Löschen von Änderungsbelegen
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Entwickler- und Customizing-Berechtigungen stellen in produktiven SAP-Systemen ein großes Gefahrenpotential dar. Hier sind die Berechtigungen sehr restriktiv zu vergeben, z.B. nur an Notfallbenutzer. Dasselbe betrifft auch RFC-Verbindungen von einem Entwicklungssystem zu produktiven Systemen. Solche Verbindungen sind nur in sehr eingeschränkten Umfang zu nutzen.
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
Kundeneigene Customizing-Tabellen in den IMG einbinden
Wenn Sie Referenzbenutzer verwenden möchten und Sie das Benutzermenü nutzen, sollten Sie zusätzlich dafür sorgen, dass die Anwender auch die den Referenzbenutzern zugeordneten Rollenmenüs sehen. Spielen Sie dafür die Korrekturen im SAP Hinweis 1947910 ein. Sie beinhalten zwei Schalter für das Customizing in der Tabelle SSM_CUST.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind. Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann. Es ist daher sicherzustellen, dass diese Berechtigungen an keinen Benutzer, auch nicht an SAP®-Basisadministratoren, vergeben wurden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Der Benutzerstammsatz enthält sämtliche Informationen zu dem entsprechenden Benutzer, einschließlich der Berechtigungen.
Diese Funktion war bisher nicht Teil der Standardauslieferung.