Berechtigungswerte beim Rollenupgrade vergleichen
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Diese Funktion war bisher nicht Teil der Standardauslieferung. Mit dem in SAP-Hinweis 1860162 benannten Support Packages wird nun die Transaktion SAIS_SEARCH_APPL ausgeliefert. Über diese Transaktion können Sie prüfen, ob weitere Anwendungen mit ähnlichen Starteigenschaften wie in einer bestimmten Anwendung verfügbar sind. So haben wir z. B. nach Anwendungen mit ähnlichen Funktionen, wie sie die Transaktion PPOME bereitstellt, gesucht.
Standardberechtigung
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Eine Alternative zur Verwendung des Berechtigungsobjekts S_TABU_LIN ist die Erstellung von kundeneigenen Tabellen-Views, über die eine organisatorische Abgrenzung leichter zu erreichen ist. Hierzu legen Sie einen neuen View in der Transaktion SE11 an und fügen die Tabelle, für die die Einschränkung gelten soll, auf der Registerkarte Tabellen/Joinbedingungen hinzu. Über die Registerkarte Selektionsbedingungen können Sie Ihre einschränkende organisatorische Bedingung in Form eines Feldes und eines Feldwerts angeben. Anschließend berechtigen Sie alle relevanten Benutzer zum Zugriff auf den View, der nur Daten für Ihre organisatorische Einschränkung beinhaltet.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Mit diesem Ansatz wird das Berechtigungsmanagement erheblich effizienter, da fachliche Änderungen keine globalen Auswirkungen auf die gesamte Berechtigungsstruktur haben.
Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden.