Herausforderungen im Berechtigungsmanagement
Berechtigungen mit dem Pflegestatus Gepflegt
Weiterhin sind die Statistikdaten anderer Benutzer (Benutzeraktivitäten, wie z.B. ausgeführte Reports und Transaktionen) als sensibel einzuordnen, da über diese Daten evtl. Rückschlüsse auf das Arbeitsverhalten gezogen werden können. Diese Daten lassen sich beispielsweise über die Transaktion ST03N anzeigen. Die Zugriffsberechtigungen auf die beiden oben genannten Datenarten sind nur sehr restriktiv zu vergeben.
Geeignet für diese verantwortungsvolle Aufgabe sind z. B. Fachbereichsleiter oder SAP Key User, die sich sowohl mit allen Datenzugriffsmöglichkeiten auskennen (modulübergreifend, via Report, direkt auf die Rohtabelle etc.) als auch mit den organisatorischen und technischen Schutzmaßnahmen. Per Unterschrift unter dem Dateneigentümerkonzept sollte die Zuständigkeit anerkannt werden und so ernst genommen werden und verbindlich gelten wie auch bspw. die Signatur unter dem Kaufvertrag eines Hauses.
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Auch hier ist es möglich, mithilfe von Tools bei den HR Berechtigungen Absicherung und Überblick zu schaffen. Durch das Tool wird eine klare Übersicht erstellt, auf welche Daten bestimmte Nutzer im SAP-System zugreifen dürfen. Darauf aufbauend ist es möglich, automatische Prüfungen zu entwickeln, die im Hintergrund ablaufen und regelmäßig kontrollieren, ob durch Änderungen an den Berechtigungen kritische Lücken im HR-Bereich entstanden sind.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Bestimmte Berechtigungen, die erst beim Ausführen eines Job-Steps von Bedeutung sind, werden zum Zeitpunkt der Einplanung für den angegebenen Step-Benutzer geprüft. So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen. Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt. Bei externen Kommandos findet eine Prüfung auf das Objekt S_LOG_COM statt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Bei der Tabelle T000 handelt es sich z. B. um eine mandantenunabhängige Tabelle, sodass diese Berechtigungsprüfung durchgeführt würde.
Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern.