Durch rollenbasierte Berechtigungen Ordnung schaffen
Herausforderungen im Berechtigungsmanagement
Bei der Tabellenprotokollierung muss sichergestellt sein, dass der SAP®-Hinweis 112388 (protokollierungspflichtige Tabellen) vollständig umgesetzt ist und zusätzlich alle Tabellen, welche finanzrelevante Daten beinhalten, von der Protokollierung umfasst werden. Das gilt selbstverständlich auch für alle Z-Tabellen! Als letzten Punkt der wichtigen Parametereinstellungen sind jene für die Definition der Kennworteinstellungen. Hier sollte sichergestellt werden, dass die Parameter ebenfalls gemäß der Unternehmensvorgaben eingerichtet sind. Die Überprüfung sollte allerdings nicht nur auf die globalen, für alle Benutzer gültigen, Einstellungen liegen, sondern auch all jene Benutzer umfassen, welche eigene Sicherheitsrichtlinien zugewiesen wurden. Gerade für diese muss eine entsprechende Begründung schriftlich vorliegen.
Berechtigungen für Datenbankobjekte (Object Privileges): Object Privileges sind SQL-Berechtigungen, die den Zugriff auf und das Ändern von Datenbankobjekten (als Ganzes) steuern. Der jeweilige Objekttyp (Tabelle, View, Prozedur) bestimmt, welche Datenbankoperationen berechtigt werden können. Datenbankoperationen sind z. B. SELECT, UPDATE, ALTER, DROP und DEBUG.
Umsetzung der Berechtigung
Wir möchten Ihnen nun die notwendigen Einstellungen in der versendenden Anwendung beschreiben und verwenden dazu das Beispiel des verschlüsselten Versands von Initialpasswörtern. Um diese Anforderung umzusetzen, können Sie das BAdI BADI_IDENTITY_UPDATE nutzen. Dieses BAdI steht Ihnen ebenfalls nur per Support Package ab SAP NetWeaver AS ABAP 7.31 zur Verfügung. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1750161. Für eine Implementierung des BAdIs verwenden Sie die Transaktion SE18; dort können Sie auch die Beispielklasse CL_EXM_IM_IDENTITY_UPDATE einsehen. Für das BAdI BADI_ IDENTITY_UPDATE müssen Sie zum Interface IF_BADI_IDENTITY_UPDATE die Methode SAVE implementieren.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Im Hinblick auf das SAP Berechtigungswesen stellen Rollen und die damit einhergehenden Berechtigungsobjekte, -felder und -werte das Fundament dar. Daher stehen vor allem diese Prüfkriterien im besonderen Fokus der Berechtigungsanalyse sicherheitsrelevanter Ausprägungen eines jeden Berechtigungsadministrator. Der Report RSUSRAUTH dient der Anzeige von Rollen- bzw. Berechtigungsdaten im jeweiligen Mandanten. Dabei analysiert der Report alle Rollendaten, die in der Tabelle AGR_1251 verankert sind. Dadurch kann man nicht nur durch die Wahl des Pflegestatus der Berechtigungen, sondern vor allem auch durch das Hinterlegen bestimmter Berechtigungsobjekte und deren Aussteuerung fehlerhafte und sicherheitskritische Ausprägungen schnell finden und bereinigen. Diese Adhoc Analyse bietet Ihnen somit eine zeitsparende Methode, viele Rollen auf einmal nach Ihren eigenen kritischen Merkmalen zu prüfen. Durch das Einspielen des SAP Hinweises 2069683 können Sie dieses Programm dann vollumfänglich nutzen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Ein eigenes Programm – eine eigene Berechtigung.
Durch diese Konvertierung kommen auf die jeweiligen Unternehmen viele technische und auch organisatorische Komponenten zu.