIME wird von den meisten E-Mail-Clients unterstützt und erfordert X.509-basierte Zertifikate.
Rollenpflege im Betrieb
Diese Art der Programmierung ergibt Sinn, wenn große Datenmengen gelesen werden müssen. Bevor nun begonnen wird die Daten von der Datenbank zu lesen, kann mit einer DUMMY – Prüfung schnell ersichtlich werden, ob der User überhaupt eine Berechtigung besitzt, um auf einen Teil der Daten zuzugreifen. Wie aber aus der obigen Tabelle ersichtlich wird, darf ein Coding nicht nur durch eine allgemeine Prüfung abgesichert sein, sondern muss durch spätere, detaillierte Prüfungen ergänzt werden. Allerdings muss auch in diesem Kontext space (oder ‘ ‘) nicht explizit berechtigt werden.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden dann in Ordnern und Seiten organisiert.
Man muß aber beachten, dass das System alle Berechtigungsfehler des Benutzers in den Speicherbereich der SU53 schreibt. D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht. Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der ersten Seite der Ausgabe zu schicken. Damit vermeide ich es, dass der Benutzer bei Aufruf der Transaktion SU53 ggf. nochmals einen Berechtigungsfehler erzeugt, der den ursprünglichen überdeckt. Man kann als Benutzeradministrator oder Rollenadministrator auch selbst die SU53 aufrufen und sich über Menü den Fehlereintrag eines andern Benutzers anzeigen lassen. Dies klappt aber nicht unbedingt immer.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind.
In diesem Fall werden alle zurückgeladenen Änderungsbelege berücksichtigt.